Рубрики:
  • Менеджмент
  • Кейсы
  • Персоны
  • 5

Любимый офис может спать спокойно: три базовых правила информационной безопасности

Прочтёте за 3 мин.
23 апреля 2018

Как защитить компанию от утечек и «сливов» ценных данных

IT-инструменты, которые использует Иван Бируля

  • TimeInformer
  • SIEM
  • Facebook

Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важная техническая документация новейшего гаджета уплывёт в интернет, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, как повысить уровень информационной безопасности компании, в своей авторской колонке рассказал эксперт-профайлер Иван Бируля.

Досье

Иван Бируля, эксперт-профайлер, директор по безопасности компании  «СёрчИнформ». Опыт работы в IT-индустрии - 12 лет. Работал инженером-проектировщиком систем безопасности, руководил отделами безопасности «Паритетбанка» и группы компаний Transeuropean Logistic Service. Разработал авторскую методику профайлинга. Обучался по программе МАШАВ (Израиль). Постоянный спикер конференций в сфере информационной безопасности.

Иван Бируля

Безопасность – в тренде

Вплотную заниматься информационной безопасностью бизнес чаще всего вынуждает одна из трёх причин: нормы закона и отраслевые стандарты, вероятный ущерб от утечки данных и потребность «управлять страхом». Последнее означает, что компания начинает беспокоиться о защите информации, когда сама сталкивается с утечкой или под впечатлением от крупных инцидентов.

2017 год стал «годом утечек данных», которые обнаружили проблемы с безопасностью как у монстров вроде IBM, Yahoo!, Uber, Amazon, Equifax, так и у множества компаний меньшего масштаба. Так что в ближайшие месяцы многие бизнес-структуры начнут с утроенной силой выстраивать защиту корпоративных IT-систем и данных внутри компании.

Давайте рассмотрим три основополагающих правила, без которых «строение» выйдет непрочным.

Правило первое: осведомлённые сотрудники

Больше всего конфиденциальным данным угрожают не хакеры, а сотрудники, которые ежедневно пользуются IT-ресурсами компании. По данным ежегодного исследования «СёрчИнформ», на долю «человеческого фактора» приходится серьёзный процент общих угроз. Почему пользователи становятся угрозой номер один? Есть мнение, что от скуки и безделья, но прежде всего – потому что не знают правил информационной безопасности не следуют им.

Сотрудники одного нашего клиента, которым пришлось работать в выходные, от скуки решили погулять по территории. Менеджер, не задумываясь, опубликовал в социальных сетях селфи на фоне секретного объекта. У нарушителя не было злого умысла, он просто пожаловался, что работает, пока остальные отдыхают. DLP-система детектировала отправленное в интернет фото, и сотрудник удалил снимок по «просьбе» службы безопасности. После инцидента коллективу ещё раз напомнили о важности правил безопасности и закрепили «урок» штрафными санкциями.

  • Пройти тест на знание правил информационной безопасности

Проводить «ликбез» по информационной безопасности и следить за выполнением правил безопасности – главное условие защиты конфиденциальной информации. Причём эти знания помогут сотрудникам и в обычной жизни. Использовать сложные пароли, не хранить в «облаках» важную информацию, не смешивать рабочую и личную почту, распознавать фишинговые письма и другие уловки социальной инженерии – полезные навыки, которые обезопасят от посягательств мошенников и корпоративные данные компании, и частные данные сотрудников.

Правило второе: ограничение доступа

Профессионалы в сфере информационной безопасности убеждены: чем меньше у сотрудника возможностей для спланированного или спонтанного нарушения, тем выше степень защиты информации. Поэтому «урезают» права пользователей максимально, но без ущерба для рабочего процесса.

Если юристу запретить доступ к «песочнице» разработчиков, продуктивность юридического отдела не пострадает. Если разработчика лишить доступа к панели управления сайтом для редактирования новостей компании, разработка продолжится в прежнем режиме.

Следовать правилам разграничения доступа на руку и самим сотрудникам, поскольку снижается риск нарушения по неосторожности.

Служба безопасности нашего клиента обратила внимание, что на компьютере штатного сотрудника хранится конфиденциальная информация, доступа к которой у него быть не должно. Расследование показало, что на этом компьютере регулярно запускали ПО для удалённого доступа, и неподготовленный пользователь этого не замечал. К делу оказался причастен системный администратор. Он организовал на компьютере «жертвы» временное «хранилище» данных ограниченного доступа, которые затем передавал третьим лицам. Так честный сотрудник поневоле стал соучастником «слива» информации.

Правило третье: комплексный подход

Обученные и осведомлённые пользователи плюс регулярная проверка и распределение прав доступа – основополагающие, но отнюдь не исчерпывающие правила информационной безопасности.

Главный бухгалтер компании–оператора грузоперевозок решила загрузить в «облако» большой архив документов в обход внутренних правил работы с информацией. Корыстных мотивов у сотрудницы не было, ей просто было удобно работать с документами из дома. Служба информационной безопасности обратила внимание на действия бухгалтера, так как по структуре предприятие – закрытое акционерное общество, и разглашать определённые сведения недопустимо. Проверка архива с помощью DLP-системы показала, что информация не подлежит раскрытию, и загрузку заблокировали. Окажись данные из архива у конкурентов, финансовый ущерб компании составил бы минимум 30 млн. рублей.

Наиболее надёжную защиту данных от случайных «сливов» и спланированных утечек обеспечивает комплекс организационных и технических мер. Организационный уровень защиты включает, но не ограничивается подбором кадров, утверждением регламента работы с конфиденциальными документами и носителями данных. Включение пункта о неразглашении в трудовой договор, размер зарплаты, тренинги по информационной безопасности также относят к организационным мерам защиты.

Техническую сторону обеспечивают аппаратные и программные средства, например, разнообразные системы контроля сотрудников. По оценке исследовательской компании Gartner, половина компаний использует для контроля DLP-системы, которые фиксируют пересылку документов внутри компании и внешним адресатам, отслеживают посещение нерабочих и подозрительных ресурсов, анализируют переписку в мессенджерах и предупреждают о риске утечки данных.

Российские компании всё чаще создают отделы информационной безопасности: в 2017 году 36% участников исследования «СёрчИнформ» отметили, что защитой данных у них занимаются профильные специалисты. Ещё два года назад этот показатель составлял 22%. И тенденция роста сохранится.

Biz360.ru


Читайте также:

Как защитить корпоративный сайт от кибератак.
Как устроен сервис по защите сделок в интернете.
SSL-сертификат: что это, зачем он нужен и где его взять.



Комментарии

0
Войдите через аккаунт социальной сети:
  • Прокомментируйте первым.

Это ответ на комментарий (отмена - x)
  • Задайте вопрос
    профи

    Наши эксперты ответят на любой вопрос

    Задать вопрос
    Ваш вопрос отправлен

    Ваш вопрос

    Введите Имя
    Введите E-mail
    Отправить Очистить
Возможно, вас заинтересуют другие наши материалы
  • Кейсы Предприниматели против ФНС и ПФР: как победить чиновников в суде 20 августа
    Предприниматели против ФНС и ПФР: как победить чиновников в суде
    Прочтёте за 3 мин.
  • Идеи для бизнеса 20 августа
    Бизнес-идея для стартапа за границей: фудтрак в Испании
    Прочтёте за 3 мин. Бизнес-идея для стартапа за границей: фудтрак в Испании
  • Маркетинг Пять вдохновляющих книг по маркетингу 17 августа
    Пять вдохновляющих книг по маркетингу
    Прочтёте за 3 мин.
  • Персоны Социальное предпринимательство: как устроен проект для женщин в декрете LifeMama 17 августа
    Социальное предпринимательство: как устроен проект LifeMama
    Прочтёте за 6 мин.
  • Менеджмент Мы будем жить теперь по-новому: как изменятся правила работы сайтов-агрегаторов 16 августа
    Мы будем жить теперь по-новому: как изменятся правила работы сайтов-агрегаторов
    Прочтёте за 3 мин.
  • Персоны Спасти и сохранить: как работает мастерская по пошиву этнической одежды 16 августа
    Спасти и сохранить: как работает мастерская по пошиву этнической одежды
    Прочтёте за 5 мин.
  • Маркетинг Пришёл, увидел, приобрёл: как мотивировать посетителей сайта совершать больше покупок 15 августа
    Как мотивировать посетителей сайта совершать больше покупок
    Прочтёте за 6 мин.
  • Идеи для бизнеса Лучший подарок, конечно, горшок: как заработать на необычных презентах 15 августа
    Лучший подарок, конечно, горшок: как заработать на необычных презентах
    Прочтёте за 5 мин.
  • Персоны Бизнес в эмиграции: как предпринимателю стать «своим» в Лондоне 14 августа
    Бизнес в эмиграции: как предпринимателю стать «своим» в Лондоне
    Прочтёте за 4 мин.
  • Идеи для бизнеса Игра в открытую: как заработать на поликарбонате, теплицах и бесплатной доставке 14 августа
    Игра в открытую: как заработать на поликарбонате, теплицах и бесплатной доставке
    Прочтёте за 8 мин.
  • Маркетинг Формула успешной скидки: что нужно учесть ритейлеру, запуская промо-акцию 13 августа
    Формула успешной скидки: что нужно учесть ритейлеру, запуская промо-акцию
    Прочтёте за 4 мин.
  • Идеи для бизнеса «Угрожать – неконструктивно»: как заработать на обучении коллекторов 13 августа
    «Угрожать – неконструктивно»: как заработать на обучении коллекторов
    Прочтёте за 6 мин.
  • Финансы Пять вдохновляющих книг о деньгах и финансах 10 августа
    Пять вдохновляющих книг о деньгах и финансах
    Прочтёте за 3 мин.
  • Менеджмент Бывший госслужащий: как принять его на работу и не попасть на штраф 10 августа
    Бывший госслужащий: как принять его на работу и не попасть на штраф
    Прочтёте за 3 мин.
  • Менеджмент «Мы ждём перемен»: как подготовить и провести реформы в компании 09 августа
    «Мы ждём перемен»: как подготовить и провести реформы в компании
    Прочтёте за 4 мин.
  • Идеи для бизнеса Двухколёсная экзотика: как заработать на велосипедах и беговелах из бамбука 09 августа
    Двухколёсная экзотика: как заработать на велосипедах и беговелах из бамбука
    Прочтёте за 4 мин.
  • Маркетинг Цифры не врут: как оценить результаты рекламной кампании у блогеров 08 августа
    Цифры не врут: как оценить результаты рекламной кампании у блогеров
    Прочтёте за 3 мин.
  • Идеи для бизнеса Всё будет «Тип-топ»: как заработать на детских занятиях в нестандартном формате 08 августа
    Всё будет «Тип-топ»: как заработать на детских занятиях в нестандартном формате
    Прочтёте за 6 мин.
  • Кейсы В одной упряжке: как IT-решение помогло связать работу всех отделов компании 07 августа
    В одной упряжке: как IT-решение помогло связать работу всех отделов компании
    Прочтёте за 4 мин.
  • Идеи для бизнеса Made in Taiga: как заработать на дарах природы из Сибири 07 августа
    Made in Taiga: как заработать на дарах природы из Сибири
    Прочтёте за 7 мин.
Идёт загрузка материалов