Новые технологии, комплексное ПО, легкий доступ ко всевозможным ресурсам – со всем этим сталкивается практически каждый сотрудник в ИТ-сфере. Кажется, что работать стало еще проще. Но так ли это? И какие трудности в наше время возникают в области корпоративной безопасности компании? Об этом и о многом другом мы порассуждаем в этой статье.
Пароли? Нет, не слышал…
Честно говоря, на этом пункте даже останавливаться не хочется, потому что материалов о том, сколько раз взламывали корпоративную инфраструктуру из-за паролей типа «qwerty» или «1234» была написано море.
Но придется. Что самое интересное, если зайти на страничку в «Вконтакте» случайно выбранного сотрудника, то у него будет установлен сложный пароль в 90% случаев. А вот что касательно админки панели управления того же сайта компании, там все печально.
Практически в каждой организации найдется точка доступа с учетными данными «admin/admin».
Как же с этим бороться? Основные моменты:
- Ни в коем случае не позволяйте своим сотрудникам записывать пароли на стикерах, приклеенных к монитору, бумажках и т.д. Любой прохожий сможет за минуту выкачать на флеш-накопитель какую-нибудь ценную информацию, имея под рукой любезно предоставленные логины и пароли.
- Если мы говорим о корпоративной безопасности, то забудьте про легкие пароли а-ля «1234». Иначе, все старания пойдут насмарку. Нужно ввести жесткое правило: пароли — только сложные, а срок их действия — ограничен.
- Корпоративная безопасность компаний часто страдает из-за паролей вендора. Так как они связаны с определенными облачными сервисами, практически каждый сотрудник о них знает. А значит, утечка – это лишь вопрос времени.
- Даже если ваши сотрудники не записывают пароли на бумажках, многие из них умудряются делать это прямо на рабочем столе ПК. Этого быть не должно!
Личные дела сотрудников
Неожиданно, но с этим связано множество проблем в современной корпоративной безопасности компаний. Из-за того, что личные дела сотрудников хранятся как попало, персональные данные с легкостью попадают в сеть. А это критично не только для компании с точки зрения информационной безопасности, но и для внутренней атмосферы в коллективе.
Вряд ли кто-то обрадуется, если узнает, что тот или иной сотрудник получает зарплату на порядок больше равноценного члена команды. Более того, личная информация, такая как история болезней, родственные связи и прочее может использоваться для целого ряда негативных действий в отношении вашего штата.
В небольших компаниях личные дела хранятся в отдельных комнатах с ограниченным доступом, либо в кабинете у бухгалтеров, начальства или отделе кадров.
В более масштабных организациях вовсе создаются специальные условия для хранения таких папок, с использованием магнитных ключей и других средств безопасности.
Складской учет
Корпоративная безопасность затрагивает и этот аспект, так как потеря одной единицы товара стоимостью в несколько миллионов может необратимо пошатнуть экономику предприятия. Угроз много и исходят они не только извне, но и от вашего же персонала.
Поэтому, нужно обеспечить склад не только камерами наблюдения, но и автоматизированной системой складского учета. Желательно, в реальном времени. Также не лишним будет организовать пункт приема-выдачи товара, систему штрих-кодов и т.д. Таким образом, все будут знать, что украсть даже карандаш со склада уже не получится.
Проблемы с инфраструктурой и «кривыми» руками
В каждой организации есть уборщики, которые могут ненароком зацепить провод. В лучшем случае. Казалось бы, проблема незначительная, но подобная рутина появляется практически постоянно. А чтобы этого избежать, нужно правильно организовать инфраструктуру компании. Мы уже не говорим даже о понятии корпоративной безопасности.
К чему нужно быть готовым?
- Пролить чай в серверной, вырвать провода с аппаратуры или самостоятельно настроить оборудование – все это случается. Все становится на порядок хуже, если у вас есть (а он есть!) «всезнающий» сотрудник, который пытается сунуть нос во все процессы настройки. Выход прост – наладить ограниченный доступ.
- Хищение оборудования – вещь вездесущая. Вам придется бороться с этой проблемой путем установки ITSM-системы и жесткого контроля со стороны администратора. Будьте готовы к тому, что какой-нибудь сотрудник захочет не просто украсть, а подменить часть железа.
- Блокируйте доступ в сеть через неизвестные точки доступа. Сети с общим доступом в переделах вашей инфраструктуры – это любимая лазейка хакеров, которые с легкостью подкупят вашего сотрудника и попросят его подключиться к внутренней сети. Да и контроля трафика никто не отменял.
- Не забывайте про разграничение доступа, так как ваши сотрудники могут специально испортить работающий механизм в какой-нибудь системе, если у вас нет подобного контроля. Если все заходят в админку под одними и теми же учетными записями – готовьтесь к неразберихе.
- Забудьте про нелицензионное ПО в офисе! Если вы еще не сталкивались с проверками, вам повезло. Но надолго ли хватит этого везения? А еще невнимательные сотрудники могут установить не просто ПО без лицензии, а полноценную шпионскую программу.
- Банальная, но эффективная система защиты, которая будет актуальной еще долго – это антивирусное ПО.
- Проводите тренинги для персонала, чтобы они адекватно реагировали на системные сообщения об ошибках, а не закрывали их не глядя. А еще проведите беседу насчет установки стороннего ПО из сети. Лучше создайте общую папку, где будут храниться проверенные программы.
- Помните о политике BYOD! Очень аккуратно относитесь к разрешению выносить служебную технику из офиса. Вариантов дальнейшего развития этого сценария с негативной точки зрения для корпоративной безопасности компании огромное множество.
- Введите правило обязательного блокирования устройств, с которыми работает человек. Если он вышел покурить и не удосужился нажать «Windows+L», то это его проблемы. Устройте показательную порку, удалив какой-нибудь важный для него документ или версию сборки, если речь идет о разработчике.
- Однако, ничто не сравнится с безалаберностью со стороны администраторов или руководителей, которые не настраивают системы мониторинга, контроля трафика и прочих вещей. Здесь просто без комментариев.
Помните, что все вышеописанное – это лишь капля в море. Но это базовые элементы, которые должны соблюдаться!
Интернет – друг и враг одновременно
Здесь та же ситуация, что и с паролями. Любой школьник знает, что подозрительные письма открывать не нужно, что отличить фишинговую ссылку на сайте от настоящей не так уж и сложно. Но сотрудники, умудренные опытом, почему-то про это забывают. Основные проблемы:
- Соц. сети засели в культуре общества настолько сильно, что бороться с этим трудно. И чтобы не вводить непопулярные методы с полной блокировкой, лучше разъясняйте, что такое вредоносные ссылки и другие типы мошенничества.
- Электронная почта – это любимая площадка для фишинга. Здесь тоже нужен постоянный контроль с регулярными тренингами и наглядными демонстрациями. Не помешает и настройка собственного сервиса с соответствующими фильтрами.
- Мессенджеры не столько вредят инфраструктуре, сколько нарушают дисциплину в офисе из-за непрекращающегося трепа.
Язык мой — враг мой
Берегитесь сотрудников, которые не могут держать язык за зубами, потому что они являются основным источником полезной информации для злоумышленников.
Социальные сети, комментарии в профилях различных сервисов, пьяные разговоры в баре с незнакомцем и многое другое – все это потенциальный риск, который вы не можете проконтролировать. Тем не менее, помнить об этому нужно, чтобы вовремя избавляться от подобных «находок для шпиона».
В поисках золотой середины
Корпоративная безопасность компании очень зависит от того, как правильно вы будете внедрять различные политики. С одной стороны, нужен жесткий контроль, но с другой, это негативно скажется на рабочей атмосфере.
Крайне эффективными могут оказаться тренинги и общие собрания всего персонала в непринужденной обстановке, где будут подниматься вопросы безопасности. Существенная доля взломов или утечки данных происходит именно из-за непросвещённости штата.
И помните главное – обеспечение безопасности не равносильно паранойе. Соблюдайте баланс!
Руководитель с большим опытом управления ИТ компаниями, позаботится о корпоративной безопасности вашей фирмы. Обращайтесь!
About The Author
Виктор