Рубрики:
  • Менеджмент
  • Кейсы
  • Персоны
  • 5

Любимый офис может спать спокойно: три базовых правила информационной безопасности

Прочтёте за 3 мин.
23 апреля 2018

Как защитить компанию от утечек и «сливов» ценных данных

IT-инструменты, которые использует Иван Бируля

  • TimeInformer
  • SIEM
  • Facebook

Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важная техническая документация новейшего гаджета уплывёт в интернет, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, как повысить уровень информационной безопасности компании, в своей авторской колонке рассказал эксперт-профайлер Иван Бируля.

Досье

Иван Бируля, эксперт-профайлер, директор по безопасности компании  «СёрчИнформ». Опыт работы в IT-индустрии - 12 лет. Работал инженером-проектировщиком систем безопасности, руководил отделами безопасности «Паритетбанка» и группы компаний Transeuropean Logistic Service. Разработал авторскую методику профайлинга. Обучался по программе МАШАВ (Израиль). Постоянный спикер конференций в сфере информационной безопасности.

Иван Бируля

Безопасность – в тренде

Вплотную заниматься информационной безопасностью бизнес чаще всего вынуждает одна из трёх причин: нормы закона и отраслевые стандарты, вероятный ущерб от утечки данных и потребность «управлять страхом». Последнее означает, что компания начинает беспокоиться о защите информации, когда сама сталкивается с утечкой или под впечатлением от крупных инцидентов.

2017 год стал «годом утечек данных», которые обнаружили проблемы с безопасностью как у монстров вроде IBM, Yahoo!, Uber, Amazon, Equifax, так и у множества компаний меньшего масштаба. Так что в ближайшие месяцы многие бизнес-структуры начнут с утроенной силой выстраивать защиту корпоративных IT-систем и данных внутри компании.

Давайте рассмотрим три основополагающих правила, без которых «строение» выйдет непрочным.

Правило первое: осведомлённые сотрудники

Больше всего конфиденциальным данным угрожают не хакеры, а сотрудники, которые ежедневно пользуются IT-ресурсами компании. По данным ежегодного исследования «СёрчИнформ», на долю «человеческого фактора» приходится серьёзный процент общих угроз. Почему пользователи становятся угрозой номер один? Есть мнение, что от скуки и безделья, но прежде всего – потому что не знают правил информационной безопасности не следуют им.

Сотрудники одного нашего клиента, которым пришлось работать в выходные, от скуки решили погулять по территории. Менеджер, не задумываясь, опубликовал в социальных сетях селфи на фоне секретного объекта. У нарушителя не было злого умысла, он просто пожаловался, что работает, пока остальные отдыхают. DLP-система детектировала отправленное в интернет фото, и сотрудник удалил снимок по «просьбе» службы безопасности. После инцидента коллективу ещё раз напомнили о важности правил безопасности и закрепили «урок» штрафными санкциями.

  • Пройти тест на знание правил информационной безопасности

Проводить «ликбез» по информационной безопасности и следить за выполнением правил безопасности – главное условие защиты конфиденциальной информации. Причём эти знания помогут сотрудникам и в обычной жизни. Использовать сложные пароли, не хранить в «облаках» важную информацию, не смешивать рабочую и личную почту, распознавать фишинговые письма и другие уловки социальной инженерии – полезные навыки, которые обезопасят от посягательств мошенников и корпоративные данные компании, и частные данные сотрудников.

Правило второе: ограничение доступа

Профессионалы в сфере информационной безопасности убеждены: чем меньше у сотрудника возможностей для спланированного или спонтанного нарушения, тем выше степень защиты информации. Поэтому «урезают» права пользователей максимально, но без ущерба для рабочего процесса.

Если юристу запретить доступ к «песочнице» разработчиков, продуктивность юридического отдела не пострадает. Если разработчика лишить доступа к панели управления сайтом для редактирования новостей компании, разработка продолжится в прежнем режиме.

Следовать правилам разграничения доступа на руку и самим сотрудникам, поскольку снижается риск нарушения по неосторожности.

Служба безопасности нашего клиента обратила внимание, что на компьютере штатного сотрудника хранится конфиденциальная информация, доступа к которой у него быть не должно. Расследование показало, что на этом компьютере регулярно запускали ПО для удалённого доступа, и неподготовленный пользователь этого не замечал. К делу оказался причастен системный администратор. Он организовал на компьютере «жертвы» временное «хранилище» данных ограниченного доступа, которые затем передавал третьим лицам. Так честный сотрудник поневоле стал соучастником «слива» информации.

Правило третье: комплексный подход

Обученные и осведомлённые пользователи плюс регулярная проверка и распределение прав доступа – основополагающие, но отнюдь не исчерпывающие правила информационной безопасности.

Главный бухгалтер компании–оператора грузоперевозок решила загрузить в «облако» большой архив документов в обход внутренних правил работы с информацией. Корыстных мотивов у сотрудницы не было, ей просто было удобно работать с документами из дома. Служба информационной безопасности обратила внимание на действия бухгалтера, так как по структуре предприятие – закрытое акционерное общество, и разглашать определённые сведения недопустимо. Проверка архива с помощью DLP-системы показала, что информация не подлежит раскрытию, и загрузку заблокировали. Окажись данные из архива у конкурентов, финансовый ущерб компании составил бы минимум 30 млн. рублей.

Наиболее надёжную защиту данных от случайных «сливов» и спланированных утечек обеспечивает комплекс организационных и технических мер. Организационный уровень защиты включает, но не ограничивается подбором кадров, утверждением регламента работы с конфиденциальными документами и носителями данных. Включение пункта о неразглашении в трудовой договор, размер зарплаты, тренинги по информационной безопасности также относят к организационным мерам защиты.

Техническую сторону обеспечивают аппаратные и программные средства, например, разнообразные системы контроля сотрудников. По оценке исследовательской компании Gartner, половина компаний использует для контроля DLP-системы, которые фиксируют пересылку документов внутри компании и внешним адресатам, отслеживают посещение нерабочих и подозрительных ресурсов, анализируют переписку в мессенджерах и предупреждают о риске утечки данных.

Российские компании всё чаще создают отделы информационной безопасности: в 2017 году 36% участников исследования «СёрчИнформ» отметили, что защитой данных у них занимаются профильные специалисты. Ещё два года назад этот показатель составлял 22%. И тенденция роста сохранится.

Biz360.ru


Читайте также:

Как защитить корпоративный сайт от кибератак.
Как устроен сервис по защите сделок в интернете.
SSL-сертификат: что это, зачем он нужен и где его взять.



Комментарии

0
Войдите через аккаунт социальной сети:
  • Прокомментируйте первым.

Это ответ на комментарий (отмена - x)
  • Задайте вопрос
    профи

    Наши эксперты ответят на любой вопрос

    Задать вопрос
    Ваш вопрос отправлен

    Ваш вопрос

    Введите Имя
    Введите E-mail
    Отправить Очистить
Возможно, вас заинтересуют другие наши материалы
  • Идеи для бизнеса 19 октября
    Остаёмся зимовать: семь вдохновляющих историй для наступающих холодов
    Прочтёте за 3 мин. Остаёмся зимовать: семь вдохновляющих историй для наступающих холодов
  • Маркетинг Маркетинг доверия: как продавать дорогие услуги разным типам клиентов 19 октября
    Маркетинг доверия: как продавать дорогие услуги разным типам клиентов
    Прочтёте за 5 мин.
  • Маркетинг Изучить врага: как анализировать страницы своих конкурентов в соцсетях 18 октября
    Изучить врага: как анализировать страницы своих конкурентов в соцсетях
    Прочтёте за 3 мин.
  • Идеи для бизнеса Английский в коробке: как заработать на обучающих настольных играх 18 октября
    Английский в коробке: как заработать на обучающих настольных играх
    Прочтёте за 5 мин.
  • Менеджмент Один за всех и все за одного: 12 принципов крепкой бизнес-команды 17 октября
    Один за всех и все за одного: 12 принципов крепкой бизнес-команды
    Прочтёте за 7 мин.
  • Идеи для бизнеса Французский связной: как экс-сибирячка открыла брачное агентство во Франции 17 октября
    Французский связной: как экс-сибирячка открыла брачное агентство во Франции
    Прочтёте за 6 мин.
  • Менеджмент Я знаю – ты сможешь: как правильно делегировать задачи сотрудникам 16 октября
    Я знаю – ты сможешь: как правильно делегировать задачи сотрудникам
    Прочтёте за 3 мин.
  • Идеи для бизнеса Первая «Ласточка»: как развивать детский центр в небольшом провинциальном городе 16 октября
    Первая «Ласточка»: как развивать детский центр в небольшом провинциальном городе
    Прочтёте за 5 мин.
  • Кейсы Продаван, приди: как найти хорошего менеджера по продажам 15 октября
    Продаван, приди: как найти хорошего менеджера по продажам
    Прочтёте за 3 мин.
  • Идеи для бизнеса Когда прыжки в мешках надоели: как заработать на настольных играх для ивентов 15 октября
    Когда прыжки в мешках надоели: как заработать на настольных играх для ивентов
    Прочтёте за 6 мин.
  • Маркетинг Деньги решают не всегда: 10 сценариев работы с лидерами мнений 12 октября
    Деньги решают не всегда: 10 сценариев работы с лидерами мнений
    Прочтёте за 5 мин.
  • Идеи для бизнеса Бизнес с пылу с жару: как и на чём зарабатывает сеть блинных 12 октября
    Бизнес с пылу с жару: как и на чём зарабатывает сеть блинных
    Прочтёте за 7 мин.
  • Кейсы Бизнес за границей: как предприниматели из Петербурга запускают компанию в США 11 октября
    Бизнес за границей: как предприниматели из Петербурга запускают компанию в США
    Прочтёте за 5 мин.
  • Персоны Неочевидные советы для успеха: что необходимо делать предпринимателям 11 октября
    Неочевидные советы для успеха: как необходимо поступать предпринимателям
    Прочтёте за 6 мин.
  • Кейсы Включить форсаж: как автоматизация позволила интернет-магазину увеличить продажи 10 октября
    Включить форсаж: как автоматизация позволила интернет-магазину увеличить продажи
    Прочтёте за 3 мин.
  • Идеи для бизнеса Помогаем помогать: как работает и на чём зарабатывает сервис профессиональных сиделок 10 октября
    Помогаем помогать: как зарабатывает сервис профессиональных сиделок
    Прочтёте за 7 мин.
  • Кейсы Единым фронтом: как отраслевое объединение продавливает необходимые для развития индустрии законы 09 октября
    Единым фронтом: как продавить необходимые для развития индустрии законы
    Прочтёте за 4 мин.
  • Кейсы Конкуренция и конкурентная борьба-II: ещё 11 важных уроков от предпринимателей-практиков 09 октября
    Конкурентная борьба-II: ещё 11 важных уроков от предпринимателей-практиков
    Прочтёте за 8 мин.
  • Кейсы Конкуренция и конкурентная борьба-I: десять важных уроков от практикующих предпринимателей 08 октября
    Конкурентная борьба-I: десять важных уроков от практикующих предпринимателей
    Прочтёте за 8 мин.
  • Менеджмент «Я устал, я ухожу»: что нужно знать тому, кто хочет продать свой бизнес 08 октября
    «Я устал, я ухожу»: что нужно знать тому, кто хочет продать свой бизнес
    Прочтёте за 3 мин.
Идёт загрузка материалов