В какой бы сфере не был представлен бизнес, ваши собственные подчинённые представляют реальную ИТ-угрозу с вполне серьёзными последствиями для коммерческого предприятия.
Если ваша фирма использует компьютерные системы, сетевые технологии и сохраняет важную информацию в цифровом виде, то обратите внимание на доводы этой публикации.
Бизнес-консультант и по совместительству внештатный эксперт Forbes Ларри Альтон (Larry Alton) осветил наболевшую проблему, которая касается в том числе любой организации в России. Он оценил риски и предложил готовые решения, как исправить слабый контроль за подчинёнными и ввести контроль кадровой безопасности.
Список ИТ-угроз для информационной безопасности бизнеса
«Необразованных сотрудников легко обмануть», — Ларри Альтон.
-
Фишинговая ИТ-угроза
Фишинг — это простейший способ получить коммерческую тайну, выудить пароль от CMS, пользовательские данные (например, базу телефонов клиентов). Злоумышленник заманивает жертву на поддельную веб-страницу (какой-нибудь «cberbank.ru») или представляется от лица директора с похожим email. Убедительными фразами он располагает к доверию и получает ценные сведения, которые ставят под угрозу целостность вашего бизнеса.
-
Социальная инженерия
Всем известные звонки от якобы «безопасника банка» о блокировке карты — это один из примеров социальной инженерии. Сколько людей так просто потеряли деньги, предоставив CVC- и PIN-коды от своей кредитки из-за необразованности. Что им мешает также потерять и коммерческие ценные данные вашего предприятия? Злоумышленник с помощью точных фраз и психологических манипуляций получает доступ к ценным данным организации с помощью звонков или переписки. Что тут говорить, если на проделки пранкеров подкупаются даже президенты.
-
Плохие пароли
Нередко сотрудникам поручают задачу зарегистрироваться в каком-нибудь сервисе в интернете, потому что руководителю некогда (или лень разбираться)? Привычка спешить и перепоручать даже ответственные задачи приводит к тому, что в попыхах пароли выбираются самые простые — сложные могут потеряться и забыться, да и руководителю сложно надиктовывать по телефону все эти буквы, цифры, символы и тире, случись чего. Набор «123456» или пара логин:пароль «имясайта:имясайта» до сих пор «в топе». Даже самая мощная система информационной безопасности для хакера с такими паролями окажется незакрытой дверью сейфа. Ему ничего не остаётся, кроме как проверить — не заперт ли он.
-
Незащищённые устройства
В России не существует статистики, как много предприятий используют политику BYOD (Bring Your Own Device, пусть приносят личный смартфон вместо покупки корпоративного). Но очевидная экономия компании и удобство для сотрудников использовать любимые устройства для работы говорят сами за себя, хоть и ставят под угрозу всю вашу систему. Электронная почта, приложение Bitrix или PDF-документ из последнего финансового отчёта в памяти телефона подчинённого — всего лишь одно вредоносное приложение из Google Play на Андроид или установка «левой» игры на iPhone с Jailbreak «сдадут» ценные конфиденциальные данные фирмы совершенно чужим людям.
-
Пропуск обновлений
Если системный администратор или ответственное за ПО в организации лицо вовремя не установит обновление, то выявленные разработчиками ошибки рано или поздно окажутся инструментом в руках злоумышленника. Корпоративный шпионаж имеет успех там, где сисдамин мнит из себя героя, а по факту ленится и ничего не делает. В таких случаях обратитесь за услугами абонентского обслуживания компьютеров, чтобы эксперты в режиме 24/7 наблюдали за безопасностью и работоспособностью систем — вы не только сэкономите, но и улучшите производительность обородуования и обеспечите фирму защитой от ИТ-угроз.
-
Внутрикорпоративное хищение
Задайте себе вопрос — насколько сложно сотрудникам создать копию конфиденциальных записей вашей компании, документов, отчётов и внутренних секретов? Чтобы добиться успеха, команда должна работать слаженно. А значит иметь доступ ко всем ресурсам организации, в том числе и информационным, ведь так? По словам Ларри, в США подчинённые так поступают редко, чтобы кто-то всерьёз рассматривал подобную ИТ-угрозу. Однако, например, после увольнения третьему лицу могут попасть доступы или превратиться в ад весь цифровой документооборот.
Как правильно ставить задачи сотрудникам и контролировать кадровую безопасность?
Ниже указаны советы бизнес-консультанта Ларри Альтона по проактивному управлению, с помощью которых следует изменить свои собственные привычки и внести в работу некоторые правила для подчинённых. Начните исправлять информационную безопасность вашего бизнеса прямо сейчас.
-
Компартментализация (ограничение доступа) информационной безопасности
• На первом этапе скажите «нет» свободному доступу к внутренним системам организации для всех сотрудников, включая доверенных лиц.
• На втором этапе предоставьте пароли и логины тем работникам, которые в этом по-настоящему нуждаются.
• На третьем этапе определите, в каких ситуациях вам действительно нужно обмениваться ценной корпоративной информацией с подчинёнными и между подчинёнными, чтобы не делать этого без необходимости. -
Ликбез по информационной безопасности
• Проводите семинары с повышением знаний сотрудников в области кибербезопасности.
• Проведите курс по безопасному использованию мобильных устройств и защиты от фишинга.
• Проводите планёрки с обсуждением последних потенциальных ИТ-угроз для предприятия. -
Ставьте командные цели и будьте лидером
• Станьте практиком в области кибербезопасности и поощряйте групповую активность, например, чтобы в определённые числа месяца всей командой менять старые пароли.
• Не просто сообщайте подчинённым, как обеспечить информационную безопасность, а показывайте своим примером.
• Напоминайте сотрудникам, какая ответственность последует за случайные утечки и преднамеренные корпоративные «сливы» третьим лицам.
Ларри Альтон напоминает, что все эти знания хоть и помогут избежать нарушений, связанных с кадровым контролем и ИТ-угрозами, но не обеспечат информационную безопасность бизнеса на 100%. Вам всё равно нужно инвестировать в хорошее программное обеспечение, внедрять шифрование в ответственных переписках, исключить вероятность ошибок и недосмотров по компьютерным системам и сетевым устройствам.
Передайте заботы о программном обеспечении и оборудовании в компанию ИТ-аутсорсинга с экспертной поддержкой и консультацией по любым техническим вопросам и задачам.