"(odpowiedź wymagana)" oznacza pola wymagane Etap 1 z 13 – Ogólne 7% HiddenCzyAnietaBadawczaTAKNIE Raport na podstawie ankiety samoooceny poziomu bezpieczeństwa usług cyfrowych. Poniżej znajdziesz odpowiedzi oraz rekomendacje dot. wdrożenia odpowiednich zabezpieczeń. Data sporządzenia raportu: 11/10/2024 1. Wprowadzenie do ankiety samooceny poziomu bezpieczeństwa w ramach programu Firma Bezpieczna Cyfrowo 1. Wprowadzenie do ankiety samooceny poziomu bezpieczeństwa Ankieta składa się z 13 sekcji, z których każda dotyczy innego aspektu bezpieczeństwa lub sposobu wykorzystania usług cyfrowych. Pytania w ankiecie są zamknięte, a odpowiedzi wybiera się z rozwijanej listy. Ankieta składa się z 14 sekcji, z których każda dotyczy innego aspektu bezpieczeństwa lub sposobu wykorzystania usług cyfrowych. Pytania w ankiecie są zamknięte, a odpowiedzi wybiera się z rozwijanej listy. W każdej sekcji ankiety znajdziesz wskazówki umieszczone w Poradniku oraz dodatkowe informacje oznaczone ikonami. — w ten sposób oznaczamy odniesienie do materiału informacyjnego związanego z danym zagadnieniem — w ten sposób oznaczamy rekomendację (czynność do wykonania) 1.1. Przed rozpoczęciem samooceny, wybierz z poniższej, rozwijanej listy, Twój sektor. [PKD](odpowiedź wymagana)(Wybierz opcję)Rolnictwo, leśnictwo, łowiectwo i rybactwoGórnictwo i wydobywaniePrzetwórstwo przemysłoweWytwarzanie i zaopatrywanie w energię elektryczną, gaz, parę wodną, gorącą wodę i powietrze do układów klimatyzacyjnychDostawa wody; gospodarowanie ściekami i odpadami oraz działalność związana z rekultywacjąBudownictwoHandel hurtowy i detaliczny; naprawa pojazdów samochodowych, włączając motocykleTransport i gospodarka magazynowaDziałalność związana z zakwaterowaniem i usługami gastronomicznymiInformacja i komunikacjaDziałalność finansowa i ubezpieczeniowaDziałalność związana z obsługą rynku nieruchomościDziałalność profesjonalna, naukowa i technicznaDziałalność w zakresie usług administrowania i działalność wspierającaAdministracja publiczna i obrona narodowa; obowiązkowe zabezpieczenia społeczneEdukacjaOpieka zdrowotna i pomoc społecznaDziałalność związana z kulturą, rozrywką i rekreacjąPozostała działalność usługowaGospodarstwa domowe zatrudniające pracowników; gospodarstwa domowe produkujące wyroby i świadczące usługi na własne potrzebyOrganizacje i zespoły eksterytorialne1.2. Miejsce prowadzenia działalności(odpowiedź wymagana)(Wybierz opcję)m.st. Warszawadolnośląskiekujawsko-pomorskielubelskielubuskiełódzkiemałopolskiemazowieckieopolskiepodkarpackiepodlaskiepomorskieśląskieświętokrzyskiewarmińsko-mazurskiewielkopolskiezachodniopomorskie1.3. Jaka jest wielkość Twojej firmy?(odpowiedź wymagana)(Wybierz opcję)Mikro (od 1 do 9 pracowników)Mała (od 10 do 49 pracowników)Średnia (od 50 do 249 pracowników)Duża (ponad 250 pracowników)Prowadzę JDG, nie zatrudniam pracowników1.4. Czy pracownicy w Twojej Firmie pracują również w trybie zdalnym?(odpowiedź wymagana)(Wybierz opcję)TakNieNie rozumiem Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O pracy zdalnej / pracy z domu Poradnik Zobacz nasz poradnik O programie Firma Bezpieczna Cyfrowo O pracy zdalnej / pracy z domu 2. Zakres oceny Zakres oceny w ramach Programu Certyfikacji Firma Bezpieczna Cyfrowo obejmuje proces wdrażania środków organizacyjnych i technicznych, składających się na cyberbezpieczeństwo w firmie. Rozwiązania organizacyjne obejmują m.in. procedury, instrukcje, umowy a techniczne to zainstalowane urządzenia, które mają dostęp do danych organizacji takich jak, służbowe wiadomości e-mail, dane klientów, strona internetowa, usługi online oraz informacje, do których uzyskujesz dostęp zdalnie w chmurze. Zaleca się, aby cała firma była objęta oceną. W przypadku, gdy zakres oceny dotyczy części firmy np. wybranego oddziału, ważne jest precyzyjne wyszczególnienie, co będzie podlegać ocenie, a co będzie z niej wyłączone. Zakres oceny rozwiązań i systemów teleinformatycznych oraz infrastruktury IT używanych w Twojej firmie może dotyczyć całej firmy lub jej wybranych części. 2.1. Czy ocena rozwiązań teleinformatycznych i infrastruktury IT, wykorzystywanej do prowadzenia działalności biznesowej, obejmie całą Twoją firmę?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pomyśl czy możliwe jest włączenie całej Twojej firmy do zakresu oceny. Jeśli nie, to zastanów się jak wdrożyć zabezpieczenia w części firmy i zaplanuj jak oddzielisz część wydzieloną i zabezpieczoną. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zakresie oceny 2.2. Czy możliwe jest zastosowanie zabezpieczeń (oraz oceny) do wybranej części Twojej firmy?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zastanów się jak wdrożyć zabezpieczenia w części firmy i zaplanuj jak oddzielisz część wydzieloną i zabezpieczoną. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zakresie oceny 2.3. Czy zakres oceny obejmuje urządzenia tzw. użytkowników końcowych np. komputery, laptopy, tablety i urządzenia mobilne wykorzystywane przez Twoich pracowników?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Sprawdź zakres oceny. Zakres oceny w ankiecie Firma Bezpieczna Cyfrowo musi obejmować urządzenia użytkowników końcowych np. komputery, laptopy, tablety i urządzenia mobilne wykorzystywane przez Twoich pracowników. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zakresie oceny Poradnik Zobacz nasz poradnik O zakresie oceny 3. Sprzęt lub urządzenia używane przez Twoją firmę Sprzęt i urządzenia tj. komputery stacjonarne, serwery, laptopy, netbooki, drukarki, tablety czy telefony komórkowe to materialne zasoby elektroniczne należące do firmy – Twoje aktywa. Dlatego tak ważne jest wyszczególnienie, które z urządzeń lub sieci (np. komputery z dostępem do internetu), użytkowanych w Twojej firmie, będą objęte zakresem oceny. W tej sekcji omówione zostaną różne urządzenia, ich lokalizacja, sposób ich obsługiwania, utrzymania, aktualizowania oraz zabezpieczania. Sprzęt i urządzenia tj. komputery stacjonarne, serwery, laptopy, netbooki, drukarki, tablety czy telefony komórkowe to materialne zasoby elektroniczne należące do firmy – Twoje aktywa. 3.1. Czy posiadasz rejestr aktywów?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że urządzenia posiadają nie tylko wartość finansową, ale przechowując różne dane, stanowią także wartość dla Twojej firmy. Stwórz rejestr aktywów, który zawiera listę i opis wszystkiego, co stanowi dla firmy wartość oraz wskazuje osobę odpowiedzialną za ochronę poufności, integralności i dostępności każdego elementu. Upewnij się, że wszystkie zasoby są uwzględnione w rejestrze aktywów i obejmuje on zasoby fizyczne, wirtualne i chmurowe eksploatowane w Twojej firmie. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zarządzaniu aktywami 3.2. Czy rejestr aktywów zawiera listę wszystkich używanych urządzeń (tj. laptopów, smartfonów, zapór ogniowych, routerów)?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zadbaj o to, by rejestr aktywów zawierał listę wszystkich używanych urządzeń (tj. laptopów, smartfonów, zapór ogniowych, routerów)? Przeczytaj Zarządzanie zasobami sprzętowymi jest rekomendowane jako kluczowy aspekt bezpieczeństwa w programie Firma Bezpieczna Cyfrowo. Prowadzenie i aktualizacja ewidencji wszystkich urządzeń w Twojej firmie stanowi ważny krok, który pomoże w realizacji innych ważnych wymogów certyfikacji. Rozpoczynając proces tworzenia takiej ewidencji, konieczne są konsultacje z pracownikami, analiza wniosków i faktur zakupowych, a także sprawdzenie pomieszczeń biurowych. Ważne jest, abyś posiadał wiedzę o każdym urządzeniu wykorzystywanym w Twojej firmie przetwarzającym informacje i dane, które nie powinny zostać utracone. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zarządzaniu aktywami 3.3. Czy posiadasz swoje serwery lub wynajmujesz serwery wirtualne?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zadbaj by wszystkie serwery, w tym serwery wirtualne, były wymienione w rejestrze aktywów wraz z innymi urządzeniami. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: Co to są aktywa? Co to jest serwer wirtualny? Poradnik Zobacz nasz poradnik O zarządzaniu aktywami Praca na własnych urządzeniach (BYOD) Praca zdalna 4. Oprogramowanie i oprogramowanie sprzętowe używane w Twojej firmie Oprogramowanie to wszystkie programy zainstalowane na Twoim sprzęcie i urządzeniach np. systemy operacyjne, aplikacje, oprogramowanie sprzętowe (firmaware) i inne programy. Oprogramowanie sprzętowe (firmware) to specjalny rodzaj oprogramowania, które jest zawarte w pamięci wbudowanej w urządzenie. Umożliwia konkretnym elementom, takim jak routery czy przełączniki, realizację założonych funkcji. Użytkownicy często nie wiedzą lub nie pamiętają o potrzebie aktualizacji tego oprogramowania. Oprogramowanie to wszystkie programy zainstalowane na Twoim sprzęcie i urządzeniach np. systemy operacyjne, aplikacje, oprogramowanie sprzętowe (firmaware) i inne programy. 4.1. Czy masz listę oprogramowania używanego w Twojej firmie?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania W ramach rejestru aktywów utwórz listę całego oprogramowania w tym oprogramowania sprzętowego (firmware) używanego w Twojej firmie. Przeczytaj Posiadanie wiedzy na temat używanego w firmie oprogramowania i oprogramowania sprzętowego oraz jego obsługa są bardzo ważne. Oprogramowanie i oprogramowanie sprzętowe są wspierane przez producenta przez określony czas po wytworzeniu lub zainstalowaniu. Taka obsługa oznacza, że jeśli w oprogramowaniu zostanie zidentyfikowany błąd lub podatność, zwana luką, to producent poprzez aktualizację lub poprawkę neutralizuje problem, zanim podatność zostanie wykorzystana przez cyberprzestępców. Inwentaryzacja oprogramowania oraz oprogramowania sprzętowego, nazywana listą lub spisem zasobów oprogramowania, jest zalecana. Dla bezpieczeństwa Twojej firmy ważnym jest, żebyś posiadał taki spis/listę oprogramowania, której następnie będziesz używał m.in. w celu weryfikacji liczby licencji i wiedzy, czy oprogramowanie jest dalej objęte wsparciem (czyli czy dostępne są łaty zabezpieczające luki w oprogramowaniu). Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O oprogramowaniu O zakupach oprogramowania 4.2. Czy w swojej firmie wykorzystujesz infrastrukturę wirtualizacji?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Sprawdź czy subskrybujesz infrastrukturę jako usługę od dostawcy usług w chmurze. Pamiętaj, że jesteś odpowiedzialny za zastosowanie zabezpieczeń środowiska wirtualnego, które konfigurujesz i używasz. Obejmuje to wirtualne serwery i pulpity, w tym wirtualne zapory sieciowe, wirtualne przełączniki itp. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O wirtualizacji 4.3. Czy oprogramowanie do zarządzania usługami wirtualizacji tzw. Hypervisor (hipernadzorca) jest wspierane przez producenta i otrzymuje aktualizacje zabezpieczeń?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że jeśli jesteś właścicielem lub wynajmujesz serwery, które znajdują się na miejscu w Twojej firmie lub w centrum przetwarzania danych (serwerowni), z której korzysta Twoja firma to odpowiadasz za oprogramowanie typu hypervisor (hipernadzorca) do tworzenia maszyn wirtualnych i musisz zadbać o zabezpieczenie serwerów wirtualnych i systemu zarządzania środowiskiem wirtualnym. Sprawdź czy posiadasz ważne licencje, zaktualizowane oprogramowanie i odpowiednio skonfigurowane serwery. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O wirtualizacji 4.4. Czy masz włączoną automatyczną aktualizację całego oprogramowania?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że najprostszym i najskuteczniejszym sposobem zapewnienia aktualności całego oprogramowania jest włączenie automatycznych aktualizacji na każdym urządzeniu i dla każdego programu (aplikacji). Oznacza to, że poprawki są automatycznie stosowane po ich wydaniu przez odpowiedniego dostawcę/producenta. Wiele urządzeń ma teraz domyślnie włączoną automatyczną aktualizację. Sprawdź, czy aktualizacje automatyczne są włączone w ustawieniach, w obszarze Aktualizacje i zabezpieczenia lub w ustawieniach systemowych, w obszarze Aktualizacje oprogramowania. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O oprogramowaniu 4.5. Jeśli nie stosujesz automatycznej aktualizacji całego oprogramowania, czy pamiętasz i instalujesz krytyczne aktualizacje oprogramowania w zaleconym czasie, nie odkładając tej czynności „na później”?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że aktualizacje oprogramowania mogą uniemożliwić działanie innego oprogramowania lub spowodować uszkodzenie niektórych jego funkcji. Sprawdź i przetestuj każdą aktualizację na wybranych urządzeniach (próba kontrolna) przed zastosowaniem jej w całej firmie. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O oprogramowaniu 4.6. Czy korzystasz z oprogramowania, które nie jest już objęte wsparciem i aktualizacjami?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Rozważ dokładne przeanalizowanie całej listy oprogramowania używanego w Twojej firmie, aby upewnić się, że jest aktualne i w pełni wspierane przez producentów. Zadanie to może wydawać się skomplikowane, jednak w związku z licznymi atakami np. ransomware, gdzie cyberprzestępcy celowo atakują oprogramowanie, wykorzystując luki w bezpieczeństwie, które nie zostały załatane. Pamiętaj, że podejmując powyższe działanie, możesz zidentyfikować oprogramowanie, które nie jest obsługiwane i opracować strategię tak, aby przywrócić wsparcie lub zaktualizować je do nowszej, obsługiwanej przez producenta wersji. Przeczytaj W trakcie cyklu życia oprogramowania, po wykryciu błędów lub „wad” w zabezpieczeniach, producenci dostarczają dodatkowy kod, znany „poprawką” lub „łatką”. Nowoczesne systemy oprogramowania wymagają regularnych „aktualizacji”, które stanowią integralną część procesu utrzymania. Dzięki temu, wszelkie wykryte luki są łatane w ciągu 14 dni od wydania aktualizacji, a dodatkowe „błędy” (usterki) są odpowiednio korygowane. To kluczowy proces, aby utrzymać sprawność oprogramowania w Twojej firmie oraz zminimalizować ryzyka związanego z potencjalnymi zagrożeniami cyberbezpieczeństwa. Gdy oprogramowanie osiągnie etap określany jako „koniec cyklu życia” lub stanie się nieekonomiczne do użycia z uwagi na postęp technologiczny, producent przestanie dostarczać poprawki i aktualizacje. Skutkuje to tym, że dana aplikacja nie jest dalej wspierana, a co za tym idzie, jej bezpieczeństwo nie jest już gwarantowane. Luki w zabezpieczeniach nie są już łatane. Stają się one powszechnie znane, również cyberprzestępcom, a zatem stają się łatwe do wykorzystania. Informacje o statusie wsparcia dla danego oprogramowania można zwykle znaleźć na stronie internetowej producenta lub w sekcji pomocy technicznej. Alternatywnie, można przeprowadzić wyszukiwanie internetowe, wpisując nazwę producenta, produktu oraz terminy „koniec wsparcia (technicznego)” lub „cykl wsparcia”. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O wirtualizacji O usuwaniu niepotrzebnego oprogramowania 4.7. Czy zidentyfikowałeś urządzenia korzystające z niewspieranego oprogramowania sprzętowego (firmaware) i odłączyłeś ich dostęp do Internetu?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że w sytuacji gdy konieczne jest korzystanie z przestarzałego, niewspieranego oprogramowania, niezbędne jest wdrożenie mechanizmów, które pozwolą na oddzielenie tej części sprzętu od reszty infrastruktury. Przeczytaj Jednym z możliwych rozwiązań powyższego problemu jest odpowiednie skonfigurowanie zapory sieciowej tj. firewalla lub wykorzystanie technologii VLAN tak, aby stworzyć blokadę dostępu do sieci internetowej dla nieaktualizowanego oprogramowania lub urządzeń. Takie działanie pozwoli na ochronę części sieci przedsiębiorstwa objętego wsparciem przed potencjalnymi zagrożeniami wynikającymi z luk w zabezpieczeniach nieobsługiwanego oprogramowania. Ta odseparowana część sieci nazywana jest podsiecią, która dzięki wykorzystaniu zapory sieciowej tj. firewalla lub technologii VLAN jest skutecznie izolowana od reszty infrastruktury. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O oprogramowaniu Poradnik Zobacz nasz poradnik Co to są aktywa? O zakupach oprogramowania O wirtualizacji O uwierzytelnianiu dwuskładnikowym O kontach O usuwaniu niepotrzebnego oprogramowania O oprogramowaniu 5. Urządzenia brzegowe/Zapory sieciowe tj. firewalle Urządzenia brzegowe to urządzenia znajdujące się na obrzeżach sieci. Przykładami urządzeń brzegowych są zapora sieciowa tj. firewall lub router szerokopasmowy. Większość routerów dostarczanych przez usługodawcę internetowego (ISP) ma wbudowaną zaporę. Firma może również skonfigurować oddzielne urządzenie zapory sieciowej tj. Firewalla między siecią a Internetem. Zapory sieciowe są potężnymi urządzeniami, ale aby były skuteczne, muszą być poprawnie skonfigurowane. Smartfony nie są domyślnie wyposażone w zapory sieciowe tj. firewalle. Zapora nie jest konieczna w telefonie komórkowym, o ile użytkownik zezwala tylko na zaufane aplikacje z wiarygodnych i renomowanych źródeł. Urządzenia brzegowe to urządzenia znajdujące się na obrzeżach sieci. Przykładami urządzeń brzegowych są zapora sieciowa tj. firewall lub router szerokopasmowy. Większość routerów dostarczanych przez usługodawcę internetowego (ISP) ma wbudowaną zaporę. 5.1. Czy masz zaporę sieciową tj. firewall (lub router z zaporą sieciową) między siecią firmową a Internetem?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Sprawdź, czy posiadasz router lub zaporę sieciową tj. firewall pomiędzy Twoją siecią w firmie a Internetem. Sprzęt taki, jak routery czy zapory sieciowe tj. firewalle pełnią niezwykle ważną rolę, stanowiąc pierwszą linię obrony przed potencjalnymi zagrożeniami zewnętrznymi. Pamiętaj, że brak takiej ochrony na granicy sieci może prowadzić do niekontrolowanego dostępu do zasobów sieciowych i potencjalnie może umożliwić nieautoryzowanym osobom dostęp do wrażliwych informacji lub systemów. Jest to analogiczne do sytuacji, w której drzwi do Twojej firmy są stale otwarte, umożliwiając nieograniczony dostęp potencjalnym intruzom. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zaporach sieciowych (ang. Firewall) 5.2. Czy dokonałeś zmiany wszystkich domyślnych haseł na Twoich zaporach sieciowych tj. firewallach i bramach sieciowych na takie, które są unikalne, trudne do odgadnięcia i składają się z więcej niż 8 znaków?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zaktualizuj hasła w taki sposób, aby były one unikalne i złożone. Zapoznaj się z zasadami tworzenia silnych haseł (materiał dostępny na stronie NASK https://www.nask.pl/pl/aktualnosci/5003,Silne-haslo-to-podstawa.html ). W materiale znajdziesz szereg praktycznych wskazówek na temat stworzenia trudnego do złamania, ale łatwego do zapamiętania hasła. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O tworzeniu hasła Kompleksowo o hasłach 5.3. Czy w Twojej firmie jest jasno zdefiniowany proces lub procedury, które należy wykonać w przypadku, gdy podejrzewasz, że hasła mogły zostać ujawnione/skompromitowane (na przykład, jeśli pracownik opuścił firmę i znał hasło lub jeśli to samo hasło użyte w innym miejscu zostało ujawnione)?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Opracuj prosty proces zmiany haseł w przypadku, gdy stają się one znane osobom, które nie powinny ich znać. Pamiętaj o ujęciu w procedurze haseł tych pracowników, którzy kończą współpracę z Twoją firmą i nie potrzebują/nie powinni mieć dostępu do zasobów firmy. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: Kompleksowo o hasłach Poradnik Zobacz nasz poradnik O VPN Praca zdalna O uwierzytelnianiu dwuskładnikowym O tworzeniu hasła O routerach O firewallach 6. Usługi dostępne z Internetu Usługi dostępne z internetu to różnorodne aplikacje, narzędzia i treści dostępne online. Przykładem są tutaj usługi poczty elektronicznej, platformy społecznościowe, serwisy streamingowe, sklepy internetowe, usługi bankowe online, usługi chmurowe oraz aplikacje do komunikacji online. 6.1. Czy masz włączone usługi dostępne z internetu (tj. aplikacje, narzędzia i treści dostępne online)?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Stale monitoruj, które z Twoich usług są dostępne publicznie i jaka jest ich ekspozycja na potencjalne zagrożenia. „Boty”, czyli zautomatyzowane programy, są często wykorzystywane przez cyberprzestępców do skanowania Internetu w poszukiwaniu otwartych portów i dostępnych usług, które mogą być wykorzystane do nieautoryzowanego dostępu lub ataków. Pamiętaj, że jeśli w Twojej sieci istnieje luka bezpieczeństwa lub niewłaściwa konfiguracja, może zdarzyć się, że cyberprzestępcy zidentyfikują ją zanim zdążysz to zauważyć. Zawsze dbaj o aktualizację usług, które są publicznie dostępne. Jeżeli masz wątpliwości, skonsultuj się ze specjalistą ds. bezpieczeństwa, który może przeprowadzić audyt bezpieczeństwa Twojej sieci. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zaporach sieciowych (ang. Firewall) 6.2. Czy istnieje możliwość zdalnej konfiguracji Twojego routera internetowego lub zapór sieciowych tj. firewalli? Taka sytuacja może wystąpić, jeśli zewnętrzny dostawca usług IT zarządza tymi urządzeniami za Twoją firmę.(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zadbaj o odpowiednie ustawienia konfiguracji oprogramowania bramy lub zapory sieciowej, tak aby dostępne z zewnątrz były jedynie te usługi, które są konieczne dla realizacji Twoich kluczowych potrzeb biznesowych. Wszystkie usługi, dla których nie ma konieczności udostępniania ich na szeroką skalę w Internecie, powinny być zabezpieczone przed dostępem zewnętrznym. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zaporach sieciowych (ang. Firewall) O VPN 6.3. Czy skonfigurowałeś routery internetowe lub zapory sieciowe tak, aby blokowały wszystkie inne usługi, które nie są potrzebne do Twojej działalności?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Skonsultuj ze specjalistą poprawność konfiguracji bramy lub zapory sieciowej tj. firewalla. Upewnij się, że jedynie te usługi, które są niezbędne dla funkcjonowania Twojej firmy, są dostępne publicznie. Wszystkie pozostałe usługi, dla których nie ma konieczności udostępniania ich w Internecie, powinny zostać zabezpieczone. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zaporach sieciowych (ang. Firewall) Poradnik Zobacz nasz poradnik O VPN O firewallach 7. Usługi w chmurze W Twojej firmie możesz wykorzystywać różnorodne usługi chmurowe oferowane przez różnych dostawców, udostępniane przez Internet, zarówno za opłatą, jak i w ramach subskrypcji. Usługi chmurowe umożliwiają elastyczne korzystanie z zasobów bez konieczności inwestowania w infrastrukturę technologiczną. W Twojej firmie możesz wykorzystywać różnorodne usługi chmurowe oferowane przez różnych dostawców. 7.1. Czy posiadasz listę wszystkich usług chmurowych, z których korzysta Twoja firma?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Rozważ utworzenie listy wszystkich usług chmurowych, z których korzysta Twoja firma. Pamiętaj, że są różne formy korzystania z usług chmurowych np. oprogramowanie jako usługa, usługa jako platforma lub wykorzystanie infrastruktury innej firmy jako usługi. Oprogramowanie jako usługa (SaaS) to udostępnienie narzędzi do codziennych zadań, takich jak tworzenie i udostępnianie dokumentów, podpisywanie i wysyłanie umów oraz zarządzanie projektami. Platforma jako usługa (PaaS) to usługi, które oferują Twojej firmie platformę do tworzenia i wdrażania oprogramowania przez Internet, zapewniając dostęp do najnowszych narzędzi. Infrastruktura jako usługa (IaaS) dostarcza natomiast części infrastruktury, takich jak serwery, pamięć masowa, sprzęt sieciowy, które normalnie znajdują się w centrum danych obsługiwanym przez inną firmą. Mogą oferować rozwiązania do tworzenia i testowania oprogramowania, odzyskiwania po awarii, tworzenia kopii zapasowych, hostingu skomplikowanych stron internetowych, wysokowydajnych obliczeń i analizy dużych zbiorów danych. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O chmurze 7.2. Czy w Twojej firmie została włączona usługa uwierzytelniania wieloskładnikowego na wszystkich kontach, aby skorzystać z usług chmurowych?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Stosuj uwierzytelnianie wieloskładnikowe. Pamiętaj, że istnieje kilka metod uwierzytelniania dodatkowymi składnikami, które mogą być brane pod uwagę w przypadku firm: Zaufane urządzenie należące i zarządzane przez firmę. Aplikacja na zaufanym urządzeniu generująca jednorazowy kod ważny przez określony czas, np. 1 minutę. Fizyczny token należący do pracownika. Znane, zaufane konto (np. email), na które wysyłany jest kod jednorazowy, ważny przez określony czas, np. 1 minutę. Wybór dodatkowych składników powinien uwzględniać ich użyteczność i dostępność. Może to wymagać testów z udziałem użytkowników, aby zapewnić, że wybrany składnik jest odpowiedni dla ich potrzeb. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O zabezpieczeniach usług chmurowych O uwierzytelnianiu dwuskładnikowym 7.3. Czy wiesz, że jesteś wspólnie odpowiedzialny za każdą z usług chmurowych wraz z firmą, która dostarcza usługę chmurową Twojej firmie, np. w zakresie ochrony danych osobowych?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że „model wspólnej odpowiedzialności” oznacza, że dostawcy chmurowi ponoszą odpowiedzialność za bezpieczeństwo infrastruktury chmurowej na poziomie fizycznym i sprzętowym, podczas gdy klienci, czyli Twoja firma, są odpowiedzialni za zabezpieczanie danych, które umieszczają w chmurze. W zależności od rodzaju usługi – czy jest to Infrastruktura jako Usługa (IaaS), Platforma jako Usługa (PaaS) czy Oprogramowanie jako Usługa (SaaS) – obowiązki związane z bezpieczeństwem, które spoczywają na kliencie, mogą się różnić. Większość wiodących dostawców usług chmurowych, publikuje swoje „modele wspólnej odpowiedzialności”. Natomiast mniej znani dostawcy nie zawsze. Sprawdź umowę z dostawcą lub dowiedz się, za które aspekty bezpieczeństwa jesteś odpowiedzialny jako firma, a za które odpowiada Twój dostawca usług chmurowych. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O uwierzytelnianiu dwuskładnikowym O zabezpieczeniach usług chmurowych Poradnik Zobacz nasz poradnik O zarządzaniu aktywami O hasłach Stosowanie MFA w celu uzyskania dostępu do usług w chmurze O zabezpieczeniach usług chmurowych O chmurze 8. Bezpieczna konfiguracja sprzętu i oprogramowania Odpowiednie skonfigurowanie używanego oprogramowania zapewnia bezpieczeństwo. W tej sekcji sprawdzisz, czy Twoje środowisko informatyczne jest właściwie skonfigurowane, jak i czy zarządzasz uprawnieniami oraz przeglądem oprogramowania. Odpowiednie skonfigurowanie używanego oprogramowania zapewnia bezpieczeństwo. 8.1. Czy w Twojej Firmie niepotrzebne/nieużywane oprogramowanie jest usuwane (odinstalowywane)?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Sprawdź wszystkie urządzenia w Twojej firmie pod kątem niepotrzebnych usług, oprogramowania lub aplikacji. Może to też obejmować nieużywane serwisy internetowe, niewykorzystane konta na urządzeniach czy oprogramowanie. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O usuwaniu niepotrzebnego oprogramowania 8.2. Czy wykonałeś przegląd wszystkich kont na Twoich urządzeniach i usługach chmurowych, aby upewnić się, czy każde z nich jest wykorzystywane w codziennej działalności Twojej firmy?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Przejrzyj każde konto użytkownika na urządzeniach i usługach w chmurze. Rozważ cykliczne przeglądanie wszystkich kont użytkowników na urządzeniach oraz w usługach chmurowych Twojej firmy. Upewnij się, że każde konto jest aktywnie używane oraz nadane są mu prawidłowe uprawnienia tzn. zgodne z rolą i obowiązkami pracownika w ramach codziennej działalności Twojej firmy. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kontach 8.3. Czy w systemach Twojej firmy funkcje „Autoodtwarzanie” lub „AutoRun” są wyłączone?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że autoodtwarzanie (Auto-Run lub Auto-Play) to funkcja, która automatycznie uruchamia oprogramowanie na dysku lub karcie pamięci. Sprawdź czy w systemach Twojej firmy funkcje „Autoodtwarzanie” lub „AutoRun” są wyłączone. Unikaj automatycznej instalacji nieautoryzowanego oprogramowania – wyłączaj funkcję AutoOdtwarzania. W przypadku gdy ta funkcja jest wyłączona, użytkownik każdorazowo musi zezwolić na uruchomienie lub odtworzenie programu lub pliku, co zapobiega automatycznemu uruchamianiu nieautoryzowanego oprogramowania i zwiększa bezpieczeństwo systemu. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O usuwaniu niepotrzebnego oprogramowania O złośliwym oprogramowaniu 8.4. Czy w Twojej firmie stosujesz mechanizmy blokujące dostęp do zainstalowanego oprogramowania i usług na urządzeniach mobilnych, takie, jak numer PIN, hasło, skan twarzy lub odcisk palca?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zabezpiecz swoje informacje przed nieuprawnionym dostępem w przypadku utraty, kradzieży lub pozostawienia Twoje urządzenia bez nadzoru – zastosuj bezpieczne hasło, unikalny numeru PIN lub metody biometryczne. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O hasłach O menadżerach haseł Poradnik Zobacz nasz poradnik Stosowanie MFA w celu uzyskania dostępu do usług w chmurze O zabezpieczeniach usług chmurowych O chmurze O usuwaniu niepotrzebnego oprogramowania O oprogramowaniu 9. Używanie haseł W celu ochrony systemu przed nieuprawnionym dostępem ważne jest to, abyś w Twojej firmie korzystał z bezpiecznych i trudnych do odgadnięcia haseł na wszystkich urządzeniach. W tej sekcji znajdują się wskazówki i sugestie dotyczące dobrego zabezpieczenia haseł. Bezpieczne hasło chroni system przed nieuprawnionym dostępem. 9.1. Czy na wszystkich urządzeniach zostały zmienione domyślne hasła?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że hasło domyślne to standardowe, ustawione fabrycznie hasło, które jest przypisane do urządzenia przez producenta w celu ułatwienia jego początkowej konfiguracji. Są one powszechnie znane i łatwo dostępne dla potencjalnych atakujących przez proste wyszukiwanie w Internecie. Zmień hasła domyślne. Prosta zmiana domyślnego hasła (i nazwy użytkownika, jeśli to możliwe) znacznie utrudnia działania hakerom i zwiększa bezpieczeństwo Twojej firmy. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O tworzeniu hasła Kompleksowo o hasłach 9.2. Czy pracownicy Twojej firmy stosują zasadę używania różnych haseł do różnych systemów?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zastosuj zasadę używania różnych haseł do różnych systemów. Pamiętaj, że stosowanie uniwersalnego hasła do wielu kont tworzy sytuację zagrożenia. Jeśli Ty lub Twoi pracownicy używacie tej samej kombinacji nazwy użytkownika i hasła dla większości swoich kont, to w przypadku zhakowania jednego konta, znane jest hasło do pozostałych kont. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kontach 9.3. Czy w Twojej firmie każdy pracownik ma swoją indywidualną nazwę użytkownika (login)?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zastosuj zasadę indywidualnej nazwy użytkownika (login) i bezpiecznego hasła. Pamiętaj, że udostępnianie czy używanie jednego konta użytkownika i hasła przez wiele osób jest niebezpieczne z kilku powodów. Po pierwsze, utrudnia to określenie, kto jest odpowiedzialny za niepożądane działania na koncie, co może prowadzić do utraty danych lub uszkodzenia systemu. Ponadto, gdy wiele osób ma dostęp do jednego konta, utrudnia to śledzenie historii logowania i działań użytkowników, co może utrudnić identyfikację nieuprawnionych działań lub ataków. Stosowanie wspólnych kont użytkowników i haseł stwarza ryzyko, że jedno złamane hasło pozwoli hakerom na dostęp do wielu systemów lub aplikacji, co zwiększa ryzyko naruszenia bezpieczeństwa. Monitoruj czy w Twojej firmie każdy użytkownik ma własną nazwę użytkownika (login)i hasło Korzystaj z oprogramowania lub procesów, które pozwalają na bezpieczne współdzielenie zasobów bez faktycznego udostępniania kont. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kontach 9.4. Czy w Twojej firmie istnieją spisane zasady dotyczące zarządzania hasłami, które mają na celu zapewnienie odpowiedniego poziomu zabezpieczeń?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zadbaj o spisane zasad dotyczących zarządzania hasłami, które mają na celu zapewnienie odpowiedniego poziomu zabezpieczeń. Pamiętaj, że w zasadach powinien być ustalony proces szybkiej zmiany hasła, w przypadku podejrzenia naruszenia lub incydentu. Przeczytaj W firmach, w których bezpieczeństwo informacji jest priorytetem, zasady tworzenia haseł stanowią kluczowy element polityki bezpieczeństwa. Zgodnie z tymi zasadami, proces tworzenia haseł dla wszystkich kont służbowych w Twojej powinien być szczegółowo opisany. Wymagania dotyczące hasła powinny obejmować wykorzystanie uwierzytelniania wieloskładnikowego, minimalną długość hasła wynoszącą co najmniej 8 znaków bez ograniczeń maksymalnej długości lub minimalną długość hasła wynoszącą co najmniej 12 znaków, bez ograniczeń maksymalnej długości i automatyczne blokowanie popularnych haseł za pomocą tzw. listy odmów (*deny). Lista ta automatycznie uniemożliwi użytkownikom korzystanie z haseł znajdujących się na wstępnie skonfigurowanej liście popularnych haseł, które zostały naruszone. Firmy mogą skorzystać z listy opracowanej przez CERT Polska, na której znajdują się najpopularniejsze hasła w Polsce lub bazy Narodowego Centrum Cyberbezpieczeństwa Wielkiej Brytanii (NCSC), w której zawarte są 100 000 najczęściej łamanych haseł. CERT Polska NCSC Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O tworzeniu hasła Kompleksowo o hasłach 9.5. Czy Twoja firma zapewnia pracownikom pomoc w tworzeniu unikalnych haseł dla ich kont służbowych?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Zapewnij pracownikom pomoc w tworzeniu unikalnych haseł. Zadbaj o szkolenia dla pracowników Twojej formy dotyczące cyberbezpieczeństwa, w tym polityki haseł. Przeczytaj Sposoby na poprawę bezpieczeństwa haseł obejmują edukowanie pracowników w zakresie unikania łatwo wykrywalnych haseł, takich, jak imiona zwierząt czy typowe wzorce klawiatury. Pracownicy powinni być zachęcani do wybierania dłuższych haseł, a może nawet do użycia funkcji generatora haseł wbudowanej w niektóre menadżery haseł. Ważne jest również zapewnienie użytecznego i bezpiecznego przechowywania haseł, takiego jak menedżer haseł lub zamknięta szafka, wraz z jasnymi informacjami na temat sposobu ich użytkowania. Zgodnie z najlepszymi praktykami, nie należy egzekwować regularnego wygasania hasła ani wymagać określonej złożoności hasła. Zamiast tego, zaleca się regularną zmianę hasła tylko w przypadku podejrzenia naruszenia bezpieczeństwa hasła lub konta. Wprowadzenie tych zasad i wytycznych zwiększy bezpieczeństwo informacji w Twojej firmie i zminimalizuje ryzyko naruszenia bezpieczeństwa. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: Silne i unikalne hasło do poczty internetowej O menadżerach haseł 9.6. Czy w Twojej firmie wdrożone zostały rozwiązania chroniące konta przed łamaniem haseł?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Rozważ wdrożenie rozwiązań chroniących przed łamaniem haseł. Przeczytaj Ataki na strony logowania z wykorzystaniem metod łamania haseł stanowią poważne zagrożenie dla bezpieczeństwa danych w Twojej firmie. W celu ochrony przed tego typu atakami, rekomendowane jest stosowanie długich i skomplikowanych haseł, które są trudne do odgadnięcia. Dobrym rozwiązaniem jest też korzystanie z menedżera haseł lub tworzenie haseł złożonych z trzech losowych słów. Wdrożenie mechanizmów uwierzytelniania dwu- lub wieloskładnikowego oraz „ograniczanie” tempa powtarzalności prób oznaczają, że czas, w którym użytkownik musi czekać między próbami, wydłuża się z każdą nieudaną próbą. Nie powinno się pozwalać na więcej niż 10 prób zgadywania hasła w okresie 5 minut. Ponadto blokowanie kont po określonej liczbie nieudanych prób (np. mniej niż 10), może również zwiększyć poziom ochrony haseł przed atakami. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: Silne i unikalne hasło do poczty internetowej O menadżerach haseł 9.7. Czy zasady dotyczą także postępowania w przypadku podejrzenia naruszenia bezpieczeństwa hasła lub konta?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedzieć9.8. Czy zasady dotyczące haseł wskazują, że hasła nie powinny być współdzielone (udostępniane)?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedzieć Poradnik Zobacz nasz poradnik O hasłach O uwierzytelnianiu dwuskładnikowym O kontach O tworzeniu hasła 10. Ochrona przed złośliwym oprogramowaniem Złośliwe oprogramowanie, zwane również malware, to rodzaj oprogramowania, które zostało zaprojektowane do wykonywania działań szkodliwych takich, jak kradzież danych, uszkodzenie systemów lub uniemożliwienie użytkownikom dostępu do zasobów sieciowych w Twojej firmie. 10.1. Czy wszystkie telefony, komputery, laptopy i serwery w Twojej firmie są zabezpieczone przed atakami złośliwego oprogramowania za pomocą oprogramowania antywirusowego?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Poznaj opcje oprogramowania antywirusowego (AV), które stosujesz w Twojej firmie. Zaleca się ustawienie go w taki sposób, aby aktualizowało się (pobierało sygnatury AV) co najmniej raz dziennie. Dodatkowo, w celu zapewnienia maksymalnej ochrony, możesz zastosować skanowanie plików na żądanie, co zapewni skanowanie wszystkich plików przed ich załadowaniem przez aplikacje lub system operacyjny. Przeczytaj Malware może rozprzestrzeniać się poprzez pliki, sieci, urządzenia pamięci masowej lub za pośrednictwem złośliwych stron internetowych. W celu ochrony Twoich urządzeń i sieci przed złośliwym oprogramowaniem ważne jest regularne aktualizowanie oprogramowania za pomocą najnowszych poprawek, a także korzystanie z oprogramowania antywirusowego, które powinno być regularnie aktualizowane w celu skutecznego wykrywania i usuwania różnych rodzajów złośliwego oprogramowania. Termin „antywirus” jest powszechnie używany, ale aktualne oprogramowanie antywirusowe powinno oferować ochronę nie tylko przed wirusami, ale także przed innymi rodzajami złośliwego oprogramowania takimi, jak trojany, robaki, adware czy spyware. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O złośliwym oprogramowaniu 10.2. Czy ograniczasz instalację programów do listy zaufanych aplikacji?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Chroń Twoją firmę przed złośliwym oprogramowaniem: Używaj oprogramowania antywirusowego do wykrywania i usuwania złośliwego oprogramowania zanim spowoduje ono szkody (np. programy antymalware) Używaj tylko oprogramowania, o którym wiesz, że jest godne zaufania (np. poprzez listę zaufanych aplikacji) Nie uruchamiaj niezaufanego oprogramowanie w środowisku z dostępem do ważnych danych. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: Złośliwe oprogramowanie – co to takiego, jak się chronić? O złośliwym oprogramowaniu 10.3. Czy Twoi pracownicy mogą instalować samodzielnie na urządzeniach służbowych tylko podpisane aplikacje ze sklepu z aplikacjami?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Rozważ czy w Twojej firmie możliwe jest, aby użytkownicy mogli instalować tylko aplikacje spełniające Twoje wymagania biznesowe. Ogranicz ryzyko związane z niepożądanymi aplikacjami: Wymagaj, aby aplikacje instalowane w Twojej firmie były podpisane i przetestowane Wymagaj, aby pracownicy instalowali tylko aplikacje zatwierdzone przez osoby odpowiedzialne za IT i bezpieczeństwo Przeglądaj każdą aplikację przed zatwierdzeniem jej do użytku w Twojej firmie. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: Złośliwe oprogramowanie – co to takiego, jak się chronić? Poradnik Zobacz nasz poradnik O phishingu O złośliwym oprogramowaniu Złośliwe oprogramowanie – co to takiego, jak się chronić? 11. Konta użytkowników Ta część oceny dotyczy sposobu konfigurowania kont użytkowników i administratorów oraz zarządzania nimi. Ta część ankiety dotyczy sposobu konfigurowania kont użytkowników i administratorów oraz zarządzania nimi. 11.1. Czy w Twojej firmie istnieje procedura (ścieżka, instrukcja) tworzenia nowego konto użytkownika?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Rozważ wprowadzenie procesu tworzenia konta użytkownika jako środka ochrony dla Twojej firmy. Może to obejmować wymóg uzyskania pisemnego zezwolenia lub podpisania stosownych dokumentów przed wydaniem konta użytkownika pracownikowi, co może zapewnić większą kontrolę nad dostępem do systemu i ochronę przed potencjalnymi zagrożeniami. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kontach 11.2. Czy w Twojej firmie monitorowane są konta użytkowników, którzy zostali przeniesieni lub odeszli z pracy?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Rozważ opracowanie procesu zarządzania kontami użytkowników, który uwzględni przeprowadzki, odejścia z pracy lub łączenie kont. W przypadku nowych pracowników, ich uprawnienia do konta powinny być rejestrowane i zatwierdzane, a po odejściu z firmy konta powinny zostać wyłączane lub usunięte. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kontach 11.3. Czy w Twojej firmie istnieją zasady, proces lub procedura przyznawania pracownikowi konta administratora?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Rozważ wprowadzenie procesu tworzenia kont administratorów, który może pomóc Twojej firmie w zapewnieniu bezpieczeństwa danych. W przypadku tworzenia takich kont należy stworzyć zestaw reguł opisujących, kto ma prawo do takiego konta oraz ograniczenia korzystania z nich takich, jak np. zakaz przeglądania stron internetowych i korzystania z poczty e-mail. Pamiętaj, że regularne korzystanie z konta administratora jest ryzykowne, ponieważ każde naruszenie może mieć poważne konsekwencje dla całego systemu. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kontach 11.4. Czy w Twojej firmie istnieją zasady, proces lub procedura zapobiegająca używaniu kont administratorów przez pracowników do codziennych czynności takich, jak przeglądanie stron internetowych i korzystanie z poczty e-mail?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Wprowadź w Twojej firmie zasady oddzielnych kont użytkowników i administratorów. Zaleca się, aby pracownicy mieli osobne konta użytkowników do wykonywania funkcji administracyjnych i rutynowych. Do wykonywania codziennych zadań powinni logować się przy użyciu standardowych kont użytkowników. Konta administratorów powinny być używane tylko do instalowania lub modyfikowania oprogramowania oraz do zmiany ustawień systemowych. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kontach O menadżerach haseł Kompleksowo o hasłach Poradnik Zobacz nasz poradnik O kontach O menadżerach haseł Kompleksowo o hasłach 12. Tworzenie kopii zapasowej danych Tworzenie kopii zapasowej danych oznacza stworzenie kopii informacji i zapisanie jej na innym nośniku danych lub przy wykorzystaniu usług dostawców rozwiązań chmurowych (online). Regularne tworzenie kopii zapasowych oznacza posiadanie aktualnej wersji wszystkich swoich danych. Pomoże to w szybszym odzyskaniu danych w przypadku ich utraty lub kradzieży. Tworzenie kopii zapasowej danych oznacza stworzenie kopii informacji i zapisanie jej na innym nośniku danych lub przy wykorzystaniu usług dostawców rozwiązań chmurowych (online). 12.1. Czy w Twojej firmie istnieje proces tworzenia kopii zapasowych danych?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećCzynność do wykonania Pamiętaj, że warto dbać o tworzeniu kopii zapasowych danych Twojej firmy. Przeczytaj Wykonywanie kopii zapasowych danych nie jest wymagane w ramach programu Firma Bezpieczna Cyfrowo, ponieważ program skupia się głównie na defensywnych zabezpieczeniach technicznych tzn. na takich, które chronią Twoją firmie przed cyberatakami i przełamaniem zabezpieczeń. Pomimo rozwoju technologii oraz zwiększenia poziomu świadomości problemu cyberbezpieczeństwa, nie stworzono dotychczas systemu informatycznego, który byłyby całkowicie bezpieczny. Każda firma narażona jest na cyberataki i różne awarie sprzętu i oprogramowania, co może prowadzić do utraty danych. Tworzenie kopii zapasowych polega na tworzeniu kopii wszystkich danych i zapisywaniu jej na innym urządzeniu lub w chmurze. Zaleca się regularne tworzenie kopii zapasowych plików oraz sprawdzanie, czy kopie zapasowe nie są uszkodzone lub niepełne. W ten sposób możliwe jest szybsze odzyskiwanie danych, w przypadku ich zgubienia lub kradzieży. Poradnik Potrzebujesz więcej informacji lub wskazówek, skorzystaj z informacji w naszych poradnikach: O kopiach zapasowych Poradnik Zobacz nasz poradnik O kopiach zapasowych 13. Sekcja usług cyfrowych i identyfikacja w sieci Ty i pracownicy Twojej firmy możecie korzystać z kilkuset e-usług publicznych zlokalizowanych na różnych platformach i portalach rządowych. Administracja publiczna udostępnia e-usługi, które umożliwiają załatwienie wielu spraw urzędowych z dowolnego miejsca i w dowolnym czasie, bez konieczności wychodzenia z firmy. Z e-usług publicznych może korzystać każdy, kto może potwierdzić swoją tożsamość w Internecie. Identyfikacja w sieci to proces rozpoznawania i uwierzytelniania użytkowników w celu dostępu do usług cyfrowych. Obejmuje on podawanie unikalnych danych takich, jak loginy, adresy e-mail, numery telefonów, hasła lub inne formy uwierzytelniania, które potwierdzają tożsamość użytkownika. Zapewnia to bezpieczny dostęp do usług cyfrowych i chroni przed nieautoryzowanym dostępem oraz nadużyciami. E-usługi publiczne są dostępne dla każdego, kto może potwierdzić swoją tożsamość w Internecie. 13.1. Czy używasz środków identyfikacji elektronicznej?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećPrzeczytaj Środki identyfikacji elektronicznej to narzędzia umożliwiające potwierdzenie tożsamości użytkownika w świecie cyfrowym. Są one niezbędne do korzystania z elektronicznych usług publicznych. Najważniejsze środki identyfikacji elektronicznej to: Profil zaufany – to bezpłatne narzędzie umożliwiające uwierzytelnianie tożsamości użytkownika w systemach teleinformatycznych urzędów oraz innych instytucji publicznych. (więcej) Podpis kwalifikowany – to elektroniczna forma podpisu, która umożliwia stwierdzenie tożsamości osoby podpisującej dokument, a także zapewnia autentyczność i integralność dokumentu. (więcej) E-dowód – to dowód osobisty wyposażony w warstwę elektroniczną , czyli elektroniczny chip, w którego pamięci są między innymi dane identyfikacyjne właściciela, w tym jego zdjęcie biometryczne. (więcej) Karta chipowa – to karta plastikowa wyposażona w mikroprocesor, umożliwiająca uwierzytelnianie tożsamości użytkownika. Token – to urządzenie elektroniczne służące do generowania kodów jednorazowych, które umożliwiają uwierzytelnienie tożsamości użytkownika. Biometria – to systemy oparte na rozpoznawaniu biometrycznym, takie jak rozpoznawanie twarzy, linii papilarnych czy tęczówki oka. Hasło jednorazowe – to kod generowany przez aplikację lub wysyłany SMS-em, który umożliwia uwierzytelnienie tożsamości użytkownika. 13.2. Czy w Twojej firmie podpisujesz dokumenty firmowe z użyciem podpisu elektronicznego?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećPrzeczytaj Podpis elektroniczny to sposób potwierdzenia autentyczności dokumentu lub podpisu, który został zastosowany w świecie cyfrowym. Podobnie, jak tradycyjny podpis odręczny, podpis elektroniczny pozwala na stwierdzenie tożsamości osoby, która go zastosowała oraz na potwierdzenie autentyczności dokumentu lub treści, do których podpis został dołączony. Podpis elektroniczny jest zabezpieczony przed fałszerstwem i dostępem niepowołanych osób, a w przypadku próby zmiany treści dokumentu podpis elektroniczny automatycznie zostanie uznany za nieważny. Podpis elektroniczny może być wykorzystywany w wielu dziedzinach życia, m.in. w przypadku zawierania umów, składania dokumentów w instytucjach publicznych, przesyłania faktur czy innych dokumentów handlowych. W Polsce, podpis elektroniczny może być wykorzystywany na równi z podpisem odręcznym, co oznacza, że ma taką samą ważność prawną. W celu wykorzystania podpisu elektronicznego, konieczne jest posiadanie profilu zaufanego, e-dowodu lub odpowiedniego certyfikatu kwalifikowanego podpisu elektronicznego, który jest wydawany przez akredytowane podmioty. Certyfikat ten pozwala na potwierdzenie tożsamości użytkownika i wykorzystanie podpisu elektronicznego. 13.3. Jakiego podpisu elektronicznego używasz?(odpowiedź wymagana)(Wybierz opcję)Podpis zaufanyKwalifikowany podpis elektronicznyPodpis osobisty (e-dowód)Inny13.4. Jakie dokumenty podpisujesz podpisem elektronicznym?(odpowiedź wymagana) umowy cywilnoprawne (np. zlecenie i dzieło) umowy o pracę wnioski i formularze do urzędów wnioski i formularze do podmiotów niepublicznych (np. banki, ubezpieczyciele, inni przedsiębiorcy) inne 13.5. Jak często podpisujesz dokumenty podpisem elektronicznym?(odpowiedź wymagana)(Wybierz opcję)raz w miesiącu lub częściejraz na kwartałraz na pół rokuraz w rokurzadziej niż raz w roku13.6. Czy przez ostatnie 12 miesięcy realizowałeś sprawy urzędowe Twojej firmy przy pomocy usług elektronicznych dostępnych na stronach internetowych instytucji rządowych lub innych jednostek administracji (tzw. e-usług), wykorzystując podpis zaufany lub kwalifikowany podpis elektroniczny?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećPrzeczytaj Ty i pracownicy Twojej firm możecie korzystać z kilkuset e-usług publicznych zlokalizowanych na różnych platformach i portalach rządowych. Są to m.in.: mObywatel (aplikacja mobilna, jak i strona internetowa), portal Gov.pl, portal dla firm Biznes.gov.pl, Platforma Usług Elektronicznych Zakładu Ubezpieczeń Społecznych (PUE ZUS) czy e-Urząd skarbowy. Administracja udostępnia i przygotowuje co raz to nowe e-usługi, które umożliwiają załatwienie spraw urzędowych z dowolnego miejsca i w dowolnym czasie, bez konieczności wychodzenia z firmy. Z e-usług publicznych może korzystać każdy, kto może potwierdzić swoją tożsamość w internecie np. za pomocą profilu zaufanego. Profil zaufany to również bezpłatne narzędzie, które służy jako elektroniczny podpis w komunikacji z administracją publiczną. Obecnie poprzez portale administracji dostępne są różnorodne usługi: Biznes.gov.pl – informuje, jak założyć i prowadzić własną firmę oraz umożliwia załatwienie niezbędnych formalności online. Stanowi źródło informacji dla osób, które prowadzą działalność gospodarczą lub planują ją rozpocząć. Gov.pl i Obywatel.gov.pl – informuje, jak załatwić popularne sprawy urzędowe. Oferuje popularne e-usługi dla obywateli, jak np.: uzyskanie odpisu aktu stanu cywilnego, uzyskanie dowodu osobistego, sprawdzenie punktów karnych czy danych w rejestrach państwowych, wysłanie pisma do urzędu. mObywatel.gov.pl – pozwala także zrealizować wiele e-usług w formie mobilnej. Publiczne portale usługowe, kierowane do różnych odbiorców, to m.in.: Biznes.gov.pl – serwis przeznaczony dla osób zamierzających rozpocząć i prowadzących działalność gospodarczą. Za pomocą serwisu osoby prowadzące firmę mogą składać wnioski do instytucji państwowych drogą elektroniczną, oszczędzając przy tym czas i pieniądze. https://www.biznes.gov.pl/pl E-Urząd skarbowy – https://podatki.gov.pl – portal podatkowy dla każdego, kto chce złożyć zeznanie podatkowe przez internet lub uzyskać informacje o podatkach. Umożliwia również złożenie wniosku o rozliczenie PIT-37 przez urząd skarbowy. https://ekrs.ms.gov.pl/s24/ – portal, na którym można złożyć elektroniczny wniosek o wpis do Krajowego Rejestru Sądowego spółki z ograniczoną odpowiedzialnością, spółki jawnej i spółki komandytowej. Można również zmienić dane w zarejestrowanych już spółkach oraz złożyć sprawozdanie finansowe spółki. ekw.ms.gov.pl – system Elektronicznych Ksiąg Wieczystych – portal, na którym można m.in. przeglądać treść ksiąg wieczystych, złożyć wniosek o odpis, wyciąg albo zaświadczenie o zamknięciu księgi wieczystej, sprawdzić, czy odpisy, wyciągi i zaświadczenia o zamknięciu księgi, uzyskane drogą elektroniczną, są aktualne i prawdziwe. emp@tia – empatia.mpips.gov.pl – portal informacyjno-usługowy, na którym można m.in. zapoznać się z informacjami dotyczącymi świadczeń z pomocy społecznej, rodzinnych, z funduszu alimentacyjnego, a także złożyć wnioski np. o 500+ czy becikowe. geoportal.gov.pl – umożliwia dostęp do danych przestrzennych i map topograficznych (mapy.geoportal.gov.pl). Na portalu dostępne są także informacje przestrzenne oraz usługi, o których mowa w dyrektywie INSPIRE. ekrus.gov.pl – portal adresowany do osób ubezpieczonych w Kasie Rolniczego Ubezpieczenia Społecznego. Rolnicy, zarówno ubezpieczeni, jak i płatnicy składek w KRUS, mogą założyć konto na portalu i uzyskać dostęp do podstawowych danych o przebiegu swojego ubezpieczenia, opłaconych składkach czy osobach zgłoszonych do ubezpieczenia. praca.gov.pl – oferuje usługi elektroniczne publicznych służb zatrudnienia. Portal kierowany jest do bezrobotnych, osób poszukujących pracy oraz do pracodawców, którzy poszukają pracowników. Oferty pracy oraz informacje o rynku pracy dostępne są na portalu informacyjnym psz.praca.gov.pl. puesc.gov.pl – Platforma Usług Elektronicznych Skarbowo-Celnych (PUESC) – pojedynczy punkt dostępu do e-usług Krajowej Administracji Skarbowej z zakresu obsługi i kontroli obrotu towarowego z państwami trzecimi i obrotu wyrobami akcyzowymi. pue.zus.pl – Platforma Usług Elektronicznych Zakładu Ubezpieczeń Społecznych (PUE ZUS) – portal dla osób ubezpieczonych, płatników składek, lekarzy, a także innych świadczeniobiorców (na przykład emerytów i rencistów). Na PUE ZUS można na przykład umówić się na wizytę w placówce ZUS, wysłać wnioski, sprawdzać swoje zwolnienia lekarskie, sprawdzić, czy pracodawca zgłosił nas do ubezpieczeń. ufg.pl – portal Ubezpieczeniowego Funduszu Gwarancyjnego, na którym można m.in. sprawdzić ubezpieczenie OC sprawcy wypadku, numer szkody, otrzymać informację o przebiegu ubezpieczenia OC, historii szkód komunikacyjnych. pacjent.gov.pl – ogólnopolski serwis dla pacjentów, który udostępnia dane gromadzone przez Narodowy Fundusz Zdrowia. W Internetowym Koncie Pacjenta można uzyskać dostęp do informacji m.in. na temat swojego leczenia i udzielonych świadczeń, zrefundowanych leków, swojego miejsca na liście oczekujących na poradę lekarską czy przyjęcia do szpitala (w zakresie niektórych świadczeń). 13.7. W jakiej dziedzinie korzystasz z e-usług administracji?(odpowiedź wymagana) Otwarcie i rejestracja firmy Zakończenie i likwidacja działalności Zawieszenie i wznowienie firmy Zmiany w firmie Pracownicy Podatki i księgowość Ubezpieczenia społeczne Pełnomocnicy Spory i długi Rejestry i kontrole Ochrona środowiska i klimatu Wprowadzanie produktów na rynek Import i eksport Biznes w UE RODO Inwestycje, przetargi i rozwój Inne 13.8. Czy procesy w Twojej firmie są zintegrowane automatycznie z systemami administracji publicznej (np. JPK)?(odpowiedź wymagana)(Wybierz opcję)TakNieTrudno powiedziećPrzeczytaj Wybrane systemy administracji publicznej posiadają interfejsy, do których można podłączyć oprogramowanie w Twojej firmie. Administratorzy udostępniają na stronach urzędów specjalnie przygotowane specyfikacje, które opisują sposoby autoryzacji, role, poszczególne funkcjonalności, metody wywołań, walidacje czy formaty dla przesyłanych informacji tak, aby dane automatycznie były przekazywane do systemów państwowych. Dla przykładu interfejsy takie udostępnia Ministerstwo Finansów dla plików JPK, czy Krajowego Systemu Elektronicznych Faktur. Integracja oprogramowania w Twojej firmie z publicznymi systemami ułatwia automatyzację wewnętrznych procesów w organizacji np. procesu związanego z rozliczeniami podatkowymi, skraca ich czas a także w mniejszym stopniu angażuje Ciebie jako przedsiębiorcę. Poradnik Zobacz nasz poradnik Zgłoś uwagi do ankiety(wymagane)W celu kontaktu możesz podać firmowy adres e-mail Jeśli nie podasz mail'a twoje zgłoszenie również do nas dotrze.CAPTCHA Administratorem danych osobowych przekazanych w formularzu jest Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (NASK-PIB) z siedzibą w Warszawie przy ul. Kolskiej 12; kontakt do Inspektora Ochrony Danych w NASK-PIB : iod@nask.pl NASK-PIB będzie przetwarzać dane osobowe wskazane w formularzu do celów związanych z realizacją prawnie uzasadnionego interesu administratora danych, jakim jest obsługa korespondencji za pośrednictwem formularza (art. 6 ust. 1 lit. f RODO). NASK-PIB może udostępnić dane osobowe na żądanie podmiotów upoważnionych do ich żądania na podstawie przepisów prawa. Dane osobowe będą przetwarzane przez okres niezbędny do obsługi przesłanego zgłoszenia. Osoba korzystająca z formularza ma prawo żądania dostępu do swoich danych, ich sprostowania, ograniczenia przetwarzania oraz usunięcia w zakresie, w jakim wynika to przepisów dot. ochrony danych osobowych. Podanie danych osobowych jest dobrowolne; jeśli osoba korzystająca z formularza chce uzyskać od NASK-PIB odpowiedź na swoje zgłoszenie powinna wskazać dane kontaktowe, za pośrednictwem których można się z nią skontaktować. Osobie korzystającej z formularza przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Dane osobowe osób korzystających z formularza nie są przez NASK-PIB wykorzystywane do profilowania oraz nie są udostępniane do państwa trzeciego, ani organizacji międzynarodowej.