Новые технологии, комплексное ПО, легкий доступ ко всевозможным ресурсам – со всем этим сталкивается практически каждый сотрудник в ИТ-сфере. Кажется, что работать стало еще проще. Но так ли это? И какие трудности в наше время возникают в области корпоративной безопасности компании? Об этом и о многом другом мы порассуждаем в этой статье.

Пароли? Нет, не слышал…

Честно говоря, на этом пункте даже останавливаться не хочется, потому что материалов о том, сколько раз взламывали корпоративную инфраструктуру из-за паролей типа «qwerty» или «1234» была написано море.

Но придется. Что самое интересное, если зайти на страничку в «Вконтакте» случайно выбранного сотрудника, то у него будет установлен сложный пароль в 90% случаев. А вот что касательно админки панели управления того же сайта компании, там все печально.

Практически в каждой организации найдется точка доступа с учетными данными «admin/admin».

Как же с этим бороться? Основные моменты:

• Ни в коем случае не позволяйте своим сотрудникам записывать пароли на стикерах, приклеенных к монитору, бумажках и т.д. Любой прохожий сможет за минуту выкачать на флеш-накопитель какую-нибудь ценную информацию, имея под рукой любезно предоставленные логины и пароли.
• Если мы говорим о корпоративной безопасности, то забудьте про легкие пароли а-ля «1234». Иначе, все старания пойдут насмарку. Нужно ввести жесткое правило: пароли — только сложные, а срок их действия — ограничен.
• Корпоративная безопасность компаний часто страдает из-за паролей вендора. Так как они связаны с определенными облачными сервисами, практически каждый сотрудник о них знает. А значит, утечка – это лишь вопрос времени.
• Даже если ваши сотрудники не записывают пароли на бумажках, многие из них умудряются делать это прямо на рабочем столе ПК. Этого быть не должно!

Личные дела сотрудников

Неожиданно, но с этим связано множество проблем в современной корпоративной безопасности компаний. Из-за того, что личные дела сотрудников хранятся как попало, персональные данные с легкостью попадают в сеть. А это критично не только для компании с точки зрения информационной безопасности, но и для внутренней атмосферы в коллективе.

Вряд ли кто-то обрадуется, если узнает, что тот или иной сотрудник получает зарплату на порядок больше равноценного члена команды. Более того, личная информация, такая как история болезней, родственные связи и прочее может использоваться для целого ряда негативных действий в отношении вашего штата.

В небольших компаниях личные дела хранятся в отдельных комнатах с ограниченным доступом, либо в кабинете у бухгалтеров, начальства или отделе кадров.

В более масштабных организациях вовсе создаются специальные условия для хранения таких папок, с использованием магнитных ключей и других средств безопасности.

Складской учет

Корпоративная безопасность затрагивает и этот аспект, так как потеря одной единицы товара стоимостью в несколько миллионов может необратимо пошатнуть экономику предприятия. Угроз много и исходят они не только извне, но и от вашего же персонала.

Поэтому, нужно обеспечить склад не только камерами наблюдения, но и автоматизированной системой складского учета. Желательно, в реальном времени. Также не лишним будет организовать пункт приема-выдачи товара, систему штрих-кодов и т.д. Таким образом, все будут знать, что украсть даже карандаш со склада уже не получится.

Проблемы с инфраструктурой и «кривыми» руками

В каждой организации есть уборщики, которые могут ненароком зацепить провод. В лучшем случае. Казалось бы, проблема незначительная, но подобная рутина появляется практически постоянно. А чтобы этого избежать, нужно правильно организовать инфраструктуру компании. Мы уже не говорим даже о понятии корпоративной безопасности.

К чему нужно быть готовым?

• Пролить чай в серверной, вырвать провода с аппаратуры или самостоятельно настроить оборудование – все это случается. Все становится на порядок хуже, если у вас есть (а он есть!) «всезнающий» сотрудник, который пытается сунуть нос во все процессы настройки. Выход прост – наладить ограниченный доступ.
• Хищение оборудования – вещь вездесущая. Вам придется бороться с этой проблемой путем установки ITSM-системы и жесткого контроля со стороны администратора. Будьте готовы к тому, что какой-нибудь сотрудник захочет не просто украсть, а подменить часть железа.
• Блокируйте доступ в сеть через неизвестные точки доступа. Сети с общим доступом в переделах вашей инфраструктуры – это любимая лазейка хакеров, которые с легкостью подкупят вашего сотрудника и попросят его подключиться к внутренней сети. Да и контроля трафика никто не отменял.
• Не забывайте про разграничение доступа, так как ваши сотрудники могут специально испортить работающий механизм в какой-нибудь системе, если у вас нет подобного контроля. Если все заходят в админку под одними и теми же учетными записями – готовьтесь к неразберихе.
• Забудьте про нелицензионное ПО в офисе! Если вы еще не сталкивались с проверками, вам повезло. Но надолго ли хватит этого везения? А еще невнимательные сотрудники могут установить не просто ПО без лицензии, а полноценную шпионскую программу.
• Банальная, но эффективная система защиты, которая будет актуальной еще долго – это антивирусное ПО.
• Проводите тренинги для персонала, чтобы они адекватно реагировали на системные сообщения об ошибках, а не закрывали их не глядя. А еще проведите беседу насчет установки стороннего ПО из сети. Лучше создайте общую папку, где будут храниться проверенные программы.
• Помните о политике BYOD! Очень аккуратно относитесь к разрешению выносить служебную технику из офиса. Вариантов дальнейшего развития этого сценария с негативной точки зрения для корпоративной безопасности компании огромное множество.
• Введите правило обязательного блокирования устройств, с которыми работает человек. Если он вышел покурить и не удосужился нажать «Windows+L», то это его проблемы. Устройте показательную порку, удалив какой-нибудь важный для него документ или версию сборки, если речь идет о разработчике.
• Однако, ничто не сравнится с безалаберностью со стороны администраторов или руководителей, которые не настраивают системы мониторинга, контроля трафика и прочих вещей. Здесь просто без комментариев.

Помните, что все вышеописанное – это лишь капля в море. Но это базовые элементы, которые должны соблюдаться!

Интернет – друг и враг одновременно

Здесь та же ситуация, что и с паролями. Любой школьник знает, что подозрительные письма открывать не нужно, что отличить фишинговую ссылку на сайте от настоящей не так уж и сложно. Но сотрудники, умудренные опытом, почему-то про это забывают. Основные проблемы:

• Соц. сети засели в культуре общества настолько сильно, что бороться с этим трудно. И чтобы не вводить непопулярные методы с полной блокировкой, лучше разъясняйте, что такое вредоносные ссылки и другие типы мошенничества.
• Электронная почта – это любимая площадка для фишинга. Здесь тоже нужен постоянный контроль с регулярными тренингами и наглядными демонстрациями. Не помешает и настройка собственного сервиса с соответствующими фильтрами.
• Мессенджеры не столько вредят инфраструктуре, сколько нарушают дисциплину в офисе из-за непрекращающегося трепа.

Язык мой — враг мой

Берегитесь сотрудников, которые не могут держать язык за зубами, потому что они являются основным источником полезной информации для злоумышленников.

Социальные сети, комментарии в профилях различных сервисов, пьяные разговоры в баре с незнакомцем и многое другое – все это потенциальный риск, который вы не можете проконтролировать. Тем не менее, помнить об этому нужно, чтобы вовремя избавляться от подобных «находок для шпиона».

В поисках золотой середины

Корпоративная безопасность компании очень зависит от того, как правильно вы будете внедрять различные политики. С одной стороны, нужен жесткий контроль, но с другой, это негативно скажется на рабочей атмосфере.

Крайне эффективными могут оказаться тренинги и общие собрания всего персонала в непринужденной обстановке, где будут подниматься вопросы безопасности. Существенная доля взломов или утечки данных происходит именно из-за непросвещённости штата.

И помните главное – обеспечение безопасности не равносильно паранойе. Соблюдайте баланс!

Руководитель с большим опытом управления ИТ компаниями, позаботится о корпоративной безопасности вашей фирмы. Обращайтесь!