Советы по кибербезопасности для деловых и туристических поездок

Сезон праздников стремительно приближается, но хакеры не отдыхают. Планируете ли вы отпуск дома или регулярные деловые поездки, обязательно защитите себя от киберпреступлений, воспользовавшись этими советами по кибербезопасности в путешествиях.

Совет по кибербезопасности в путешествии №1: обновите ОС и программное обеспечение

Перед отъездом убедитесь, что ваши операционные системы и программное обеспечение обновлены.

Совет по кибербезопасности в путешествии №2: берите только самое необходимое

Вам действительно нужно брать с собой 15 разных электронных устройств? Чем больше устройств вы берете, тем больше вам придется защищать от взлома, кражи или несчастных случаев.

Совет по кибербезопасности во время путешествий №3: заблокируйте свои устройства

Убедитесь, что все устройства, которые вы берете с собой, защищены надежными паролями. многофакторная аутентификация, или биометрический замок и отключите любые возможности обмена файлами. Избегайте брать с собой устройства, содержащие конфиденциальные данные. Если вы находитесь в командировке, попросите свою организацию одолжить вам одноразовый телефон или ноутбук для использования во время поездки. Если вы не можете избежать путешествия с устройством, содержащим конфиденциальные данные, рассмотрите возможность его шифрования с помощью программного обеспечения для шифрования.

Совет по кибербезопасности в путешествии №4: Остерегайтесь общественного Wi-Fi

Многие аэропорты, отели и рестораны предлагают бесплатный, незащищённый публичный Wi-Fi, что создаёт множество рисков для кибербезопасности. Избегайте использования таких сетей; гораздо более безопасный вариант — подключение к телефону. Если вам абсолютно необходимо подключиться к публичной сети Wi-Fi, следуйте этим передовым практикам от Continuum GRC.

Совет по кибербезопасности во время путешествия №5: не оставляйте устройства без присмотра

Запирайте все устройства, оставленные в гостиничных номерах, и никогда не оставляйте свои устройства без присмотра в общественных местах, даже на мгновение. Например, никогда не кладите телефон на стойку, пока лезете в сумочку или кошелек. При использовании устройств в общественных местах, особенно в многолюдных, максимально скрывайте их. Держите их заправленными во внутренние карманы или спрятанными в застегивающиеся сумки и следите за тем, чтобы эти сумки никогда не покидали ваше владение.

Совет по кибербезопасности в путешествии №6: не делитесь своим местоположением в социальных сетях

На многих сайтах социальных сетей есть возможность «отметиться» в вашем текущем местоположении, чтобы ваши подписчики могли отслеживать вас в поездке. Темная сторона заключается в том, что хакеры также могут отслеживать ваши перемещения и использовать их в своих интересах; например, проникнуть в ваш дом, офис или номер в отеле, когда они знают, что вас там нет.

Совет по кибербезопасности в путешествии №7: Не делитесь своим телефоном с другими

К вам могут подойти незнакомцы с душещипательными историями о потере своего телефона (или его краже) и необходимости одолжить ваш, чтобы позвать на помощь. Никогда не позволяйте незнакомцам «одалживать» ваш телефон или любое другое устройство. Умелому киберпреступнику достаточно всего нескольких мгновений, чтобы воспользоваться случаем и установить вредоносное ПО — или просто убежать и скрыться в толпе.

Совет по кибербезопасности во время путешествий №8: не используйте Bluetooth

Многие арендованные автомобили позволяют путешественникам подключать свои смартфоны с помощью Bluetooth. Однако некоторые автомобили хранят вашу личную информацию, например, список контактов, даже после того, как вы разорвали соединение. Включение Bluetooth-подключения также делает ваше устройство уязвимым для хакеров. Выключите Bluetooth перед тем, как отправиться в поездку, и не включайте его снова, пока не вернетесь домой.

Совет по кибербезопасности в путешествии №9: отключите автоматическое подключение к сети

Многие мобильные телефоны включают функцию, которая позволяет им автоматически подключаться к доступным сетям WiFi. Отключайте эту функцию не только во время путешествий, но и навсегда. Если вы укажете телефону автоматически подключаться к любой доступной сети, вы будете уязвимы для атак типа «человек посередине».

Совет по кибербезопасности во время путешествий № 10: используйте кредитные, а не дебетовые карты

При оплате номеров в отелях, питания или совершении других покупок в дороге всегда используйте кредитную, а не дебетовую карту. Системы точек продаж являются основными целями хакеров, и если данные вашей кредитной карты украдены, у вас гораздо больше возможностей вернуть мошеннические платежи, чем с дебетовой картой. Это также не позволяет хакерам получить доступ к вашему банковскому счету.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Звоните 1-888-896-7580 чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь вашей организации соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.

Теневыми ИТ-ресурсами можно управлять с помощью надежного управления

Теневые ИТ-ресурсы представляют собой серьёзную и растущую угрозу для соблюдения ИТ-требований и кибербезопасности, и большинство организаций не представляют, насколько они распространены на самом деле. В этой статье будут рассмотрены некоторые риски, связанные с теневыми ИТ-ресурсами, и обсуждены способы, которыми организации могут их обуздать.

Что такое Shadow IT?

Shadow IT относится к любому программному обеспечению, облачным сервисам или даже оборудованию, которые сотрудники используют в вашей корпоративной сети без согласия или ведома вашего ИТ-отдела. До распространения облачных вычислений это обычно включало отдельные инциденты, когда отдельные сотрудники, как правило, те, у кого была хотя бы некоторая степень технической проницательности, устанавливали несанкционированные программные приложения на свои настольные компьютеры.

Затем появилось облако, которое предоставило легкий доступ к головокружительному массиву бесплатных или очень дешевых приложений каждому сотруднику с компьютером и подключением к Интернету. В наши дни теневые ИТ почти исключительно относятся к несанкционированному использованию приложений SaaS и других облачных сервисов, и инциденты больше не являются изолированными; более 80% респондентов в опросе McAfee признался в использовании мошеннических SaaS-приложений на работе. В некоторых случаях обнаруживаются целые команды или отделы, использующие одно и то же теневое приложение.

Однако большинство организаций не имеют представления о масштабах использования теневых ИТ среди своих сотрудников. Респонденты на Обзор Cisco CIO подсчитали, что их организации используют в среднем 51 облачный сервис. Фактический средний показатель составил 730.

Дорога к кибератакам вымощена благими намерениями

В большинстве случаев мотивы сотрудников использовать теневые ИТ-приложения не являются злонамеренными или халатными; по их мнению, они используют инструменты, которые позволяют им лучше выполнять свою работу. На вопрос, почему они выбрали теневые приложения вместо одобренных предприятием альтернатив, респонденты опроса McAfee в основном ссылались на причины производительности.

К сожалению, несмотря на благие намерения сотрудников, теневые ИТ-решения представляют серьёзные риски для кибербезопасности и соответствия требованиям компании. Теневые приложения, не прошедшие проверку службой безопасности, могут иметь проблемы безопасности или соответствия требованиям, о которых пользователи не знают, особенно в таких строго регулируемых отраслях, как финансы и здравоохранение, а также в любых организациях, которые обязаны соблюдать требования. GDPR. ИТ-отдел также не осуществляет надзор за приложением; они не могут отслеживать журналы доступа или гарантировать регулярное выполнение резервного копирования или применение важных обновлений программного обеспечения.

Кроме того, использование теневых ИТ не ограничивается приложениями SaaS. Отдельные сотрудники или группы могут создавать собственные облачные серверы и использовать их для хранения и обработки корпоративных данных, открывая организацию для утечек данных и нарушений соответствия.

Советы по управлению теневыми ИТ

Видимость использования теневых ИТ-ресурсов — первый шаг к их контролю. Хотя обнаружение теневых ИТ-приложений и сервисов остается сложной задачей, появился ряд технических инструментов, облегчающих эту задачу. Например, на MSIgnite 2018 компания Microsoft анонсировала ряд обновлений для своих Инструмент обнаружения приложений для повышения производительности в Office 365 чтобы помочь предприятиям определить, какие теневые ИТ-приложения используются и какие сотрудники их используют.

Однако эффективное управление теневым использованием ИТ не заканчивается развертыванием инструмента видимости. Организации должны разработать надежные политики и управление, которые решают проблемы безопасности и соответствия теневых приложений, не подавляя при этом инновации сотрудников:

• Разработайте четкий, последовательный набор политик по использованию несанкционированных приложений и служб и убедитесь, что ваши сотрудники понимают, почему эти политики существуют. Приведите реальные примеры опасностей использования мошеннических приложений.
• Будьте готовы обучать новых сотрудников работе с одобренными предприятием приложениями в рамках процесса адаптации. Многие сотрудники, которые используют теневые ИТ-приложения, делают это из-за своего уровня комфорта с теневым приложением; они могли использовать его на предыдущей работе и не знакомы с одобренной предприятием альтернативой.
• Откройте линии связи со своими сотрудниками. Будьте в курсе приложений, которые они используют для своей работы, что им в них нравится и что, по их мнению, можно улучшить. Если достаточно много сотрудников поднимают одну и ту же проблему или жалуются, сделайте приоритетом предоставление решения, одобренного предприятием. В некоторых случаях ваша организация может захотеть работать с разработчиком теневого приложения, чтобы создать версию программного обеспечения, которая соответствует требованиям безопасности и соответствия вашего предприятия.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Звоните 1-888-896-7580 чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь вашей организации соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.

Предстоящая разработка NIST Privacy Framework поможет предприятиям управлять рисками, связанными с конфиденциальностью

Ссылаясь на успех своего рамки кибербезопасности и появление IoT-устройства, искусственного интеллекта и других технологий, которые делают защиту конфиденциальности клиентов для предприятий более сложной, чем когда-либо, задачей, NIST запустил совместный проект по разработке добровольная структура конфиденциальности. Проект NIST Privacy Framework стартует с публичного семинара в Остине, штат Техас, 16 октября 2018 года. Семинар также будет транслироваться в прямом эфире, записан и размещен на веб-сайте NIST Privacy Framework для будущего доступа.

NIST запускает свой проект Privacy Framework в среде, где потребители все больше беспокоятся о том, какие данные собирают у них предприятия, что они собираются с ними делать и насколько безопасно они их хранят и обрабатывают. По данным Национального управления по телекоммуникациям и информации (NTIA), 73% домохозяйств США пользуются Интернетом испытывают опасения относительно конфиденциальности и безопасности данных, и по меньшей мере треть из них воздерживаются от определенных видов деятельности в Интернете из-за этих страхов.

Примечательно, что в рамках проекта, отдельного от NIST Privacy Framework, NTIA недавно опубликовало запрос на общественное обсуждение в Федеральном реестре о наборе принципов конфиденциальности данных для информирования внутреннего правового и политического подхода к конфиденциальности данных потребителей. NTIA стремится разработать «набор результатов конфиденциальности, ориентированных на пользователя, которые лежат в основе защиты, которая должна быть получена любыми федеральными действиями по политике конфиденциальности потребителей, и набор целей высокого уровня, которые описывают контуры экосистемы, которая должна быть создана для обеспечения этой защиты».

Грядут более строгие законы о конфиденциальности данных

NIST Privacy Framework будет добровольным, но запрос NTIA на публичное обсуждение является предварительным шагом, который в конечном итоге может привести к федеральному закону о конфиденциальности данных. Разработка такого закона будет долгим и сложным процессом, и вопрос о том, будет ли конечный результат равен «американскому GDPR», остается спорным. Однако одно можно сказать наверняка: грядут более строгие законы о конфиденциальности данных.

Некоторые штаты, в частности Калифорния, уже взяли ситуацию в свои руки. Перспектива необходимости соблюдать 50 различных законов штатов смягчила взгляды крупных организаций на федеральные правила конфиденциальности данных. На прошлой неделе Слушания в сенатском комитете по торговле, науке и транспортуПредставители AT&T, Amazon, Twitter, Apple и Charter Communications заявили, что они открыты для федерального закона о конфиденциальности данных, а Google опубликовала собственные идеи для структуры конфиденциальности данных до слушаний в Сенате.

Лучший способ для предприятий подготовиться к более строгому законодательству о конфиденциальности данных в будущем — это уже сейчас внедрять упреждающие меры кибербезопасности и надежное управление данными, соответствие требованиям и управление рисками.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Звоните 1-888-896-7580 чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь вашей организации соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.