Чек-лист готовности к кибербезопасности

Многие небольшие компании понимают, что безопасность важна, но не уверены, как выглядит «достаточно хорошо на данный момент». Этот чек-лист дает вам практичную отправную точку. Он сосредоточен на базовых вещах, которые снижают распространенные ежедневные риски: защита учетных записей, обновления ПО, резервные копии и привычки сотрудников.

Чтобы использовать его, не нужно быть техническим специалистом. Если вы можете ответить «да», «нет» или «не знаю» по каждому пункту — этого достаточно. Ответ «не знаю» полезен: обычно это значит, что процесс неформальный, не описан документально или зависит от одного человека.

Это общая обучающая информация, а не оценка безопасности. Требования отличаются в зависимости от отрасли и штата. Если вы работаете с медицинскими, платежными, юридическими или другими чувствительными данными, возможно, вам нужно соблюдать дополнительные правила.

Просмотрите каждый пункт и отметьте один вариант ответа: Да, Нет или Не знаю. Отвечайте честно. Цель — не получить идеальный результат. Цель — понять, где вы находитесь сейчас.

Если вы владелец или офис-менеджер, возможно, вам стоит отвечать с учетом мнения того, кто занимается компьютерами, ПО или взаимодействием с поставщиками. Не отправляйте нам пароли, данные о сети или доступ к системам. Мы собираем только базовые сведения о бизнесе и контактах, если вы попросите нас помочь вам найти провайдера.

Хорошее правило простое. Если шаг по безопасности выполняется только «когда кто-то вспомнит», считайте это «Нет». Если это происходит регулярно, оформлено в виде записи и процесс знают более одного человека — считайте это «Да».

Оцените каждый пункт как Да, Нет или Не знаю.

1. Для электронной почты, бухгалтерии, банковских сервисов, хранения файлов и других важных систем включена многофакторная аутентификация (MFA). Многофакторная аутентификация, или MFA, означает, что пользователям нужен второй шаг для входа — например, код из приложения или ключ безопасности — а не только пароль.

2. У каждого сотрудника есть своя учетная запись. Общие логины избегаются, особенно для электронной почты, финансовых инструментов и админских сервисов.

3. Бывшие сотрудники и старые поставщики данных быстро удаляются из учетных записей, программного обеспечения, Wi-Fi и устройств.

4. Пароли надежные и уникальные, а команда использует менеджер паролей вместо повторного использования паролей в таблице или блокноте.

5. Компьютеры, телефоны, роутеры и бизнес-приложения регулярно обновляются. Патчинг — это установка обновлений безопасности и исправлений ошибок, чтобы известные слабые места с меньшей вероятностью были использованы злоумышленниками.

6. Установлены и включены антивирус или современная защита устройств на рабочих компьютерах. Endpoint (конечная точка) — это устройство вроде ноутбука, настольного ПК, телефона или планшета, которое подключается к системам вашего бизнеса. EDR, или обнаружение и реагирование на угрозы на конечных точках, — более продвинутый инструмент, который некоторые провайдеры используют, чтобы выявлять и расследовать подозрительную активность на таких устройствах.

7. Важные данные резервируются автоматически, а не просто иногда вручную копируются.

8. Резервные копии периодически проверяются: восстановлением файла или системы, чтобы вы знали, что резервная копия пригодна к использованию.

9. Ваш подход к резервному копированию примерно соответствует правилу 3-2-1. Это означает хранение 3 копий важных данных, на 2 разных типах носителей, при этом 1 копия хранится вне офиса или в облаке.

10. Сотрудники умеют распознавать подозрительные письма, фальшивые счета и неожиданные запросы на вход, а также проходят простое обучение по безопасности хотя бы один-два раза в год.

11. Есть понятный способ, как сотрудники быстро сообщают о подозрительном, не испытывая неловкости.

12. Бизнес-Wi-Fi защищен, использует надежный пароль, а гостевой Wi-Fi по возможности отделен от устройств бизнеса.

13. Административный доступ ограничен тем немногим людям, которым он действительно нужен. Не все должны иметь возможность устанавливать ПО, менять настройки безопасности или получать доступ ко всем файлам.

14. Вы знаете, какие устройства и ключевое программное обеспечение нужны вашему бизнесу. Не обязательно делать это сложно, но должен быть актуальный список.

15. Удаленная работа организована по базовым правилам, например блокировки экрана, одобренные устройства и безопасный доступ к файлам и приложениям.

16. Если вы принимаете оплату картами, собираете медицинскую информацию или другие регулируемые данные, вы понимаете, какие правила могут применяться. PCI означает требования к безопасности платежных карт. HIPAA — это закон США о переносимости и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act), который применяется к определенной медицинской информации. SOC 2 — это стандарт отчетности, который некоторые поставщики ПО используют, чтобы показать, как они управляют средствами контроля безопасности.

17. Вы знаете, к кому обращаться, если что-то идет не так — например, подозрительная попытка входа, потерянный ноутбук или инцидент с ransomware. Даже простой список контактов лучше, чем разбираться в этом в напряженный день.

18. Основные поставщики ПО и ИТ-провайдеры задокументированы: указаны актуальные контактные данные службы поддержки и даты продления.

19. Если внешняя компания помогает с ИТ, вы понимаете, за что она отвечает и за что — нет. SLA (service level agreement, соглашение об уровне сервиса) — это часть договора, которая описывает целевые сроки реагирования и рамки услуг. RMM (remote monitoring and management, удаленный мониторинг и управление) — это программное обеспечение, которое многие управляемые провайдеры используют, чтобы отслеживать состояние устройств, применять обновления и поддерживать системы удаленно.

20. Решения по безопасности пересматриваются хотя бы иногда, а не только после того, как возникла проблема. Некоторые управляемые провайдеры также предлагают поддержку vCIO. vCIO означает virtual Chief Information Officer, то есть виртуальный директор по информационным технологиям: роль планирования, которая помогает бизнесу продумывать ИТ-приоритеты, бюджеты и риски.

Если вы ответили «Да» на большинство пунктов, это хороший знак. Обычно это означает, что у вас есть работоспособная основа. Но это не значит, что ваш бизнес «полностью защищен». Ни один честный провайдер не обещает неуязвимую сеть или отсутствие простоя. Это означает, что, скорее всего, у вас уже есть базовые меры, и вы можете улучшать ситуацию дальше.

Если по нескольким пунктам вы ответили «Нет» или «Не знаю», не паникуйте. Это распространено, особенно в небольших компаниях, где технологии со временем развивались неформально. Начните с основ, которые обычно важнее всего в первую очередь: MFA, патчинг, резервные копии, удаление старых доступов, защита устройств и базовое обучение сотрудников.

Если почти все ответы — «Нет» или «Не знаю», следующий шаг — не покупать сразу все инструменты. Сначала нужно получить понятный план с приоритетами. Хороший независимый управляемый ИТ-провайдер поможет вам отделить срочные исправления от улучшений на более длительную перспективу.

Превратите результаты в короткий список действий из трех групп: исправить сейчас, исправить в ближайшее время и проверить позже. «Исправить сейчас» обычно включает MFA, обновления ПО, проверку резервных копий, удаление старых учетных записей и убеждение, что рабочие устройства имеют актуальную защиту.

По каждому пункту с ответом «Нет» или «Не знаю» задайте простой вопрос. Кто это владеет? Как часто это делается? Это записано? Откуда мы знаем, что это работает? Эти четыре вопроса покажут, является ли процесс реальным или его только предполагают.

Если вы хотите получить помощь, чтобы понять ваши варианты, NodeBridge IT может связать вас с независимым провайдером услуг управляемого ИТ. Мы — бесплатный сервис сопоставления (matching). Мы не управляем системами, не мониторим вашу сеть и не получаем доступ к вашим учетным записям. Также вы можете прочитать больше простыми словами руководства и сравнить типовые управляемые услуги.