Bezpečnostní doporučení pro infrastrukturu

1. ČLEŇTE SÍŤ NA MENŠÍ CELKY (SEGMENTACE) A STRIKTNĚ ODDĚLUJTE UŽIVATELSKÁ PRÁVA NAPŘÍČ UŽIVATELI (SEGREGACE)
   s cílem oddělit citlivé informace a kritické služby typu autentizace uživatelů (např. Microsoft Active Directory) a vytvořit zóny s různou úrovní bezpečnostních omezení. stávajících souborů nebo změn konfigurace.
2. KONTROLUJTE PŘÍCHOZÍ E-MAILY
   pomocí mechanismů Sender ID, SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) a DMARC (Domain-based Message Authentication, Reporting and Conformance) a blokujte podvržené zprávy. Tyto mechanismy nastavte i pro možnou kontrolu odchozích zpráv druhou stranou.
3. POUŽÍVEJTE ŠIFROVANÉ SPOJENÍ MEZI POŠTOVNÍMI SERVERY (TLS)
   pro zajištění důvěrnosti e-mailové komunikace. Kontrolu obsahu provádějte až poté, co je e-mailový provoz dešifrován.
4. KONTROLUJTE POUŽÍVANÉ CERTIFIKÁTY
   především pro SSH autentizaci, webové servery, vzdálenou plochu apod. Kde je to možné, použijte šifrovanou komunikaci.
5. VYPRACUJTE DISASTER RECOVERY PLAN (DRP)
   a mějte připravené správné a funkční emailové adresy a telefonní čísla na ostatní administrátory, nadřízené pracovníky a CSIRT-MU tým.

Rady vychází z doporučeních, která vydal Národní úřad pro kybernetickou a informační bezpečnost.