Рубрики:
  • Менеджмент
  • Кейсы
  • Персоны
  • 5

Любимый офис может спать спокойно: три базовых правила информационной безопасности

Прочтёте за 3 мин.
23 апреля 2018

Как защитить компанию от утечек и «сливов» ценных данных

IT-инструменты, которые использует Иван Бируля

  • TimeInformer
  • SIEM
  • Facebook

Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важная техническая документация новейшего гаджета уплывёт в интернет, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, как повысить уровень информационной безопасности компании, в своей авторской колонке рассказал эксперт-профайлер Иван Бируля.

Досье

Иван Бируля, эксперт-профайлер, директор по безопасности компании  «СёрчИнформ». Опыт работы в IT-индустрии - 12 лет. Работал инженером-проектировщиком систем безопасности, руководил отделами безопасности «Паритетбанка» и группы компаний Transeuropean Logistic Service. Разработал авторскую методику профайлинга. Обучался по программе МАШАВ (Израиль). Постоянный спикер конференций в сфере информационной безопасности.

Иван Бируля

Безопасность – в тренде

Вплотную заниматься информационной безопасностью бизнес чаще всего вынуждает одна из трёх причин: нормы закона и отраслевые стандарты, вероятный ущерб от утечки данных и потребность «управлять страхом». Последнее означает, что компания начинает беспокоиться о защите информации, когда сама сталкивается с утечкой или под впечатлением от крупных инцидентов.

2017 год стал «годом утечек данных», которые обнаружили проблемы с безопасностью как у монстров вроде IBM, Yahoo!, Uber, Amazon, Equifax, так и у множества компаний меньшего масштаба. Так что в ближайшие месяцы многие бизнес-структуры начнут с утроенной силой выстраивать защиту корпоративных IT-систем и данных внутри компании.

Давайте рассмотрим три основополагающих правила, без которых «строение» выйдет непрочным.

Правило первое: осведомлённые сотрудники

Больше всего конфиденциальным данным угрожают не хакеры, а сотрудники, которые ежедневно пользуются IT-ресурсами компании. По данным ежегодного исследования «СёрчИнформ», на долю «человеческого фактора» приходится серьёзный процент общих угроз. Почему пользователи становятся угрозой номер один? Есть мнение, что от скуки и безделья, но прежде всего – потому что не знают правил информационной безопасности не следуют им.

Сотрудники одного нашего клиента, которым пришлось работать в выходные, от скуки решили погулять по территории. Менеджер, не задумываясь, опубликовал в социальных сетях селфи на фоне секретного объекта. У нарушителя не было злого умысла, он просто пожаловался, что работает, пока остальные отдыхают. DLP-система детектировала отправленное в интернет фото, и сотрудник удалил снимок по «просьбе» службы безопасности. После инцидента коллективу ещё раз напомнили о важности правил безопасности и закрепили «урок» штрафными санкциями.

  • Пройти тест на знание правил информационной безопасности

Проводить «ликбез» по информационной безопасности и следить за выполнением правил безопасности – главное условие защиты конфиденциальной информации. Причём эти знания помогут сотрудникам и в обычной жизни. Использовать сложные пароли, не хранить в «облаках» важную информацию, не смешивать рабочую и личную почту, распознавать фишинговые письма и другие уловки социальной инженерии – полезные навыки, которые обезопасят от посягательств мошенников и корпоративные данные компании, и частные данные сотрудников.

Правило второе: ограничение доступа

Профессионалы в сфере информационной безопасности убеждены: чем меньше у сотрудника возможностей для спланированного или спонтанного нарушения, тем выше степень защиты информации. Поэтому «урезают» права пользователей максимально, но без ущерба для рабочего процесса.

Если юристу запретить доступ к «песочнице» разработчиков, продуктивность юридического отдела не пострадает. Если разработчика лишить доступа к панели управления сайтом для редактирования новостей компании, разработка продолжится в прежнем режиме.

Следовать правилам разграничения доступа на руку и самим сотрудникам, поскольку снижается риск нарушения по неосторожности.

Служба безопасности нашего клиента обратила внимание, что на компьютере штатного сотрудника хранится конфиденциальная информация, доступа к которой у него быть не должно. Расследование показало, что на этом компьютере регулярно запускали ПО для удалённого доступа, и неподготовленный пользователь этого не замечал. К делу оказался причастен системный администратор. Он организовал на компьютере «жертвы» временное «хранилище» данных ограниченного доступа, которые затем передавал третьим лицам. Так честный сотрудник поневоле стал соучастником «слива» информации.

Правило третье: комплексный подход

Обученные и осведомлённые пользователи плюс регулярная проверка и распределение прав доступа – основополагающие, но отнюдь не исчерпывающие правила информационной безопасности.

Главный бухгалтер компании–оператора грузоперевозок решила загрузить в «облако» большой архив документов в обход внутренних правил работы с информацией. Корыстных мотивов у сотрудницы не было, ей просто было удобно работать с документами из дома. Служба информационной безопасности обратила внимание на действия бухгалтера, так как по структуре предприятие – закрытое акционерное общество, и разглашать определённые сведения недопустимо. Проверка архива с помощью DLP-системы показала, что информация не подлежит раскрытию, и загрузку заблокировали. Окажись данные из архива у конкурентов, финансовый ущерб компании составил бы минимум 30 млн. рублей.

Наиболее надёжную защиту данных от случайных «сливов» и спланированных утечек обеспечивает комплекс организационных и технических мер. Организационный уровень защиты включает, но не ограничивается подбором кадров, утверждением регламента работы с конфиденциальными документами и носителями данных. Включение пункта о неразглашении в трудовой договор, размер зарплаты, тренинги по информационной безопасности также относят к организационным мерам защиты.

Техническую сторону обеспечивают аппаратные и программные средства, например, разнообразные системы контроля сотрудников. По оценке исследовательской компании Gartner, половина компаний использует для контроля DLP-системы, которые фиксируют пересылку документов внутри компании и внешним адресатам, отслеживают посещение нерабочих и подозрительных ресурсов, анализируют переписку в мессенджерах и предупреждают о риске утечки данных.

Российские компании всё чаще создают отделы информационной безопасности: в 2017 году 36% участников исследования «СёрчИнформ» отметили, что защитой данных у них занимаются профильные специалисты. Ещё два года назад этот показатель составлял 22%. И тенденция роста сохранится.

Biz360.ru


Читайте также:

Как защитить корпоративный сайт от кибератак.
Как устроен сервис по защите сделок в интернете.
SSL-сертификат: что это, зачем он нужен и где его взять.



Комментарии

0
Войдите через аккаунт социальной сети:
  • Прокомментируйте первым.

Это ответ на комментарий (отмена - x)
  • Задайте вопрос
    профи

    Наши эксперты ответят на любой вопрос

    Задать вопрос
    Ваш вопрос отправлен

    Ваш вопрос

    Введите Имя
    Введите E-mail
    Отправить Очистить
Возможно, вас заинтересуют другие наши материалы
  • Персоны Из IT-индустрии - в ремесло: как заработать на дизайнерских светильниках 25 мая
    Из IT-индустрии - в ремесло: как заработать на дизайнерских светильниках
    Прочтёте за 9 мин.
  • Маркетинг Почему падает трафик: ошибки в SEO, которые допускают почти все компании 25 мая
    Почему падает трафик: ошибки в SEO, которые допускают почти все компании
    Прочтёте за 3 мин.
  • Идеи для бизнеса Жизнь без пятен: как устроена и на чём зарабатывает онлайн-химчистка 25 мая
    Жизнь без пятен: как устроена и на чём зарабатывает онлайн-химчистка
    Прочтёте за 5 мин.
  • Менеджмент «Жёсткий менеджмент»: как убить в себе жалость к сотрудникам 24 мая
    «Жёсткий менеджмент»: как убить в себе жалость к сотрудникам
    Прочтёте за 6 мин.
  • Идеи для бизнеса Романтика на высоте: как заработать на свиданиях на крыше 23 мая
    Романтика на высоте: как заработать на свиданиях на крыше
    Прочтёте за 5 мин.
  • Маркетинг Мальчики налево, девочки направо: как эффективно продавать в соцсетях женщинам и мужчинам 23 мая
    Мальчики налево, девочки направо: как продавать в соцсетях женщинам и мужчинам
    Прочтёте за 3 мин.
  • Идеи для бизнеса Стильная штучка: как устроена школа стиля и чему в ней обучают 23 мая
    Стильная штучка: как устроена школа стиля и чему в ней обучают
    Прочтёте за 4 мин.
  • Идеи для бизнеса Буэнос диас, амигос: как Мария Бакурова строит в Сибири «маленькую Испанию» 22 мая
    Буэнос диас, амигос: как Мария Бакурова строит в Сибири «маленькую Испанию»
    Прочтёте за 6 мин.
  • Маркетинг Расчехляйте лайкомёты: девять ошибок SMM-стратегии, которые мешают компании развиваться 21 мая
    Расчехляйте лайкомёты: типичные ошибки продвижения в соцсетях
    Прочтёте за 4 мин.
  • Идеи для бизнеса Выглядеть на миллион: как заработать на аренде платьев 21 мая
    Выглядеть на миллион: как заработать на аренде платьев
    Прочтёте за 4 мин.
  • Идеи для бизнеса Барбершоп широкого профиля: как салон красоты превратился в мужской клуб 18 мая
    Барбершоп широкого профиля: как салон красоты превратился в мужской клуб
    Прочтёте за 5 мин.
  • Кейсы Как победить в суде чиновников пенсионного фонда: три судебных кейса 18 мая
    Как победить в суде чиновников пенсионного фонда: три судебных кейса
    Прочтёте за 3 мин.
  • Маркетинг Разрывать шаблоны: зачем предпринимателю бороться со стереотипами 17 мая
    Разрывать шаблоны: зачем предпринимателю бороться со стереотипами
    Прочтёте за 5 мин.
  • Персоны «Не трать время зря, бро!»: история подростка, который делает бизнес 17 мая
    «Не трать время зря, бро!»: история подростка, который делает бизнес
    Прочтёте за 4 мин.
  • Идеи для бизнеса Трусы в стиле ретро: как заработать на дамском вязаном белье 16 мая
    Трусы в стиле ретро: как заработать на дамском вязаном белье
    Прочтёте за 5 мин.
  • Маркетинг Реклама в социальных сетях: что изменилось для бизнеса в этом году 16 мая
    Реклама в социальных сетях: что изменилось для бизнеса в этом году
    Прочтёте за 4 мин.
  • Менеджмент Спокойствие, только спокойствие: четыре важных правила работы с возражениями 15 мая
    Спокойствие, только спокойствие: четыре важных правила работы с возражениями
    Прочтёте за 3 мин.
  • Идеи для бизнеса Искусство для бизнеса: как заработать на арт-подарках и творческих тимбилдингах 15 мая
    Искусство для бизнеса: как заработать на арт-подарках и творческих тимбилдингах
    Прочтёте за 6 мин.
  • Маркетинг Performance-маркетинг: что это такое и чем он может быть полезен бизнесу 14 мая
    Performance-маркетинг: что это такое и чем он может быть полезен бизнесу
    Прочтёте за 4 мин.
  • Идеи для бизнеса Лейся, песня: как построить бизнес на уроках пения очно и по скайпу 14 мая
    Лейся, песня: как построить бизнес на уроках пения очно и по скайпу
    Прочтёте за 5 мин.
Идёт загрузка материалов