Informationssicherheitsanweisungen für neue Mitarbeiter

Informationssicherheitsanweisungen für neue Mitarbeiter

Informationssicherheitsanweisungen für neue Mitarbeiter

Um die Anzahl der Cyber-Vorfälle zu minimieren, sollten Sie eine Anweisung mit grundlegenden Informationssicherheitsregeln erstellen und sie jedem neuen Mitarbeiter ausstellen.

Um die Wahrscheinlichkeit eines Fehlers zu minimieren, ist es für ein Unternehmen hilfreich, eine einheitliche Informationssicherheitsanweisung zu haben. Es sollte allen neuen Mitarbeitern bei der Einstellung bekannt gemacht werden, und es ist auch sinnvoll, die alten zu informieren. Es kann schwierig sein, solche Anweisungen von Grund auf neu zu schreiben, deshalb haben wir uns dafür entschieden, dies für Sie zu tun — zumindest um einen allgemeinen Plan zu erstellen, zu dem Sie dann spezifische Elemente für Ihr Unternehmen hinzufügen können. Das sollte unserer Meinung nach in einer solchen Anweisung enthalten sein.

Zugriff auf Unternehmensressourcen und -dienste. Verwenden Sie nur komplexe Passwörter: Sie müssen mindestens 12 Zeichen lang sein, nicht aus Wörterbüchern bestehen, Sonderzeichen und Zahlen enthalten. Wenn das Passwort einfach ist, kann der Angreifer es durch einfaches Durchbrechen abholen.

Kennwörter müssen eindeutig sein: Verwenden Sie nicht dasselbe Kennwort für alle Arbeitsressourcen. Vor allem - verwenden Sie es nicht für persönliche Zwecke. Ein Leck von einem der Dienste würde ausreichen, um alle zu kompromittieren.

Passwörter sollten geheim sein: Notieren Sie das Passwort nicht auf Papier und bewahren Sie es nicht in der Nähe Ihres Arbeitsplatzes auf; Schreiben Sie es nicht in Dateien und teilen Sie es nicht mit Kollegen. Andernfalls kann ein zufälliger Bürobesucher oder ein entlassener Mitarbeiter ein solches Passwort zum Nachteil des Unternehmens verwenden.

Wenn der Dienst die Zwei-Faktor-Authentifizierung aktivieren kann, aktivieren Sie diese. Dies verhindert, dass ein Angreifer auf den Dienst zugreifen kann, selbst wenn ein Passwort verloren geht.

Über die Bedeutung personenbezogener Daten. Werfen Sie keine Papiere mit persönlichen Daten in den Papierkorb. Wenn Sie sie wegwerfen müssen, verwenden Sie einen Schredder. Angreifer untersuchen oft weggeworfene Papiere und können auf sie stoßen.

Übertragen Sie keine Dateien mit persönlichen Daten über öffentliche Kanäle (z. B. Google Text & Tabellen über einen direkten Link oder öffentliche Dateispeicher). Das gleiche Google indiziert Dokumente im Zugriff über einen Link, so dass ein Außenstehender über sie stolpern kann. Teilen Sie Ihre persönlichen Kundendaten nicht mit Kollegen, deren Arbeitsfunktionen keinen solchen Zugriff erfordern. Wenn eine solche Praxis während eines Audits entdeckt wird, wartet das Unternehmen auf Ärger von den Aufsichtsbehörden, und die Wahrscheinlichkeit eines Lecks steigt.

Über die häufigsten Cyberbedrohungen. Überprüfen Sie die Links in den E-Mails sorgfältig, bevor Sie darauf klicken. Der überzeugende Name des Absenders ist keine Garantie für die Echtheit. Angreifer können versuchen, einen Phishing-Link einzuschieben, besonders wenn sie es schaffen, die E-Mails eines Kollegen zu erfassen. Wenn Sie über Budgets verfügen, überweisen Sie niemals Geld auf unbekannte Konten, nur auf der Grundlage eines Briefes oder einer Nachricht im Messenger. Rufen Sie die Person an, die die Übersetzung angeblich genehmigt hat, oder kontaktieren Sie sie über einen anderen Kanal und bitten Sie um eine mündliche Bestätigung. Wenn ein Angreifer eine Mail oder ein Konto im Messenger ergreift, kann ein Angreifer leicht eine schriftliche «Anweisung des Chefs» fälschen. Schließen Sie den USB-Stick nicht an einen funktionierenden Computer an, es ist nicht bekannt, woher der USB-Stick stammt. Ein Angriff über ein infiziertes externes Laufwerk ist keine Fiktion Angreifer können das Gerät tatsächlich ins Büro bringen.

Öffnen oder starten Sie keine ausführbaren Dateien aus einer nicht vertrauenswürdigen Quelle (z. B. per E-Mail). Wenn Sie eine Datei öffnen, sollten Sie immer darauf achten, dass sie nicht ausführbar ist (Angreifer maskieren häufig schädliche Dateien als Office-Dokumente).

Notfallkontakte. Verhält sich der Computer seltsam? Haben Sie viele E-Mails erhalten, in denen Sie versucht haben, sich bei Ihrem Unternehmenskonto anzumelden? Auf dem Desktop eine Ransomware-Notiz, und die Dateien werden nicht geöffnet? Haben Sie eine andere Anomalie bemerkt? Kontaktieren Sie umgehend unter .

Im letzten Punkt sollten Sie die Kontakte der Person verlassen, an die Sie sich im Falle einer nicht alltäglichen Situation wenden müssen. Sie können ein dedizierter Cybersicherheitsspezialist (falls vorhanden), ein Systemadministrator oder sogar ein Geschäftsinhaber sein. Kurz gesagt, derjenige, der genau weiß, was zu tun ist, wie zu tun ist und wann zu tun ist.

Dies sind alles die grundlegendsten Dinge, die jeder Mitarbeiter eines Unternehmens verstehen sollte. Weisen Sie jeder Anweisung basierend auf den oben genannten Tipps lassen Sie dem Mitarbeiter Zeit kennen zu lernen und Fragen zu unterzeichnen, dass er wirklich in Sie eingedrungen. Für ein besseres Bewusstsein für moderne Cyberbedrohungen empfehlen wir jedoch spezielle Schulungen.