ZBIRKA ZNANJA
Vodstvo, računovodje in zaposleni se v podjetju srečujete z različnimi spletnimi nevarnostmi. Preverite, katere prežijo na vas in kako lahko ukrepate.
V podjetju je moja vloga:
Spletni goljufi so vsak dan bolj iznajdljivi. Če vaše podjetje presenetijo na primer z vdorom v sistem ali okužbo z izsiljevalskim virusom, so varnostne kopije (t. i. backupi) edino zagotovilo, da boste še lahko dostopali do svojih podatkov. Zato upoštevajte:
- Podatke varnostno kopirajte na zunanji medij, do katerega nimajo dostopa vsi zaposleni. Najbolje je, da medij z varnostnimi kopijami fizično umaknete, ga denimo zaklenete v omaro.
- Varnostne kopije ustvarjajte redno in dosledno. Varnostno kopiranje opravljajte tudi čim bolj pogosto in na vsaj dve različni lokaciji (ena kopija naj bo v službi, druga na ločeni lokaciji, na primer doma, v bančnem trezorju, oblaku).
- Če varnostne kopije shranjujete v oblaku, izberite zaupanja vrednega ponudnika. Za dostop nastavite avtentikacijo v dveh korakih. Preden podatke izvozite v oblak, jih šifrirajte s svojim šifrirnim ključem.
Namig: Ko izdelate varnostne kopije, vedno preverite, ali delujejo. Med kopiranjem dokumentov namreč lahko nastane napaka in dokumenti bodo v tem primeru neuporabni.
Naredite popis vsega, s čimer podjetje razpolaga, vključno z/s:
- strojno opremo: računalniki, strežniki, tiskalniki, mobilni telefoni, USB-ključi, zunanji diski;
- programsko opremo: poleg licenčnih naj popis obsega tudi brezplačne programe;
- informacijami: ne zgolj elektronske baze in datoteke (dokumente v PDF-ju, Wordu in Excelu), popis naj zajame tudi papirnato dokumentacijo;
- infrastrukturo: pisarna, klimatske naprave in potek električne napeljave, ker lahko ta sredstva vplivajo na dosegljivost informacij;
- ljudmi: zaposleni, zunanji sodelavci;
zunanjimi storitvami: nabor spletnih storitev, kot sta DropBox in Gmail.
Če zaposleni v vašem podjetju uporabljajo službene prenosnike in telefone, poskrbite za varnost teh naprav:
- Z namensko programsko opremo (na primer BitLocker) omogočite šifriranje diska, kar vam lahko koristi, če službeni računalnik ukradejo.
Zaposlenim na službenih računalnikih omogočite le toliko pravic, kot jih zares potrebujejo. Administratorski dostop naj ima le tisti, ki skrbi za naprave, za običajno delo pa uporabljajte račune z omejenimi pravicami.
Poskrbite za najpomembnejše ukrepe, da programska oprema ne bo varnostno tveganje:
- Na vseh službenih računalnikih redno posodabljajte nameščene aplikacije in operacijski sistem.
- Na elektronske naprave namestite zanesljiv antivirusni program z najnovejšimi posodobitvami.
- Na računalnik ali telefon nikoli ne nameščajte nelicenčne (t. i. piratske) programske opreme.
Če zaposleni delajo od doma, poskrbite za varnost:
- Zaposlenim za dostop do službenega omrežja priskrbite VPN-povezavo in jih naučite ravnanja z njo.
- Dostop od doma omogočite le tistim uporabnikom, ki to zares potrebujejo.
- Oddaljen dostop do službenega omrežja naj bo dobro zaščiten, tudi s požarnim zidom.
- Zaposlene poučite, naj uporabljajo močno geslo in večstopenjsko avtentikacijo.
Službeno brezžično omrežje, prek katerega zaposleni in obiskovalci dostopajo do spleta, ustrezno zaščitite:
- Uporabite kompleksno geslo za dostop do omrežja.
- Uporabite šifriranje (WPA2, AES).
- Na brezžičnem usmerjevalniku (t. i. routerju) spremenite privzete oziroma tovarniške nastavitve.
- Ločite omrežji Wi-Fi za zaposlene in obiskovalce. Obiskovalcem onemogočite dostop do službenega omrežja.
- Skrijte ime omrežja Wi-Fi, tako da se ne prikaže na seznamu razpoložljivih omrežij (skriti SSID).
Spletna stran je zrcalo vašega podjetja v splet in običajno prvi stik kupca z vami. Ustrezno pa je treba poskrbeti tudi za njeno varnost:
- Spletna stran naj bo dosegljiva prek varne povezave (prepoznamo jo po »https« v URL-naslovu spletne strani). Še posebej je to pomembno, ko ima spletna stran vnosne obrazce (ime in priimek, elektronski naslov) ali spletno trgovino in možnost spletnega plačevanja blaga oziroma storitev.
- Spletno mesto redno vzdržujte in posodabljajte. Še posebej to velja, če vaša spletna stran temelji na odprtokodnih rešitvah za urejanje vsebine, na primer Joomli, WordPressu, Magenti, Prestashopu, Drupalu, OpenCartu, Typo3 in podobnih.
- Izdelavo in vzdrževanje spletne strani vedno zaupajte kredibilnemu in z referencami podprtemu ponudniku gostovanja in programerju. Spletno mesto nujno vzpostavite ob pomoči profesionalne in strokovno podkovane podpore.
- Ne dovolite, da se kot nosilec domene vpiše izdelovalec vaše spletne strani. Če že, naj svoje kontaktne podatke vpiše kot tehnični stik. Ob registraciji tudi navedite elektronski naslov, do katerega ne dostopajo vsi zaposleni.
- Na spletno stran napišite samo splošen elektronski naslov podjetja (primer: info@imepodjetja.si). Kontaktnih podatkov zaposlenih ne objavljajte, saj jih goljufi lahko premeteno izkoristijo za različne vrste spletnih goljufij.
Namig: Prenesite si vodnik ABC varnosti za lastnike spletnih strani, v katerem so zbrani nasveti za vzdrževanje spletne strani in pravilno skrb za domeno ter kontaktni naslovi, kamor se lahko obrnete, če bi imeli težave.
Če v okviru svoje dejavnosti zbirate podatke fizičnih oseb ali vaša storitev temelji na uporabi osebnih podatkov, boste morali od konca maja 2018 upoštevati določbe Splošne uredbe o varstvu podatkov (GDPR). Več o tem boste izvedeli na spletni strani IP: www.ip-rs.si, nekaj ključnih povzetkov pa najdete tukaj.