Kategorie
audyt edukacja hasła narzędzia cybsec nauka obsługi zagrożenia źródła wiedzy

Przegląd bezpieczeństwa osobistego (i firmowego)

99% internautów nigdy nie zadało sobie połowy tych pytań.
Dlatego oni będą łatwą ofiarą czarnej ręki internetu.

Skuteczność przeglądu bezpieczeństwa osobistego (i firmowego) zależy od tego ile czasu przeznaczysz na odpowiedzi.

W zakresie ochrony firm, pytania dotykają wycinka widzianego przez pryzmat mikrofirmy. Potrzebujesz pytań dotyczących większych organizacji? Odezwij się.

Poniżej znajdziesz wiele pytań, których kombinacja dla każdej osoby jest inna.
Każdy ma inny kontekst bezpieczeństwa w sieci.

Odpowiadając na te pytania, zaczynasz interpretować tą odpowiedź.
Nie ma złych odpowiedzi, są tylko źle podjęte decyzje.

99% internautów nigdy nie zadało sobie połowy tych pytań.
Dlatego oni będą łatwą ofiarą czarnej ręki internetu.

Życzę Ci powodzenia w udzielaniu odpowiedzi.

Na część pytań nie znajdziesz samodzielnie odpowiedzi, ale możesz zacząć szukać wiedzy. Np. nie wiesz czy chcesz mieć ukrytą nazwę sieci bezprzewodowej, a to sugeruje Ci, że można ją ukryć. Dlaczego to zrobić, czy robić, jak robić to jest pole interpretacji odpowiedzi, refleksji związanej z pytaniem.


Jeśli będziesz potrzebować wsparcia w interpretacji to znajdziesz namiar w dziale kontakt.

  1. Abstract (najważniejsze pytania): 
    1. Czy są różne hasła do różnych rzeczy? 
    2. Czy kontrolujesz wycieki haseł na https://haveibeenpwned.com
    3. Czy aktualizujesz wszystkie urządzenia, programy, systemy operacyjne? 
    4. Czego nie masz w kopii zapasowej? 
  2. Zagrożenia:
    1. Przed kim chcę strzec swoich danych i prywatności (konkurencja, współpracownik były/obecny, mściwy przyjaciel/były partner/rodzina? 
    2. Przed jakimi zagrożeniami, konsekwencjami robisz swoje bezpieczeństwo? 
    3. Czy znasz zagrożenia przed którymi powinnaś/powinieneś się chronić? 
    4. Ile czasu zastanawiasz się nad otwarciem załącznika do maila? 
    5. Ile czasu zastanawiasz się nad zasadnością wpisania hasła tam gdzie masz je teraz wpisać? 
  3. Obszar firmy: 
    1. Co by było gdyby dziś w twojej firmie pojawił się mail do przestępcy, że ma twoje dane, jak zareagujesz? Czy zarząd jest zaangażowany w it? Czy umiesz podejmować decyzje? 
    2. Komu zaufasz, do kogo masz kontakt w zakresie pomocy z zagrożeniami (wypłaszczaniu i identyfikowaniu ich)? 
    3. Czy RODO w twojej firmie działa? Ktoś to testowa? 
    4. Czy pracownicy wiedzą jak reagować na zauważone zagrożenie (próbę oszustwa)? 
    5. Czy przewidziałeś choć 10 wektorów ataków na swoją firmę/dane? 
    6. Czy wiesz jak się komunikować w kryzysie na linii IT-biznes-decydenci?  
    7. Czy słownik takiej komunikacji jest zrozumiały dla wszystkich? 
    8. Jakich narzędzi technicznych użyjesz do takiej komunikacji? 
    9. Kiedy odetniesz Świat od zasobów firmy w przypadku ataku? Jakie KPI musi wystąpić? 
    10. Czy trenowałeś scenariusze, planujesz symulację takiej sytuacji u siebie? 
    11. Skąd będziesz wiedział czy właśnie jesteś atakowany? 
    12. Co zrobiłeś w zakresie #BIA, #BCP? 
    13. Jak wygląda polityka działań pro aktywnych? 
    14. Jeśli jesteś atakowany, to czy wiesz co masz do stracenia? 
    15. Czy jako szef (kierownik, manager, dyrektor) masz cierpliwość na wyjaśnienie pracownikowi czy, jak i dlaczego jest oszustwo w mailu (lub przy innych kanałach komunikacji jak SMS, telefon)?
    16. Jako szef jakie ryzyka przesuwasz na inne podmioty?
    17. Ile masz działań kontrwywiadowczych w firmie?
    18. Jaka informacja w rękach konkurencji jest dla twojej firmy druzgocąca?
    19. Jaka informacja w rękach przestępcy jest dla twojej firmy druzgocąca?
    20. Skąd będziesz wiedzieć o ataku, wycieku danych?
    21. Co zmieni polisa związana z cyberryzykami?
    22. Czy audyt bezpieczeństwa robisz by był zrobiony czy by poprawić zastaną sytuację?
    23. Co dokładnie chroni dane twojej firmy? Czy to działa?
    24. Ile nowych umiejętności zdobyli pracownicy w zakresie cyberbezpieczeństwa?
    25. Twój dział IT ile ma czasu na podnoszenie kompetencji?
    26. Czy twój pracownik widzi, że mail pochodzi spoza organizacji?
    27. Czy można z poczty organizacji wysłać maila UDW do 300 osób?
    28. Czy pracownicy wiedzą o czym nie można rozmawiać w domenie publicznej?
    29. Jak restrykcyjnie są przestrzegane reguły dotyczące weryfikacji płatności?
    30. Czy stać Cię na przelew 250000 zł na konto oszusta internetowego?
    31. Czy testujesz aplikacje wykorzystywane w firmie?
    32. Czy musisz mieć środowisko testowe?
    33. Wiesz jak podejmować decyzję o tym gdzie ma być poczta firmowa?
  4. Edukacja: 
    1. Kiedy i w jakiej formie miałaś/miałeś edukację z bezpieczeństwa w sieci? 
    2. Co pamiętasz z tej edukacji a co zostało wdrożone w życie? 
    3. Czy twoi bliscy, współpracownicy, partnerzy biznesowi mają wystarczający poziom świadomości zagrożeń w sieci? 
    4. Ile czasu dziennie/tygodniowo/rocznie chcesz przeznaczyć na dbanie o bezpieczeństwo? 
    5. Znasz popularne ataki? 
      1. Nigeryjski szwindel 
      2. Przekierowanie płatności na fałszywy bank 
      3. Dopłata do przesyłki i wgranie złośliwej aplikacji 
      4. Telefoniczne wyłudzenie (blik, dostęp do banku, dane osobowe) 
  5. Urządzenia: 
    1. Z jakich urządzeń korzystasz? 
    2. Jak bardzo są pojedynczym punktem awarii, utrudnią możliwość pracy gdy się zepsują, zostaną przejęte? 
    3. Gdzie kończy się prywatne życie a zaczyna zawodowe w przestrzeni danych i urządzeń? 
    4. Co zrobisz pierwsze gdy zorientujesz się, że straciłeś komputer/telefon/tablet? 
    5. Czy ktoś jeszcze pracuje na twoich urządzeniach? 
  6. Hasła: 
    1. Jakie znasz dobre praktyki związane z hasłami?
    2. Czy wiesz do czego służą hasła (czym jest poufność w IT)?
    3. Gdzie mam zapamiętane hasła, kto ma do tego dostęp? 
    4. Jak przechowujesz hasła (w głowie, w notesie, karteczki, przeglądarka, menedżer haseł)? 
    5. Czy twoje hasło jest przewidywalne (ma imiona, daty, nazwy własne)?
    6. Czy kontrolujesz wycieki haseł na haveibeenpwned.com
    7. Czy wiesz jak wyciekają hasła?
    8. Ile % haseł się powtarza? 
    9. Czy wiesz dlaczego warto mieć różne hasła do różnych rzeczy (usług, maili, kont, profili)?
    10. Czy powtarzające się hasła są do ważnych rzeczy? 
    11. Czy włączone są drugie składniki logowania (2FA) tam gdzie jest taka możliwość? Dlaczego nie? 
    12. Czy wiesz kiedy nie używać 2FA jako kodów z SMSów?
    13. Do czego użyjesz klucza U2F?
    14. Czy hasła do spraw prywatnych są inne od tych do służbowych? 
    15. Czy umiesz stworzyć bezpieczne hasło i je zapamiętać? 
    16. Kiedy odkleisz karteczki z hasłami z komputera służbowego? 
  7. Płatności w sieci: 
    1. Czy masz zdywersyfikowane sposoby płatności? 
    2. Co zrobisz gdy omyłkowo bank odetnie Cię od pieniędzy? 
    3. Jak zwracasz uwagę na bezpieczeństwo płatności w sieci? 
    4. Czy zawsze czytasz dokałdnie treść SMSów z kodem potwierdzającym płatność? 
    5. Czy korzystasz z różnych form płatności (np. Karta dedykowana do subskrypcji, karta do impulsywnych zakupów, konto do stałych płatności)? 
    6. Co zrobisz gdy znajomy poprosi Cię (poprzez komunikację elektroniczną) o pożyczenie 500 złotych? 
    7. Jak chronisz swoje kryptowaluty? 
    8. Jakie masz limity transakcji bankowych?
    9. Czy widzisz powiadomienie SMSem o każdej operacji bankowej (w tym kartowej)?
    10. Czy wiesz gdzie zadzwonić gdy zgubisz kartę lub zostanie jej numer skompromitowany?
  8. Komputer: 
    1. Konto użytkownika czy administratora jest kontem, na którym pracujesz?  
    2. Dlaczego administratora jest lepszym wyborem? 
    3. Aktualizacje systemu czy się robią? 
    4. Aktualizacje innych narzędzi się wykonują? 
    5. Aktualizacje przeglądarki czy się wykonuje? 
    6. Backup czego, czym, jak często i na jak długo? 
    7. Co się wydarzy gdy dysk twardy padnie (co stracisz)? 
    8. Jeśli potrzeba to ile czasu zajmie zmiana komputera na inny? 
    9. Czy antywirus działa?  
    10. Jakiego AV używasz i dlaczego tego? 
    11. Jak jest ograniczona prywatność i profilowanie reklamowe? 
    12. Dlaczego chcesz ograniczać prywatność? Czy nie będzie to strata czasu? 
    13. Czy są udostępnione pliki/katalogi dla każdego w tej samej sieci? 
    14. Czy za każdym razem gdy odchodzisz od komputera blokujesz pulpit? 
    15. Czy dyski w komputerze są zaszyfrowane? 
    16. Czy kasujesz dane tak, żeby były wykasowane bezpowrotnie? 
    17. czy korzystasz ze zdalnego dostępu do tego komputera (RDP)?
  9. Przeglądarka: 
    1. Jakiej używasz? 
    2. Czy zastanawiało Cię kiedyś dlaczego warto używać różnych przeglądarek, do różnych rzeczy? 
    3. Czy przeglądarka się aktualizuje? 
    4. Czy zapamiętuje hasła, czy korzysta z ogólnego managera haseł? 
    5. Jakie strony mają domyślnie włączony dostęp do mikrofonu i kamery? 
    6. Czy wiesz dlaczego chcesz kasować historię przeglądania, ciastek i jak często to robić i czy robić? 
    7. Czy używasz dodatków, które zapewniają prywatność? 
    8. Czy aktualizują się dodatki do przeglądarki? 
    9. Czy korzystasz z dodatków, które zmniejszają liczbę reklam? 
    10. Czy zwracasz uwagę na literówki w adresie internetowym? 
    11. Korzystasz z zakładek, żeby przejść do panelu logowania? 
  10. Telefon: 
    1. Czy jest blokada ekranu (PIN, hasło, biometria)? 
    2. Czy jest szyfrowanie (iPhone i flagowce mają domyślnie właczoną)? 
    3. Czy jest zaktualizowany? 
    4. Czy uprawnienia nie są przyznane nadmiarowo dla aplikacji? 
    5. Co ma dostęp do książki telefonicznej, mikrofonu, kamery, pamięci, SMSów? 
    6. Czy robi się kopia zapasowa? 
    7. Czy umiesz uruchomić dokładnie to samo na nowym telefonie? 
    8. Czy masz na drugim urządzeniu generujące się kody jednorazowe? 
    9. Co zajmuje miejsce w telefonie? 
    10. Co używa dostępu do internetu (czy powinno)? 
    11. Czy umiesz zdalnie zlokalizować telefon? 
    12. Czy umiesz zdalnie wykasować dane z telefonu? 
    13. Czy wiesz ile czasu spędzają w sieci twoi podopieczni? 
    14. Blokujesz niechciane SMSy i połączenia? 
    15. Wiesz jak wyrobić klon karty SIM? 
    16. Masz w bezpiecznym miejscu kartę SIM, którą wiesz jak aktywować? 
    17. Czy blokujesz usługi premium?
    18. Czy twój rachunek telefoniczny może być obciążony zakupami w aplikacjach, subskrypcjami, abonamentami?
  11. Poczta internetowa: 
    1.  Z jakich skrzynek pocztowych korzystasz? 
    2. Na czym odbierasz pocztę? 
    3. Czy chroni je unikatowe hasło i 2FA? 
    4. Czy masz dedykowany profil użytkownika do pracy z pocztą biznesową? 
    5. Co zrobisz gdy zauważysz złośliwą informację? 
    6. Jak twoja firma reaguje na zagrożenia pocztowe? 
    7. Czego twoja firma oczekuje jako reakcji na złośliwe maile? 
    8. Co z wiedzą o złośliwych wiadomościach robi IT twojej firmy? 
    9. Jakich białych filtrów używasz do poczty? 
    10. Czy oznaczasz wiadomości spoza domeny? 
    11. Czy są filtry na pliki wykonywalne? 
    12. Czy wypisujesz się z niechcianych newsletterów? 
    13. Po czym poznajesz oszustwo w mailu?
    14. Czy musisz otworzyć każdy załącznik?
    15. Kogo zapytasz o radę gdy masz wątpliwości o prawdziwości maila?
    16. Potrafisz przeczytać kto jest nadawcą maila?
    17. Czy musisz umieć czytać nagłówki maili by znaleźć informację o oszustwie?
  12. Konta internetowe (i pocztowe): 
    1. Z jakich portali korzystasz (wymień media społecznościowe, portale zakupowe, sprzedażowe, banki, gry, seriale)? 
    2. Gdzie jesteś zalogowany (na jakich urządzeniach, przeglądarkach) – gdzie możesz korzystać z tych usług? 
    3. Co zrobisz pierwsze gdy zorientujesz się, że straciłeś komputer/telefon/tablet? 
    4. Czy umiesz założyć konto i przekazać dostęp innej osobie (np. Programista, partner biznesowy, konsultant)? 
    5. Czy masz włączone powiadomienia bezpieczeństwa (np.. O nowym logowaniu, zmianie hasła, wyłączeniu konta, zmienia adresu mail, wyłączeniu 2FA)? 
    6. Czy administrujesz jakąś stroną internetową, profilem na mediach społecznościowych? 
  13. Dane osobowe: 
    1. Czy monitorujesz i zabezpieczasz swoją zdolność kredytową na bik.pl lub chronpesel.pl lub w innym miejscu? 
    2. Jeżeli ktoś Cię obciąży kredytem, zobowiązaniem to czy chcesz się dowiedzieć od tego od komornika? 
    3. Czy monitorujesz swój PESEL (i sprawy przeciwko sobie) w Sądzie elektronicznym (https://e-sad.gov.pl)? 
    4. Czy zawsze musisz podawać prawdziwe dane w sieci? 
    5. Jak wiele danych można znaleźć o Tobie w sieci? 
  14. Poufna komunikacja: 
    1. Czy wiesz z kim powinnaś/powinieneś zachować wysokie wymogi poufności? 
    2. Jakimi narzędziami się komunikujesz poufnie? 
    3. Czy masz dedykowane narzędzia i urządzenia do poufnej komunikacji? 
    4. Czy określasz jakie informacje powinny być przedmiotem poufnej komunikacji? 
    5. Co zrobisz gdy poufność zawiedzie? 
  15. Praca na danych: 
    1. Jakich danych nie chcę i nie mogę nigdy stracić? 
    2. Kto ma dostęp do twoich dokumentów? 
    3. Które są ważne, a które pilne? 
    4. Czy masz podział na dane publicznie dostępne, poufne, tajne – PPN? 
    5. Jak chronisz dane wg tych kategorii PPN? 
    6. Czym i jakie dane chcesz szyfrować? 
    7. Czy używasz makr w pakiecie office? Jeśli nie, to czy umiesz na stałe wyłączyć możliwość z nich korzystania? 
    8. Jak dziś udostępniasz innym dane?
    9. Czy widzisz różnicę między udzieleniem dostępu do pliku a do treści w pliku?
  16. Kopie zapasowe:  
    1. Co i jak długo przechowuje, chcę przechowywać, jak często do tego sięgam ? 
    2. Na. Jakich i ilu nośnikach, jak długo przechowujesz kopie zapasowe? 
    3. Ile czasu mogę sobie pozwolić na pracę po np. kradzieży komputera i z jakiego czasu wstecz i ile danych mogę stracić ? 
    4. Backup – co, jak często, gdzie przechowywany? 
    5. Ile czasu wytrzymam bez komputera po kradzieży i ile danych stracę? 
    6. Ile czasu po awarii mogę być bez dostępu do usług krytycznych, ważnych (RTO (recovery time objective) – czyli czas w jakim należy przywrócić procesy po wystąpieniu awarii)? 
    7. ile danych mogę stracić w wypadku awarii (liczone w godzinach, dniach)  (RPO (recovery point objective) – czyli akceptowalny poziom utraty danych wyrażony w czasie)? 
    8. czy sprawdzasz czy backup działa?
  17. Dostęp do internetu: 
    1. Czy wiesz kiedy korzystać z VPN
    2. Jakich narzędzi używasz do połączeń VPN? 
    3. Jakie narzędzie VPN kupisz?
    4. Czy wykorzystujesz VPN łącząc się z nieswojej sieci z internetem? 
    5. Czy masz wytyczne biznesowe kiedy, czym i jak łączyć się poprzez VPN? 
    6. Jak się połączysz z siecią gdy nie masz swojego punktu dostępowego (np. telefonu z jego hotspotem)?
  18. Router domowy (dostęp do internetu):
    1. Czy się automatycznie aktualizuje? 
    2. Z kiedy jest ostatnia aktualizacja? 
    3. Czy hasło jest silne? 
    4. Czy ma możliwość włączenia 2FA do logowania? 
    5. Jakie są opcje kontroli rodzicielskiej
    6. Czy jest sieć dla gości? 
    7. Jakie urządzenia są podłączone? 
    8. Czy poznajesz wszystkie urządzenia? 
    9. Czy włączone jest WPA2 (lub WPA3)? 
    10. Czy chcesz by SSID (nazwa sieci bezprzewodowej) było widoczne? 
  19. Inne urządzenia: 
    1. Co zobaczy znalazca twojego pendrive? 
    2. Co zrobisz gdy znajdziesz jakiś pendrive? 
    3. Aktualizujesz urządzenia takie jak TV, odkurzacz, lodówka, mikser? 
  20. Procesy biznesowe w firmie:
    1. A co w sytuacji gdy dany system nie działa?
    2. A co w sytuacji gdy drukarka nie działa?
    3. A co w sytuacji gdy Internet nie działa?
    4. Gdzie jest zapisywany ten dokument?
    5. Kto jeszcze ma do niego dostęp?
    6. Co by się stało gdyby dany plik zginął?
    7. Co by się stało gdyby dany plik został ujawniony?
    8. Kto nadaje uprawnienia do danego systemu?
    9. Co gdy dany pracownik jest niedostępny?
    10. Gdzie zapisywane są kalkulacje ofertowe sporządzane dla klientów?
    11. Kto może mieć do nich dostęp?
    12. Kto jest odpowiedzialny za nadawanie tego dostępu?
    13. W jaki sposób przekazywana jest informacja o konieczności odebrania uprawnień gdy pracownik odchodzi z firmy?
    14. Co by się stało gdyby dany dokument został ujawniony?
    15. Co by się stało gdyby został przypadkowo wysłany do innego klienta?
    16. Co by się stało gdyby dostał się w ręce konkurencji?
  21. Strona internetowa:
    1. czy jest zaktualizowana?
    2. Kto ma dostęp administracyjny?
    3. czy komentarze są akceptowane automatycznie?
    4. Kto robi backup, jak długo jest przechowywany?
    5. Czy robisz regularne testowanie czy backup działa?
    6. Jak się dowiesz o ataku typu DDoS i co wówczas zrobisz?
  22. Jakie elementy są najważniejsze dla działania jednostki biznesowej?
    1. Jakość stosowanych procedur
    2. Przygotowanie na zdarzenia
    3. Jakość personelu IT
    4. Kultura organizacyjna w obszarze cybsec
    5. Jakość audytu wewnętrznego
  23. Dla IT i decydentów na polu cyberbezpieczeństwa:
    Czy znasz te technologie, sposoby na bezpieczeństwo, czy są ujęte w projektach, procesach i zasobach organizacji?
    1. Proxy services
    2. Stateful packet inspection
    3. Deep packet inspection
    4. Real-time packet decryption 
    5. Email handling
    6. Intrusion detection and blockage
    7. Application controls 
    8. Virtual private network or remote access devices 
    9. network access control (NAC)
    10. firewalls
    11. endpoint protection (EPP)
    12. endpoint detection and response (EDR)
    13. security incident and event management (SIEM)
    14. security orchestration automation and response (SOAR)
    15. intrusion detection/prevention systems (IDS/IPS)
    16. breach and attack simulation (BAS)
    17. threat and vulnerability management (TVM)
    18. identity and access management (IAM)
    19. secrets management
    20. privilege account management (PAM)
    21. network traffic analysis (NTA)
    22. static application security testing (SAST)
    23. dynamic application security testing (DAST)
    24. security awareness training – smishing , phishing
    25. secure email gateways
    26. cloud access security brokers (CASB)
    27. secure web gateway
    28. credentials management
    29. web application firewalls (WAF)
    30. encryption
  24. Prywatność i anonimowość w sieci:
    1. Kiedy i do czego potrzebujesz prywatność i/lub anonimowość?
    2. Wiesz czym się różni prywatność od anonimowości w sieci?
    3. Czy będziesz mieć cierpliwość na konsekwencję w działaniu?
    4. Czy wiesz czym jest VPN, TOR, DNS?
    5. Umiesz pracować na 3 i więcej przeglądarkach jednocześnie?
    6. Stać Cię na pracę na 3 i więcej urządzeniach?
    7. Masz kryptowaluty?
    8. Umiesz czyścić historię przeglądarki?
    9. Czy wiesz jak czyszczenie historii przeglądarki wpłynie na komfort twojej pracy?
  25. Inne obszary?

Interesuje Cię informacja o aktualizacjach tego tematu?

Chcesz uczestniczyć w dedykowanym szkoleniu z interpretacji odpowiedzi?

Potrzebujesz wsparcia, konsultacji, pomocy w bezpieczeństwie? Chętnie Ci w tym pomogę.
Zdalnie, lokalnie, przez mail lub telefon – jak będzie najwygodniej.

Zostaw swój adres lub napisz mail [email protected]

Zostaw komentarz

%d bloggers like this: