Checklist IT bezpečnosti

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

S PŘECHODEM KE CLOUDOVÝM SLUŽBÁM NABÝVÁ OCHRANA IDENTIT NA JEŠTĚ VĚTŠÍM VÝZNAMU NEŽ DŘÍVE. POKUD BUDE IDENTITA KOMPROMITOVÁNA, ÚTOČNÍCI BUDOU MÍT PŘÍSTUP K JEJÍM ZDROJŮM.

S POUŽÍVÁNÍM SOUKROMÝCH ZAŘÍZENÍ JE OBVYKLE SPOJENO JEJICH PŘENÁŠENÍ, SNÍŽENÝ DOHLED ČI SDÍLENÍ SE ČLENY RODINY. TAKÉ OBSAHUJÍ APLIKACE, KTERÉ NEJSOU NUTNÉ K PRACOVNÍM ÚČELŮM. TO VŠE PŘINÁŠÍ ZVÝŠENÉ RIZIKO PRO BEZPEČNOST UŽIVATELŮ I CELÉ ORGANIZACE.

VÍCE NEŽ POLOVINA UŽIVATELŮ POUŽÍVÁ STEJNÁ HESLA K RŮZNÝM SLUŽBÁM. 13% VŠECH UŽIVATELŮ PAK POUŽÍVÁ STEJNÉ HESLO ÚPLNĚ VŠUDE. 80% VŠECH ÚNIKŮ DAT V ROCE 2019 BYLO ZPŮSOBENO V DŮSLEDKU ÚNIKU HESLA.

NEJZRANITELNĚJŠÍM ČLÁNKEM BUDE VŽDY ČLOVĚK. PHISHING JE NEJČASTĚJŠÍM VEKTOREM PRŮNIKU DO FIREM. 61 % UŽIVATELŮ OTEVŘE PHISHINGOVÝ E-MAIL, 31 % PAK POKRAČUJE NA PODVODNÉ STRÁNKY. POUZE 3 % UŽIVATELŮ NAHLÁSÍ PHISHINGOVÉ E-MAILY ADMINISTRÁTOROVI.

Gratulujeme, dostali jste se do cíle!

  • UŽIVATELSKÉ ÚČTY – IDENTITA
  • ZAŘÍZENÍ UŽIVATELŮ/ ZAMĚSTNANCŮ
  • HESLA
  • PHISHING
  • VYHODNOCENÍ

Nepoužíváme služby zdarma a soukromé účty k pracovním účelům (Seznam mail, Gmail apod.).

Nemáme jeden společný účet pro všechny uživatele (uživatelský účet, Gmail, Dropbox apod.).

Používáme centrální systém správy identit (Active directory, AzureAD, OpenLDAP apod.).

Zaměstnanci se nepřipojují k free Wi-Fi na veřejných místech, mají zřízenou VPN.

Pro žáky/hosty je vyčleněna speciální Wi-Fi síť, bez prostupů do té školní.

Učitelé nepoužívají soukromé účty pro pracovní účely a naopak, stejně tak hesla.

Minimálně klíčové účty (ale ideálně všechny) mají nastaveno multifaktorové ověřování (Aplikace, SMS…) pro přístup ke službám dostupných z internetu.

Žáci mají vytvořené školní účty pro přístup do vzdělávacích a školních informačních systémů, nepoužívají soukromé účty.

Disky notebooků, stanic a mobilních zařízení jsou šifrované.

Používáme systémy správy zařízení, jak pro počítače, tak MDM pro mobilní telefony.

Vynucujeme automatické zamknutí zařízení – počítačů i mobilů. Uživatelé znají a používají zkratku Win+L.

Centrálně řídíme aktualizace operačního systému i aplikací.

Firmware zařízení je pravidelně aktualizován, EFI a BIOS jsou chráněny hesly.

Operační systém je naistalován z důvěryhodného zdroje a v 64-bit verzi.

Používáme antivirové řešení, které centrálně spravujeme a dohledujeme.

BYOD – Zaměstnanci nepoužívají soukromá zařízení pro pracovní účely, protože soukromá zařízení nejsou pod správou organizace.

Blokujeme neznámé USB disky – ideální stav je povolit připojení jen povolených flešek (dle sériových čísel).

Pokud není možné zavést blokaci neznámých USB, tak vynucujeme antivirovou kontrolu připojených zařízení.

Učitelé i management jsou poučeni o problematice tvorby a úniků hesel.

Používáme dostatečně silná a unikátní hesla pro každý systém, účet a službu.

Hesla nemáme připíchnutá na nástěnkách, lepících na monitorech či v Excelech na Ploše.

Používáme správce hesel mimo internetový prohlížeč a máme do něj opravdu silné heslo – frázi.

Pro přístup ke klíčovým systémům (O365, G-suite) používáme multifaktorové ověření.

Pomocí politik vynucujeme komplexnost hesel, ale zbytečně uživatele nezatěžujeme.

Zaměstnanci prošli školením, jak phishing rozpoznat a jak s ním nakládat.

Školení dostává každý nový zaměstnanec a školení pro všechny pravidelně aktualizujeme a opakujeme.

Testujeme své zaměstnance pomocí simulovaných phishingových útoků.

Učitelé i management byli poučeni o technikách sociálního inženýrství a jsou proti nim imunní.

Vyplňte prosím dodatečné informace, které nám pomohou upřesnit návrh.

E-mail, na který Vám zašleme výsledné vyhodnocení:

Počet zařízení ve Vaší síti:

Pokud jste již vyplnili PDF checklist, nahrajte jej sem:

Max. size: 30,0 MB

ÚČTY S VYSOKÝMI PRÁVY (ADMIN) SE ČASTO POUŽÍVAJÍ PRO BĚŽNOU PRÁCI – TYPICKY JE VYŽADUJÍ VEDOUCÍ PRACOVNÍCI, ŘEDITELÉ A „AJŤÁCI“ – TO JE ŠPATNĚ!

IT ADMINISTRÁTOŘI MAJÍ PŘÍSTUP DO VĚTŠINY SYSTÉMŮ, ALE NEMĚL BY BÝT NEOMEZENÝ. NĚKDO MUSÍ HLÍDAT HLÍDAČE.

AKTUALIZACE NEPŘINÁŠÍ JEN NOVÉ FUNKCE, ALE PŘEDEVĚÍM OPRAVY BEZPEČNOSTNÍCH CHYB A ZRANITELNOSTÍ. JE TEDY NEZBYTNÉ UDRŽOVAT SYSTÉMY, SLUŽBY I APLIKACE AKTUALIZAOVANÉ.

POKUD MÁTE VLASTNÍ SERVERY, JE NUTNÉ SE O NĚ STARAT. POKUD SI NECHÁVÁTE SLUŽBY HOSTOVAT, TATO STAROST VÁM NEODPADÁ, POUZE JI S NĚKÝM DALŠÍM SDÍLÍTE.

Gratulujeme, dostali jste se do cíle!

  • PRIVILEGOVANÉ ÚČTY
  • KONTROLA ADMINISTRÁTORŮ
  • NEAKTUALIZOVANÉ VERZE OPERAČNÍCH SYSTÉMU, PROGRAMŮ A SLUŽEB
  • SERVERY A HOSTING
  • VYHODNOCENÍ

Pro běžnou práci používáme uživatelské účty bez administrátorských oprávnění.

Administrátor sám používá privilegovaný účet jen v nutných případech, jinak pracuje také pod uživatelským účtem.

Uživatelé ani vedoucí pracovníci nemají práva administrátora.

Dodržujeme princip „Least privilege“ – tedy používáme co možná nejnižší oprávnění, která potřebujeme.

Máme zapnuté audit logy a zaznamenáváme vše, co který administrátor udělal.

IT oddělení pravidelně testuje Disaster Recovery plán, včetně scénářů pro ransomware útok, či živelnou pohromu.

Administrátoři nepoužívají k přihlášení k uživatelským stanicím účty s vysokým oprávněním (domain admin) ale servisní, nebo jen dočasné admin účty.

Máme zřízen záložní přístup do všech systémů a ten je bezpečně uložen, třeba v obálce v trezoru.

IT vede dokumentaci k projektům a implementacím, aby bylo jasné, co a jak bylo provedeno.

Počítáme s možností odchodu IT pracovníka a nejsme na něm plně závislí.

Máme připraven scénář pro resetování administrátorových účtů a zamezení jeho přístupu do organizace.

Nemáme do internetu publikované přihlašování přes RDP (vzdálenou plochu) či jiných do interních systémů.

Pravidelně aktualizujeme nejen serverové operační systémy, ale i služby a další programy.

Nepoužíváme „portable“ verze programů.

Máme nasazen firewall a kontrolujeme jeho provoz.

Používáme systém na centrální sběr logů (SIEM).

Provádíme inspekci provozu a pravidelně sledujeme reporty, máme nastaveny notifikace na zvláštní události.

Školní síť je segmentovaná – rozdělena do samostatných částí, které nemusí být nutně prostupné.

Máme izolovaný provoz v podsítích pro žáky/hosty a samostatný subnet pro chytré tabule, IoT, apod.).

Máme zajištěnou fyzickou bezpečnost serverovny.

Volně dostupná zařízení jako jsou kiosky mají zaslepené USB porty a jsou zaplombovány.

Poskytovatel hostingu má bezpečnostní audit, pravidelně záplatuje a zálohuje a je schopný to doložit.

Vyplňte prosím dodatečné informace, které nám pomohou upřesnit návrh.

E-mail, na který Vám zašleme výsledné vyhodnocení:

Počet zařízení ve Vaší síti:

Pokud jste již vyplnili PDF checklist, nahrajte jej sem:

Max. size: 30,0 MB

NEJDE JEN O DESIGN, ALE I O BEZPEČNOST. WEB BY MĚL BÝT RESPONZIVNÍ, RODIČE NA NĚJ CHODÍ PŘEDEVŠÍM Z MOBILNÍCH TELEFONŮ A HTTPS ZAJISTÍ NEJEN BEZPEČNOST A ANONYMITU, ALE I LEPŠÍ POZICI VE VYHLEDÁVÁNÍ.

TO NEJDŮLEŽITĚJŠÍ NAKONEC. O DATA MŮŽETE PŘIJÍT I JINAK NEŽ V DŮSLEDKU RANSOMWARE ÚTOKU. ZÁLOHOVÁNÍ SE BOHUŽEL DO PRVNÍ ZTRÁTY ČASTO POCEŇUJE – NEOPAKJTE TUTO ČASTOU CHYBU.

Gratulujeme, dostali jste se do cíle!

  • ŠKOLNÍ WEBY A SOCIÁLNÍ SÍTĚ
  • ZÁLOHOVÁNÍ DAT
  • VYHODNOCENÍ

Weby běží na HTTPS i když na nich není možnost se přihlásit ke školním systémům.

Služby, ke kterým se přihlašují jak učitelé i uživatelé, mají vždy platný a podepsaný certifikát.

Neobsahují zranitelnosti.

Na webu nejsou zveřejňovány informace v rozporu s GDPR (Fotografie a osobní údaje dětí, záznamy z kamerových systémů apod.).

Na sociálních sítích máme oficiální profil školy, který má několik správců a moderátorů.

Učitelé nezakládají na sociálních sítích neveřejné třídní skupiny.

Pro komunikaci s rodiči existuje jednotný komunikační kanál.

Při distanční výuce se řídíme doporučenými bezpečnostními postupy.

Automaticky a v pravidelných intervalech zálohujeme důležitá data – servery, interní systémy, data uživatelů…

Dodržujeme pravidlo 3-2-1. Zálohujeme 3 kopie dat, na 2 rozdílné typy úložišť a 1 kopii ukládáme fyzicky mimo školu.

Máme připraven Disaster Recovery plán – plán obnovy po havárii či útoku a ten alespoň jednou ročně testujeme.

Pravidelně testujeme obnovu a konzistenci záloh, i když vše funguje.

Máme zálohy zabezpečeny a odděleny pro případ útoku.

Vyplňte prosím dodatečné informace, které nám pomohou upřesnit návrh.

E-mail, na který Vám zašleme výsledné vyhodnocení:

Počet zařízení ve Vaší síti:

Pokud jste již vyplnili PDF checklist, nahrajte jej sem:

Max. size: 30,0 MB

error: Kopírování, vkládání a pravé myšítko je zakázáno.