מידע הוא הנכס החשוב ביותר לחברה ובלעדיו חברה אינה יכולה להתקיים.
בכל מקרה של שאלה ,חשש או ספק פנו למנהלים הישירים ו/או למנהל הרשת/סיסטם/אבטחת מידע.
נוהל זה בא להגדיר את נהלי אבטחת המידע בחברה.
תוכן העניינים
מטרה
לספק ידע רלוונטי לאבטחת מידע וסייבר לעובדים בחברה תוך הקפדה על כללים ודגשים לשמירה על אבטחת המידע.
אבטחת מידע כללית
- אין לחבר התקנים חיצוניים לא מוכרים , USB , Disk-On-Key או טלפון סלולארי למחשב ללא קבלת
- אישור מתאים מהמנהל הישיר.
- אין לאפשר לאף אחד (כולל עובדים אחרים) להתחבר לתחנת העבודה שלכם ללא אישור מנהל ישיר.
- אין למסור פרטים מזהים בטלפון לרבות סיסמאות גישה.
- יש לצמצם את הגלישה שלא לצורכי העבודה במקום העבודה, על-מנת שלא לסכן את שרתי הארגון
- באם יש חשש נא לפנות למחלקת המחשוב/אבטחת-מידע ולהתייעץ עמהם בהקדם.
- יש לוודא כי תוכנת אנטי-וירוס מותקנת במחשב שלכם וכי היא מתעדכנת באופן תדיר ומסודר
- אין להתקין שום תוכנה מכל סוג שהוא ללא אישור מנהל ישיר ומנהל מחשוב
- אין להשאיר פתק עם הסיסמה ליד המחשב.
- אין לשמור סיסמאות בקובץ טקסט/וורד/אקסל על המחשב או לשלוח אותן בדוא”ל.
- שם המשתמש והסיסמה הינם אישיים ועליהם להיות חסויים – אל תמסרו אותם לאף אחד (בוודאי
- שלא בדוא”ל או בטלפון)
אבטחת טלפון סלולארי
טלפוi חכם (SmartPhone) – טלפון נייד של החברה – הינו מחשב לכל דבר ועניין, וחושף אותך המשתמש, ובכך את הארגון והמידע לגורם עוין.
- אין לבצע ROOT למכשיר ,לא לפרוץ אותו ולא להתקין גרסאות מותאמות.
- חשוב מאוד להגדיר סיסמה (רצוי מורכבת) במכשיר הטלפון – ראו המלצות מפורטות לעיל,
- להתקין תוכנת אנטי-וירוס במכשיר – אם אין תוכנה ארגונית מסודרת לנושא, אזי גם תוכנה חינמית עדיפה.
- לא לפתוח קישורים שמקבלים בהודעות מייל/סמס/וואטסאפ דרך המכשיר
- יש להקפיד להתקין אפליקציות רק מהחנויות הרשמיות והמוסמכות של היצרנים Google Play, App Store
- טרם ההתקנה מומלץ לקרוא ביקורות משתמשים שכבר התקינו ולהתרשם באם כדאי בכלל להתקין ואין בעיות.
- במידה ומתאפשר, מומלץ לכבות את יכולת ה-Bluetooth. במידה ולא ניתן, רצוי להסתיר/לבטל את שידור שם המכשיר.
- יש להיזהר ולהיות מודעים כי בעת שימוש באפליקציות ברשתות חברתיות על מכשירי טלפון חכמים,
- תוכנות אלו אוספות חומר אישי נרחב הרבה יותר מהנדרש (מיקום גאוגרפי ,סוג מכשיר, מידע פרטי, יכולת חיבור למיקרופון וכיו”ב)
- מומלץ להגדיר את היכולת למחוק את המכשיר מרחוק –Remote Wipe . קיים בניהול Office 365
- במידה ושומרים מידע רגיש (לא מומלץ) במכשיר הטלפון – מומלץ להצפינו (קיימות תוכנות כספת חינמיות).
שימוש באינטרנט אלחוטי
שימוש באינטרנט אלחוטי מחוץ למשרד חושף את המחשב להשתלטות של גורם עוין.
- אין להתחבר לרשת אלחוטית WIFI לא מוצפנת בסיסמה בשום אופן.
- אין להתחבר לרשתות אלחוטיות לא מוכרות (ניתן להתחבר לטלפון הסלולארי שלכם ולגלוש דרכו)
- הימנעו ככל האפשר בשימוש ב-HTTP -בעת גלישה והעדיפו שימוש ב-HTTPS
- הימנעו מלהתחבר לרשת אלחוטית בשדה תעופה, בתי-קפה, או כל רשת אלחוטית במקום ציבורי-
- ואם כבר משתמשים ברשת ציבורית – יש להשתמש ב-VPN או SSLVPN (חיבור מוצפן ע”ג רשת האינטרנט).
- בזמן חיבור VPN למשרד – הימנעו מגלישה לאתרים כלשהם.
- בכל מקרה שיש ספק או חשד, העדיפו גלישה דרך הטלפון הסלולארי שלכם – נקודת גישה חמה (Tethering Hotspot)
- אין להיכנס לאתרים מפוקפקים (הימורים ,משחקים ,פורנו וכיו”ב).
התגוננות מפני דיוג – Phishing
המטרה של פושעי רשת היא להשיג גישה למידע אישי, עסקי, פיננסי סודי וכו’ לשם עשיית רווחים קלים או למטרת פגיעה או סחיטה.
- יש להישמר מדואר ממקור חדש או לא מזוהה -אם לא ציפיתם לדואר אין לפתוח בשום אופן!
- הודעות ממקור לא ידוע עלולות להופיע בצורה אקראית בתיבת הדואר הנכנס שלכם- לכן אין לפתוח בשום אופן!
- אל תקיימו אינטראקציה, במיוחד אין להקליק על קישורים – בהודעות שהגיעו ממקור לא ידוע.
- הימנעו מהורדה או שמירה של קבצים המצורפים להודעות חשודות.
- לעולם אל תשלחו פרטים אישיים בדואר אלקטרוני, כמו סיסמאות, פרטי בנק/אשראי – רצוי בשיחה.
- היזהרו במיוחד מהודעות או חלונות קופצים Pop Ups לא מוכרות, ואל תלחצו על קישורים בהודעות אלו.
- במקרה של ספק היוועצו בצוות המחשוב/אבטחת המידע.
- בעת ספק תמיד צרו קשר ישיר! גם אם נראה כי הודעת האזהרה הגיעה מהבנק שלכם ומחייבת אתכם ליצור קשר עם הסניף שלכם לבירור, הימנעו להתקשר למספר המופיע בהודעת האימייל עצמה, התקשרו למספר המוכר לכם.
- גוף רציני שמכבד את עצמו לא מבקש עדכון פרטים בדואר אלקטרוני – במידה ויש דרישה כזו לעדכון הפרטים היא תופיע בעת ההתחברות לאתר עצמו.
- לבדיקת אמיתות קישור ניתן לעבור עליו בזהירות עם העכבר ולהשוות את הכתובת המופיע בשם הקישור לכתובת המופיעה בתחתית המסך (מלכודות יציגו קישור עם שם מוכר, אך ההפניה תהיה לאתר מתחזה ומסוכן).
- ככלל – יש להיכנס לאתרים שלכם דרך המועדפים או בחיפוש דרך Google ולא באמצעות שום קישור המצורף להודעה כלשהי.
שימוש בדואר-אלקטרוני
קובץ שנשלח בדואר אלקטרוני מגורם עוין יכול לחדור למחשב שלכם ללא ידיעתכם ומשם למערכות בארגון ולהסב נזק משמעותי.
- אסור לפתוח מיילים מאנשים/גורמים/חברות שאינכם מכירים אלא רק מגופים שהנכם מכירים ועובדים מוּלם באופן שוטף ותדיר.
- בדקו את כתובת שולח האימייל ולא רק את השם – היו ערים לכתובת דומה או שגויה, שגיאות תחביר
- ועברית עילגת עשויות לעזור ולהעיד כי ההודעה חשודה.
- אין לפתוח קבצים מצורפים שאינכם מצפים להם מלכתחילה (קרי- אתם ביקשתם לקבל את המסמך שנשלח ומצורף להודעה).
- לפני פתיחת קובץ מצורף יש לוודא ששם הקובץ אינו חריג או מוזר – לדוגמה: invoices.pdf.exe או: VoiceMail.zip.txt
- יש לשים לב במיוחד לקבצי אופיס הכוללים מאקרו – במידה ויש, אין לאשר את הפעלתו – אלא יש לפנות למנהל ישיר/צוות מחשוב.
- עדיף להימנע מלחיצה על קישורים בהודעה – עדיף להיכנס לאתר דרך חיפוש בגוגל ולא דרך הקישור הניתן בהודעת האימייל עצמה – קרי לסגור את האימייל ולהיכנס לאתר שכביכול שלח את ההודעה.
- במידה ואין כל ברירה ,לפני הלחיצה לוודא שאכן הקישור תואם להפניה.
התגוננות מפני דליפת מידע
לדליפת מידע מהארגון יש השלכות כלכליות ותדמיתיות, גם אם הן בוצעו בשוגג.
הגורם העיקרי הוא העובדים – לכן עצרו וחישבו לפני מסירת מידע, גם אם נראה לכם כי הוא אינו חשוב.
- אין להשאיר מידע רגיש על השולחנות ללא השגחה (סיסמאות ,מסמכים וכיו”ב)
- בעת עזיבת תחנת העבודה יש לנעול את התחנה באמצעות לחיצה על כפתור Windows + L
- יש לגרוס מידע רגיש באמצעות פחי גריסה ולא בפחים רגילים.
- יש להקפיד לא להשאיר מחשב נייד ברכב ללא השגחה, או בבית ליד הדלת או חלון הנגיש לרחוב.
- להקפיד (ככל האפשר) לא להוציא מידע רגיש מהארגון לצורך עבודה בבית.
- יש לוודא את כתובת הנמען טרם שליחתו של דואר אלקטרוני עם חומר רגיש (להיזהר מהשלמה אוטומטית של שמות באאוטלוק)
- להקפיד לא לפרסם מידע החושף את הארגון באינטרנט וברשתות חברתיות Facebook, Instagram, Twitter
- אין לשלוח בדואר אלקטרוני מידע מסווג/רגיש הכולל פרטים אישיים, פרטים פיננסיים, של אזרחים/לקוחות, פרטי עובדים, מספרי חשבון, פרטים רפואיים וכיו”ב.
התנהלות ברשתות חברתיות
כעובדי חברה הנכם מחויבים לסודיות כלפי הארגון וכלפי לקוחותיו.
- אין לשתף ברשתות חברתיות כל תוכן או מידע כמו מידע אישי, כלכלי, מענה מקצועי או ייעוץ אשר הגיע לידכם במסגרת תפקידכם כעובדי הארגון.
- פרסומים אישים ברשתות חברתיות עלולים להיות משויכים בעיני הציבור לארגון, לפיכך יש לנקוט משנה זהירות ולא לכתוב דבר בשם הארגון או על הארגון עצמו או על לקוחותיו.
- ככלל, חשוב להתנהל ברשתות חברתיות באופן אחראי ומכובד וגם בהתאם להמלצות ולנהלי הארגון, ולהימנע משיתוף תכנים פוגעניים או קיצוניים בעלי אופי פוליטי, מיני, גזעני או דתי.
אחריות
האחריות לקיום נוהל זה חלה על כלל עובדי ומנהלי החברה אשר במידה של ספק מתבקשים להפעיל שיקול דעת.
כל עובד חדש יחתום על נוהל אבטחת מידע עם כניסתו לחברה.
בכל תחילת שנה יישלח הנוהל לעובדים לריענון.
אני מאשר כי קראתי והבנתי את הנוהל:
שם: _________________________ תאריך: _______________________________ חתימה: ______________________________