Pasul 6 - Implementează o politică de securitate în organizația ta

TechSoup
11 august, 2021

Pasul 6 - Implementează o politică de securitate în organizația ta

de Asociația Techsoup

 

Cu toții știm cât de importantă este securitatea device-urilor, a sistemelor, a întregului ecosistem online al organizației noastre însă, de multe ori, nu știm de unde și cu ce să începem un audit de securitate.

Începe cu identificarea tuturor dispozitivelor din organizația ta: computere, imprimante, hard disk-uri externe, memorii USB, router-ul WIFI, pentru că împreună ele creează ecosistemul hardware al organizației tale:

  • Asigură-te că pe toate computerele din organizație rulează versiuni de sisteme de operare pentru care există versiuni active de securitate, denumite update. Altfel spus, versiuni pentru care compania producătoare nu a retras serviciul de asistență și suport.
  • Verifică periodic dacă toate dispozitivele organizației sunt la zi cu actualizările și programează actualizări automate regulate. În fiecare computer, în setările de sistem, găsești secțiunea Update & Security. Aici poți vizualiza când a fost efectuată ultima actualizare a sistemului tău de operare, poți căuta manual noi actualizări disponibile și neefectuate, poți stabili intervalul orar în care să ruleze procesul de actualizare, astfel încât să nu te împiedice să lucrezi în momente cheie, și poți vizualiza întregul istoric de actualizări al sistemului tău de operare.
  • Verifică dacă software-ul cu care rulează imprimantele din organizația este actualizat.
  • Verifică dacă toate computerele din organizație sunt protejate cu o soluție de securitate online, denumită și anti-virus. De regulă, aceste soluții asigură actualizarea și asistența pentru perioade de un an calendaristic de la instalare, ceea ce nu înseamnă că computerul tău nu mai este protejat, ci doar că nu vor fi instalate ultimele definiții anti-virus, după expirarea celor 12 luni.
  • Verifică și programează scanări regulate de sistem din interfața soluției tale de securitate online. Urmează instrucțiunile primite după fiecare scanare din raportul afișat procesului.
  • Când alegi un dispozitiv hardware nou pentru organizația ta este bine să îi cunoști capacitățile și specificațiile tehnice, astfel încât acesta să se potrivească cu ecosistemul de hardware al organizației.Trebuie să știi dacă vei avea timp și resurse pentru a implementa și monitoriza dispozitivul. Dacă organizația ta lucrează cu un voluntar sau un consultant IT, roagă-l să-ți recomande o soluție ce s-ar potrivi nevoilor tale. Și, foarte important pentru securitatea ecosistemului organizației tale, nu lasă noul dispozitiv cu setările din fabrică, denumite și default, protejează-l conform politicii organizației tale.

Continuă cu implementarea unui ghid pentru parole sigure în organizația ta.

De câteva ori pe zi, fiecare dintre noi se autentifică fie pe device-ul pe care lucrează, fie în platforme online. Autentificarea, denumită și log in, poate fi de 2 feluri: simplă, de regulă pentru site-uri de știri, website-ul respectiv ne solicită doar numele și adresa de email, fără a solicita și stoca informațiile noastre personale sau financiare și, respectiv, complexă, pentru conturile noastre de internet banking, pentru cloud, pentru platformele prin care accesăm diverse servicii online precum MailChimp, Facebook, platformele de comerț electronic. Aceste platforme rețin informații sensibile precum date financiare, istoric de plăți, informații despre beneficiari, despre donatorii noștri și este vital să le protejăm prin parole puternice.

 

Cum trebuie să arate o parolă puternică?

  • Să aibă peste 8 caractere, de preferat peste 10.
  • Să fie o combinație de caractere diferite: litere mari și mici, cifre, caractere speciale precum #, & sau !.
  • Să fie greu de intuit sau de dibuit de un algoritm online: evită să folosești numele și prenumele, zile de naștere, numele filmului tău preferat sau al animalului de companie, sau combinații de tipul querty (o înșiruire de caractere alăturate) sau 12345.
  • Să fie actualizată frecvent, de preferat într-un interval de 30 - 90 de zile.
  • Utilizează parole diferite pentru conturile tale diferite, altfel spus nu folosi aceeași parola pentru toate conturile tale.

 

Cum ne îngrijim ca parolele noastre să fie în siguranță?

  • Nu comunica niciodată o parolă unei alte entități sau persoane. Parola este o informație sensibilă și nicio entitate nu are dreptul să o solicite.
  • Nu nota parolele tale pe o agendă.
  • Nu distribui parole pe email, instant messaging sau telefon.
  • Nu uita ca, de fiecare dată după ce ai finalizat o sesiune de lucru într-o anumită platformă, sau pe un anumit dispozitiv, trebuie să părăsești sesiunea prin log off.
  • Schimbă, la prima autentificare, parolele temporare ce îți sunt alocate, de regulă, când recuperezi o parolă.
  • Securizează cu cod pin și device-urile pe care lucrezi.

Pentru a stoca și păstra în siguranță parolele pentru prezențele online ale organizației tale, poți utiliza un document în cloud, la care să aibă acces membrii echipei cu respectarea tuturor regulilor de securitate enunțate până acum.

Asigură-te că datele și documentele organizației tale sunt stocate în diferite forme

Stocarea datelor și documentelor organizației noastre este un pas obligatoriu în #TransformareaDigitală nu doar pentru situațiile în care nu lucrăm din birou, ci și pentru a fi siguri că le putem recupera ușor dacă unul dintre dispozitivele organizației este schimbat sau pentru situațiile în care computerele organizației sunt afectate de un incident precum o inundație.

Operațiunea prin care salvăm datele și documentele pe surse alternative de stocare este numită backup. Există 3 tipuri de backup: complet - este cel mai complex, necesitând o perioadă mai mare de timp și spațiu mare de stocare; treptat - efectuat doar pentru noile documente sau cele ce au fost modificate recent; diferențiat - similar cu precedentul tip, însă operează doar documentele noi sau modificate de la ultimul backup complet efectuat.

Procesul de backup poate fi rulat fie pe dispozitive hardware, on-premises backup, cum ar fi copierea regulată a datelor și documentelor pe un hard disk extern, pe un memory stick (memorie externă). Avantajul acestui tip de backup este că datele salvate pot fi accesate oricând și fără conexiune, însă dezavantajul major este că device-ul respectiv se poate rătăci sau poate, la rândul său, suferi deteriorări, iar astfel datele devin indisponibile.

Procesul de backup remote ne ajută să trimitem datele și documentele direct în contul de cloud al organizației, în SharePoint pentru Microsoft sau contul de OneDrive al fiecărui membru al echipei și, respectiv, Google Drive pentru Google Workspace.

Pentru a efectua procesul de backup remote fie folosești un instrument special, fie il setezi în contul de cloud al organizației. Astfel nu vei avea nevoie de un buget special, iar datele vor putea fi accesate de oriunde de către membrii echipei tale. Dezavantajul acestui tip de backup este că ai nevoie de o conexiune la internet pentru a accesa fișierele salvate. De asemenea, atunci când îți muți în cloud datele și documentele, încredințezi aceste informații furnizorului serviciului de cloud, obligația ta fiind să îi cunoști politica de securitate a datelor. Cuvântul cheie al acestui proces de backup este automatizarea.

 

Care este rutina de backup a organizației tale?

  • Implementează o strategie, un plan scris care să răspundă întrebărilor: pentru ce tip de date și documente se efectuează backup-ul? Unde? Cât de des? Cine este responsabil? Cine monitorizează?
  • Include în planul de backup și: computerele personale ale membrilor echipei, dispozitivele mobile, website-ul organizației, căsuțele de email.
  • Asigură-te că, pentru datele esențiale, backup-ul rulează zilnic.
  • Stochează și protejează dispozitivele pe care efectuezi backup-ul în 2 locuri diferite gestionate de 2 persoane diferite din organizație.
  • Asigură-te că, atunci când va fi nevoie să-ți accesezi datele din cloud, vei avea conexiune la internet.
  • Testează planul de back-up al organizației tale.

Dacă ai nevoie de mai multe informații, poți lectura materialele realizate de colegii noștri din TechSoup Global și traduse de noi, disponibile în secțiunea Blog pe techsoup.ro: Noțiuni de bază despre securitatea cibernetică, Soluții de securitate cibernetică disponibile prin TechSoup, Top 5 soluții de securitate disponibile prin TechSoup; sau te poți înscrie în cursurile de Cybersecurity disponibile în limba engleză pe TechSoup Courses.

Orice sistem ai alege, nu uita să verifici mai întâi dacă este disponibil gratuit sau cu discount prin TechSoup România, fie în catalogul TechSoup, fie ca serviciu de validare - orice economie este binevenită.

Chiar dacă nu este, întreabă furnizorul respectiv dacă nu cumva oferă el un discount general sau pentru munca ta - sunt șanse mari să ofere sau să îl convingi să îți ofere, așa că pornește prin a întreba. Și noi la Asociația TechSoup suntem mari fani economii, și nu pierdem nicio ocazie în a economisi fonduri pentru proiectele noastre.


Reamintește-ți Pașii precedenți: 1, 2, 3, 4, 5.  

Aceștia au fost primii 6 pași în procesul de transformarea digitală a organizației tale. Odată parcurși, vei simți diferența în munca de zi cu zi, iar asta va fi vizibil inclusiv în comunitațile pe care organizația ta le servește.

Nu uita că tranformarea digitală este un proces anevoios și solicitant pentru oricine și pentru orice tip de organizație, nu te descuraja dacă nu îți iese perfect de prima dată, continuă! Satisfacția reușitei depășește efortul!