Проверь процессы

IT Security Quicktest

18 вопросов для владельцев бизнеса и руководителей

Заполнение займёт 5 минут.

Отвечено: 0 / 18

🔑 Доступ и учётные записи

1. Должны ли ваши сотрудники использовать пароли длиннее 10 символов?

Относится к компьютерам, почте и облачным сервисам.

2. Входят ли сотрудники в два этапа — пароль плюс подтверждение на телефон?

Двухфакторная аутентификация (MFA). Значительно снижает риск взлома.

3. При уходе сотрудника отключаете ли вы все доступы в течение 24 часов?

Почта, облако компании, общие папки, CRM, бухгалтерия…

4. Ограничено ли количество людей с правами администратора до минимума?

Учётная запись админа = полный доступ ко всему. Меньше админов = меньше риск.

💬 История №1 — Уход сотрудника

Коммерческий директор уволился мирно. Компания забыла отключить его доступы. Через полгода он скачал базу клиентов и унёс к конкуренту. Достаточно было одного клика в день ухода — деактивировать учётную запись.

💻 Устройства и компьютеры

5. На всех ли корпоративных компьютерах и телефонах включены автообновления и антивирус?

Включая телефоны сотрудников, если они используются для доступа к данным компании.

6. Зашифрованы ли данные компании на ноутбуках и телефонах?

BitLocker (Windows), FileVault (Mac). При краже устройства данные не прочитать.

7. Знаете ли вы, какие устройства и ПО использует ваша компания?

Есть ли у вас обзор — хотя бы примерный список?

💾 Резервные копии и данные

8. Создаёте ли вы резервные копии данных автоматически и регулярно — хотя бы раз в неделю?

Автоматическое резервирование = работает без необходимости помнить.

9. Хранятся ли резервные копии в двух разных местах?

Напр. сервер компании И вне офиса или в облаке. Пожар или шифровальщик уничтожит всё разом.

10. Тестировали ли вы резервную копию за последние 12 месяцев — реально пробовали восстановить данные?

Резервная копия, которая не была проверена — это лишь предположение, а не гарантия.

💬 История №2 — Шифровальщик и бэкапы

Больница в Бенешове подверглась атаке шифровальщика в 2019 году. Все данные, включая резервную копию в той же сети, были зашифрованы. Ущерб превысил 50 млн крон. Резервная копия вне сети решила бы проблему за часы.

📧 Электронная почта и сотрудники

11. Обучаете ли вы сотрудников — хотя бы раз в год — распознавать фишинговые письма или поддельные счета?

Фишинг = письмо, которое выглядит надёжным, но цель — украсть доступы или деньги.

12. Знают ли сотрудники, к кому обращаться при подозрительном письме или странном поведении компьютера?

Есть ли в компании чёткая процедура сообщения?

13. Знаете ли вы, защищена ли ваша корпоративная почта от отправки писем от вашего имени посторонними?

Технически: SPF, DKIM и DMARC. Если не уверены — ответьте НЕ ЗНАЮ, IT-специалист проверит за 10 минут.

💬 История №3 — Поддельный счёт

Бухгалтер получила письмо якобы от директора: «Переведите 180 000 крон на этот счёт, я в поездке». Деньги ушли. Директор ничего не писал — злоумышленник подделал адрес. Всё заняло 4 минуты. Правильная настройка домена (DMARC) делает такую атаку невозможной и не стоит ничего.

⚠️ Знаете ли вы?

Если произойдёт утечка данных клиентов или сотрудников, грозит штраф от государства. По GDPR реально 200 000 – 2 000 000 крон для малого и среднего бизнеса. Инцидент нужно сообщить в течение 72 часов. Общие затраты на один инцидент в ЧР обычно составляют 500 000 – 5 000 000 крон.

🌐 Сеть и удалённый доступ

14. Подключаются ли посетители и гости к другой сети Wi-Fi, чем сотрудники?

Общий Wi-Fi = гость попадает в ту же сеть, что и серверы и компьютеры.

15. Если сотрудники работают удалённо, подключаются ли они к системам компании через VPN?

VPN = зашифрованное соединение, как если бы сотрудник был в офисе. Без VPN данные передаются незащищённо.

📋 Процессы и готовность

16. Есть ли у вашей компании письменный план действий в случае кибератаки?

Кто кому звонит, какие шаги предпринять, где резервные копии. Даже одностраничный документ лучше, чем ничего.

17. Знаете ли вы, какие подрядчики имеют доступ к вашим системам или данным?

Бухгалтерия, IT-подрядчик, вебмастер… Знаете ли вы, кто к чему имеет доступ?

18. Проходила ли ваша компания внешний аудит безопасности за последние два года?

Независимый взгляд выявляет пробелы, невидимые изнутри.

Оценка безопасности вашей компании