«Бойтесь не хакеров, а собственных сотрудников», — бизнес-консультант Ларри Альтон о внутренних ИТ-угрозах

Бойтесь не хакеров, а собственных сотрудников - бизнес-консультант Ларри Альтон о скрытой ИТ-угрозе в любой организации

В какой бы сфере не был представлен бизнес, ваши собственные подчинённые представляют реальную ИТ-угрозу с вполне серьёзными последствиями для коммерческого предприятия.

Если ваша фирма использует компьютерные системы, сетевые технологии и сохраняет важную информацию в цифровом виде, то обратите внимание на доводы этой публикации.

Бизнес-консультант и по совместительству внештатный эксперт Forbes Ларри Альтон (Larry Alton) осветил наболевшую проблему, которая касается в том числе любой организации в России. Он оценил риски и предложил готовые решения, как исправить слабый контроль за подчинёнными и ввести контроль кадровой безопасности.

Бойтесь не хакеров, а собственных сотрудников - бизнес-консультант Ларри Альтон о скрытой ИТ-угрозе в любой организации

Список ИТ-угроз для информационной безопасности бизнеса

«Необразованных сотрудников легко обмануть», — Ларри Альтон.

  1. Фишинговая ИТ-угроза

    Фишинг — это простейший способ получить коммерческую тайну, выудить пароль от CMS, пользовательские данные (например, базу телефонов клиентов). Злоумышленник заманивает жертву на поддельную веб-страницу (какой-нибудь «cberbank.ru») или представляется от лица директора с похожим email. Убедительными фразами он располагает к доверию и получает ценные сведения, которые ставят под угрозу целостность вашего бизнеса.

  2. Социальная инженерия

    Всем известные звонки от якобы «безопасника банка» о блокировке карты — это один из примеров социальной инженерии. Сколько людей так просто потеряли деньги, предоставив CVC- и PIN-коды от своей кредитки из-за необразованности. Что им мешает также потерять и коммерческие ценные данные вашего предприятия? Злоумышленник с помощью точных фраз и психологических манипуляций получает доступ к ценным данным организации с помощью звонков или переписки. Что тут говорить, если на проделки пранкеров подкупаются даже президенты.

  3. Плохие пароли

    Нередко сотрудникам поручают задачу зарегистрироваться в каком-нибудь сервисе в интернете, потому что руководителю некогда (или лень разбираться)? Привычка спешить и перепоручать даже ответственные задачи приводит к тому, что в попыхах пароли выбираются самые простые — сложные могут потеряться и забыться, да и руководителю сложно надиктовывать по телефону все эти буквы, цифры, символы и тире, случись чего. Набор «123456» или пара логин:пароль «имясайта:имясайта» до сих пор «в топе». Даже самая мощная система информационной безопасности для хакера с такими паролями окажется незакрытой дверью сейфа. Ему ничего не остаётся, кроме как проверить — не заперт ли он.

  4. Незащищённые устройства

    В России не существует статистики, как много предприятий используют политику BYOD (Bring Your Own Device, пусть приносят личный смартфон вместо покупки корпоративного). Но очевидная экономия компании и удобство для сотрудников использовать любимые устройства для работы говорят сами за себя, хоть и ставят под угрозу всю вашу систему. Электронная почта, приложение Bitrix или PDF-документ из последнего финансового отчёта в памяти телефона подчинённого — всего лишь одно вредоносное приложение из Google Play на Андроид или установка «левой» игры на iPhone с Jailbreak «сдадут» ценные конфиденциальные данные фирмы совершенно чужим людям.

  5. Пропуск обновлений

    Если системный администратор или ответственное за ПО в организации лицо вовремя не установит обновление, то выявленные разработчиками ошибки рано или поздно окажутся инструментом в руках злоумышленника. Корпоративный шпионаж имеет успех там, где сисдамин мнит из себя героя, а по факту ленится и ничего не делает. В таких случаях обратитесь за услугами абонентского обслуживания компьютеров, чтобы эксперты в режиме 24/7 наблюдали за безопасностью и работоспособностью систем — вы не только сэкономите, но и улучшите производительность обородуования и обеспечите фирму защитой от ИТ-угроз.

  6. Внутрикорпоративное хищение

    Задайте себе вопрос — насколько сложно сотрудникам создать копию конфиденциальных записей вашей компании, документов, отчётов и внутренних секретов? Чтобы добиться успеха, команда должна работать слаженно. А значит иметь доступ ко всем ресурсам организации, в том числе и информационным, ведь так? По словам Ларри, в США подчинённые так поступают редко, чтобы кто-то всерьёз рассматривал подобную ИТ-угрозу. Однако, например, после увольнения третьему лицу могут попасть доступы или превратиться в ад весь цифровой документооборот.

Бойтесь не хакеров, а собственных сотрудников - бизнес-консультант Ларри Альтон о скрытой ИТ-угрозе в любой организации

Как правильно ставить задачи сотрудникам и контролировать кадровую безопасность?

Ниже указаны советы бизнес-консультанта Ларри Альтона по проактивному управлению, с помощью которых следует изменить свои собственные привычки и внести в работу некоторые правила для подчинённых. Начните исправлять информационную безопасность вашего бизнеса прямо сейчас.

  1. Компартментализация (ограничение доступа) информационной безопасности

    • На первом этапе скажите «нет» свободному доступу к внутренним системам организации для всех сотрудников, включая доверенных лиц.
    • На втором этапе предоставьте пароли и логины тем работникам, которые в этом по-настоящему нуждаются.
    • На третьем этапе определите, в каких ситуациях вам действительно нужно обмениваться ценной корпоративной информацией с подчинёнными и между подчинёнными, чтобы не делать этого без необходимости.

  2. Ликбез по информационной безопасности

    • Проводите семинары с повышением знаний сотрудников в области кибербезопасности.
    • Проведите курс по безопасному использованию мобильных устройств и защиты от фишинга.
    • Проводите планёрки с обсуждением последних потенциальных ИТ-угроз для предприятия.

  3. Ставьте командные цели и будьте лидером

    • Станьте практиком в области кибербезопасности и поощряйте групповую активность, например, чтобы в определённые числа месяца всей командой менять старые пароли.
    • Не просто сообщайте подчинённым, как обеспечить информационную безопасность, а показывайте своим примером.
    • Напоминайте сотрудникам, какая ответственность последует за случайные утечки и преднамеренные корпоративные «сливы» третьим лицам.

Ларри Альтон напоминает, что все эти знания хоть и помогут избежать нарушений, связанных с кадровым контролем и ИТ-угрозами, но не обеспечат информационную безопасность бизнеса на 100%. Вам всё равно нужно инвестировать в хорошее программное обеспечение, внедрять шифрование в ответственных переписках, исключить вероятность ошибок и недосмотров по компьютерным системам и сетевым устройствам.

Логотип компании «ZEL-Услуги» Компания ZEL-Услуги

Передайте заботы о программном обеспечении и оборудовании в компанию ИТ-аутсорсинга с экспертной поддержкой и консультацией по любым техническим вопросам и задачам.

 

Читайте также

Может быть интересно