安全意识海报内容创作

标题：钓鱼邮件防范安全意识海报（面向全员）

目标：降低凭证泄露、资金损失与敏感数据外泄风险；提升员工识别与报告钓鱼的能力。

一、钓鱼邮件是什么
- 通过伪造邮件诱导用户点击链接、下载附件或泄露信息（密码、MFA验证码、支付/客户数据）。
- 常见伪装：账号验证、密码过期、发票/付款、快递通知、HR政策更新、IT支持、供应商信息变更。

二、主要风险信号（遇到以下情况提高警惕）
- 语言与语气：紧急/威胁（“立即处理，否则停用”）、过度诱导（礼品卡、退款）。
- 发件人异常：域名相似或拼写错误；回复地址与显示发件人不一致；外部邮件标记[外部]。
- 链接异常：缩短链接、看似相似域名（如字母替换）、子域混淆；跳转至登录/支付页面；仅有HTTPS锁并不代表可信。
- 附件风险：启用宏的Office文档、脚本文件（.js、.vbs）、压缩包（带密码）、可执行文件（.exe）。
- 内容不一致：格式粗糙、错别字、时间/签名不合常规；请求绕过正式流程（让你直接回复信息）。
- 业务变更：付款账号、收款信息或供应商资料“紧急”变更，要求立即执行。

三、收到可疑邮件时的安全操作
- 停：不点击链接；不下载/打开附件；不回复或转发；不在邮件中提供任何信息。
- 验：用独立渠道核实（公司通讯录、已知电话号码、官方网站手动输入URL）；鼠标悬停查看真实链接；移动端长按预览链接。
- 报：通过公司“报告钓鱼”按钮或安全服务台/指定邮箱提交原始邮件并说明情况。
- 清：在报告后删除该邮件并清空垃圾箱（由安全团队统一处置为准）。

四、已点击或已泄露时的应急处置
- 立即在官网更改账户密码，启用或重置MFA；不要在可疑页面输入验证码。
- 立刻上报安全团队，提供时间线、账号、操作（点击/输入/下载）、截图或原邮件。
- 如有下载或运行附件：停止进一步操作，保持设备在线以便EDR/防病毒扫描；不要自行删除证据。
- 检查并撤销账号其他会话与第三方应用令牌；对财务请求进行冻结/核验。
- 若存在密码复用，对相同密码的其他系统立即更改密码。

五、日常防护与合规要求
- 使用公司批准的邮件客户端与安全工具；保持系统、浏览器和Office更新，默认禁用宏。
- 严禁通过邮件分享密码、MFA验证码、客户/员工个人信息、支付卡数据等敏感信息。
- 涉及资金或账户信息变更，必须执行双重核验：独立渠道确认 + 双人复核。
- 遵守公司数据保护政策与相关法规（GDPR、个人信息保护法PIPL、PCI DSS等）；仅在授权渠道处理敏感数据。
- 参与定期钓鱼模拟与培训，持续提升识别与响应能力。

六、关键信息速记
- 三不要：不要点不明链接；不要开可疑附件；不要泄露凭证/验证码。
- 四核对：发件人身份与域名；链接真实地址；附件类型与来源；请求是否符合流程。
- 原则：怀疑即报告；宁可误报，不要忽视。

七、报告渠道（示例，以公司实际为准）
- 报告钓鱼按钮：邮件客户端内置“Report Phishing”
- 安全邮箱：security@company.example
- 安全服务台/热线：XXXX-XXXXXXX

提示：HTTPS加密只代表传输加密，不代表网站可信；请以域名与独立核验为准。对“二维码钓鱼”保持同等警惕，扫描前确认来源与目标网址。

最小权限原则安全意识海报（内部发布）

目标
- 只授予完成职责所需的最低访问权限，按需、限时、可审计，降低数据泄露与误操作风险，提升合规性与可控性。

为什么重要
- 降低攻击面：权限越少，潜在损失越小。
- 阻断横向移动：限制被攻破账号的扩散能力。
- 防误操作：减少高危变更和大规模数据导出。
- 合规要求：符合最小必要/数据最小化原则（PIPL、数据安全法、GDPR）与访问控制最佳实践（ISO/IEC 27001、零信任理念）。

核心实践
- 角色为先：使用基于角色的访问控制（RBAC），按岗位映射最小权限模板。
- 按需提权：通过PAM/JIT进行临时高权限，自动到期回收。
- 分离职责：审批与执行、开发与上线、财务与复核相互独立。
- 数据分级：按数据敏感度实施读/写/导出最小化和必要审批。
- 时效与范围：权限设有效期、限定资源范围与操作类型。
- 审批与工单：统一入口、记录充分业务理由与期限。
- 审计与检测：全量记录特权使用与导出行为，异常告警。
- 生命周期管理：入转调离自动调整与回收；禁用共享账号。
- 秘密管理：钥匙/令牌集中保管与轮换，禁用硬编码和个人令牌跑自动化。

员工应如何做
- 申请前明确任务目标、所需数据范围与最短期限；默认只读。
- 通过标准角色/群组申请，不私下互相拉权限或共享账号。
- 完成任务后主动归还权限；定期检查自己的权限清单。
- 下载/导出前确认必要性与合规性，敏感数据优先在受控环境处理。
- 发现过宽或无效权限、孤儿访问，立即提交工单修正。

管理者/资源所有者应如何做
- 采用预定义最小权限角色，避免“万能角色”和通配符策略。
- 审批基于业务证据与最小必要范围，高风险权限实施双人审批。
- 强制设置到期时间与使用条件（时间/地点/设备合规）。
- 季度复核访问清单；人员离职或岗位变化立即回收。
- 对共享空间与生产环境默认拒绝，按项目白名单授权。

常见错误（避免）
- 永久管理员或长期白名单例外。
- 为分析授予生产写权限或全库导出权限。
- 使用个人访问令牌运行CI/CD或自动化。
- 临时权限授予后未回收；把人直接加入过宽群组。

快速流程
- 发起：服务台/IDM工单，选择角色，填写任务、范围、期限。
- 审批：主管审批；特权或导出权限需安全/系统双审。
- 下发：自动化配置，启用MFA与条件访问。
- 使用：按需提权，操作受监控；超期自动失效。
- 复核：月度异常审计；季度访问再认证。

技术管控建议（由IT/安全执行）
- 统一身份与强认证：SSO＋MFA，条件访问策略。
- 终端最小权限：默认非管理员，LAPS管理本地管理员。
- 数据库：只读副本、行列级权限与脱敏；阻断“SELECT *”导出到外部。
- 云与容器：精细化IAM策略，资源级条件与标签，限制“*”与强制KMS加密。
- 代码与流水线：令牌最小Scope、短期有效，优先OIDC联邦；分支保护与审批门禁。
- 日志与告警：特权使用、权限变更、异常导出与失败登录集中审计。
- 秘密管理：集中保管、最小可见、定期轮换与访问审计。

合规与参考
- 中国：个人信息保护法最小必要原则、数据安全法分级分类、网络安全法。
- 国际：GDPR数据最小化原则、ISO/IEC 27001访问控制相关实践、NIST零信任原则。

口号
- 没有业务需要，不给权限；没有到期时间，不批权限；任务结束，回收权限。

报告与支持
- 发现越权、异常导出或共享账号，请立即报告：security@company.com 或 服务台“权限安全”分类工单。

Título: Uso seguro de dispositivos USB en la organización

Objetivo
- Reducir riesgos de malware, fuga de datos y manipulaciones (p. ej., BadUSB).
- Cumplir con las políticas internas de seguridad y con el RGPD y normativas aplicables.

Alcance
- Aplica a empleados, contratistas y visitantes en todas las sedes y entornos remotos.

Riesgos principales
- Malware y ransomware a través de archivos o ejecución automática.
- BadUSB: dispositivos/cables que se hacen pasar por teclado, tarjeta de red o hub.
- Pérdida, robo o acceso no autorizado a información sensible.
- Exfiltración de datos personales o confidenciales sin controles.

Normas obligatorias de uso
- Solo se permite conectar dispositivos USB corporativos aprobados y registrados por TI.
- Prohibido el uso de USB personales, promocionales o de procedencia desconocida.
- Cifrado obligatorio para cualquier dato de la organización en medios extraíbles:
  - Utilizar la solución corporativa aprobada (p. ej., BitLocker To Go u otra autorizada).
  - Cifrado robusto (p. ej., AES-256) y protección por contraseña gestionada.
- Escaneo automático del dispositivo con antivirus/EDR antes de abrir archivos.
- Desactivar/No permitir AutoRun/AutoPlay. No ejecutar archivos desde el USB sin validación previa.
- No almacenar datos personales, clasificados o regulados sin autorización expresa y controles DLP.
- Minimización: transferir solo lo necesario. Eliminar los datos del USB al finalizar la tarea.
- No conectar teléfonos personales, cargadores públicos o cables desconocidos al equipo corporativo.
- No usar hubs, adaptadores o cables USB no autorizados por TI.
- No eludir controles de bloqueo de puertos, listas blancas (VID/PID) o políticas de control de dispositivos.

Antes de conectar un USB (lista de verificación)
1) Verifique que el dispositivo está inventariado, etiquetado y aprobado por TI.
2) Confirme que el cifrado está activo y que cuenta con credenciales válidas.
3) Conéctelo y espere el análisis del EDR/antivirus; no abra archivos hasta el resultado.
4) Acceda solo a los datos estrictamente necesarios. Mantenga el USB conectado el mínimo tiempo.
5) Expulse el dispositivo de forma segura antes de retirarlo.

Transferencia y manejo de datos
- Clasifique los datos según la política interna (p. ej., Público, Interno, Confidencial).
- Para datos personales o sensibles:
  - Base legal documentada y autorización del responsable/dueño de datos.
  - Cifrado en tránsito y en reposo; registro de la transferencia cuando aplique.
  - No enviar información regulada a terceros sin contrato y cláusulas de protección de datos.
- Retención: elimine o anonimice datos cuando dejen de ser necesarios.
- Borrado seguro:
  - Preferente: destrucción criptográfica (eliminar clave de cifrado) mediante la herramienta corporativa.
  - Alternativa: sanitización conforme al procedimiento de TI antes de reutilizar o desechar.

Buenas prácticas adicionales
- Viajes y entornos públicos: no conecte USB a quioscos o equipos no confiables. Evite cargar dispositivos en puertos desconocidos; utilice adaptadores de corriente confiables o bloqueadores de datos (“USB data blocker”).
- No habilite macros, no ejecute binarios ni instale controladores desde el USB sin aprobación.
- Mantenga el etiquetado físico discreto; evite revelar la clasificación en el exterior del dispositivo si incrementa el riesgo.

Detección y respuesta ante incidentes
- Señales de alerta: aparición de “nuevo teclado/dispositivo de red”, análisis EDR con detección, apertura de ventanas inesperadas, comportamiento anómalo del sistema.
- Si sospecha:
  1) Desconecte el USB de inmediato.
  2) Aísle el equipo de la red si hay actividad maliciosa evidente (desconexión de red/airplane mode).
  3) No apague ni intente analizar por cuenta propia; preserve el estado para forense.
  4) Notifique de inmediato al SOC/Mesa de ayuda por los canales establecidos.
  5) Registre qué dispositivo, cuándo, dónde y qué archivos se accedieron.

Cumplimiento y responsabilidades
- RGPD: adopte cifrado, control de acceso y registros cuando se traten datos personales. Notificación de brechas según procedimientos internos (plazo legal de 72 horas para la autoridad, cuando proceda).
- Proveedores: exija acuerdos de tratamiento de datos, cifrado y certificación de borrado al finalizar el servicio.
- Devolución: entregue los USB corporativos a TI para su sanitización o destrucción cuando ya no se requieran.

Soporte y dudas
- Para aprobación de dispositivos, cifrado, recuperación de claves o reportes de incidentes, contacte al SOC/Mesa de ayuda por el canal corporativo establecido.