Блог CEO, CIO Виктора Карабедянц Блог CEO, CIO Виктора Карабедянц
  • Обо мне
  • Навыки
  • Образование
  • Опыт
  • Проекты
  • Блог
  • CIO аутсорсинг
  • Контакты

Корпоративная безопасность

03 мая 201903 мая 2019 / By Виктор
  • Home
  • Корпоративная безопасность

Новые технологии, комплексное ПО, легкий доступ ко всевозможным ресурсам – со всем этим сталкивается практически каждый сотрудник в ИТ-сфере. Кажется, что работать стало еще проще. Но так ли это? И какие трудности в наше время возникают в области корпоративной безопасности компании? Об этом и о многом другом мы порассуждаем в этой статье.

Пароли? Нет, не слышал…

Честно говоря, на этом пункте даже останавливаться не хочется, потому что материалов о том, сколько раз взламывали корпоративную инфраструктуру из-за паролей типа «qwerty» или «1234» была написано море.

Но придется. Что самое интересное, если зайти на страничку в «Вконтакте» случайно выбранного сотрудника, то у него будет установлен сложный пароль в 90% случаев. А вот что касательно админки панели управления того же сайта компании, там все печально.

Практически в каждой организации найдется точка доступа с учетными данными «admin/admin».

Как же с этим бороться? Основные моменты:

  • Ни в коем случае не позволяйте своим сотрудникам записывать пароли на стикерах, приклеенных к монитору, бумажках и т.д. Любой прохожий сможет за минуту выкачать на флеш-накопитель какую-нибудь ценную информацию, имея под рукой любезно предоставленные логины и пароли.
  • Если мы говорим о корпоративной безопасности, то забудьте про легкие пароли а-ля «1234». Иначе, все старания пойдут насмарку. Нужно ввести жесткое правило: пароли — только сложные, а срок их действия — ограничен.
  • Корпоративная безопасность компаний часто страдает из-за паролей вендора. Так как они связаны с определенными облачными сервисами, практически каждый сотрудник о них знает. А значит, утечка – это лишь вопрос времени.
  • Даже если ваши сотрудники не записывают пароли на бумажках, многие из них умудряются делать это прямо на рабочем столе ПК. Этого быть не должно!

Личные дела сотрудников

Неожиданно, но с этим связано множество проблем в современной корпоративной безопасности компаний. Из-за того, что личные дела сотрудников хранятся как попало, персональные данные с легкостью попадают в сеть. А это критично не только для компании с точки зрения информационной безопасности, но и для внутренней атмосферы в коллективе.

Вряд ли кто-то обрадуется, если узнает, что тот или иной сотрудник получает зарплату на порядок больше равноценного члена команды. Более того, личная информация, такая как история болезней, родственные связи и прочее может использоваться для целого ряда негативных действий в отношении вашего штата.

В небольших компаниях личные дела хранятся в отдельных комнатах с ограниченным доступом, либо в кабинете у бухгалтеров, начальства или отделе кадров.

В более масштабных организациях вовсе создаются специальные условия для хранения таких папок, с использованием магнитных ключей и других средств безопасности.

Складской учет

Корпоративная безопасность затрагивает и этот аспект, так как потеря одной единицы товара стоимостью в несколько миллионов может необратимо пошатнуть экономику предприятия. Угроз много и исходят они не только извне, но и от вашего же персонала.

Поэтому, нужно обеспечить склад не только камерами наблюдения, но и автоматизированной системой складского учета. Желательно, в реальном времени. Также не лишним будет организовать пункт приема-выдачи товара, систему штрих-кодов и т.д. Таким образом, все будут знать, что украсть даже карандаш со склада уже не получится.

Проблемы с инфраструктурой и «кривыми» руками

В каждой организации есть уборщики, которые могут ненароком зацепить провод. В лучшем случае. Казалось бы, проблема незначительная, но подобная рутина появляется практически постоянно. А чтобы этого избежать, нужно правильно организовать инфраструктуру компании. Мы уже не говорим даже о понятии корпоративной безопасности.

К чему нужно быть готовым?

  • Пролить чай в серверной, вырвать провода с аппаратуры или самостоятельно настроить оборудование – все это случается. Все становится на порядок хуже, если у вас есть (а он есть!) «всезнающий» сотрудник, который пытается сунуть нос во все процессы настройки. Выход прост – наладить ограниченный доступ.
  • Хищение оборудования – вещь вездесущая. Вам придется бороться с этой проблемой путем установки ITSM-системы и жесткого контроля со стороны администратора. Будьте готовы к тому, что какой-нибудь сотрудник захочет не просто украсть, а подменить часть железа.
  • Блокируйте доступ в сеть через неизвестные точки доступа. Сети с общим доступом в переделах вашей инфраструктуры – это любимая лазейка хакеров, которые с легкостью подкупят вашего сотрудника и попросят его подключиться к внутренней сети. Да и контроля трафика никто не отменял.
  • Не забывайте про разграничение доступа, так как ваши сотрудники могут специально испортить работающий механизм в какой-нибудь системе, если у вас нет подобного контроля. Если все заходят в админку под одними и теми же учетными записями – готовьтесь к неразберихе.
  • Забудьте про нелицензионное ПО в офисе! Если вы еще не сталкивались с проверками, вам повезло. Но надолго ли хватит этого везения? А еще невнимательные сотрудники могут установить не просто ПО без лицензии, а полноценную шпионскую программу.
  • Банальная, но эффективная система защиты, которая будет актуальной еще долго – это антивирусное ПО.
  • Проводите тренинги для персонала, чтобы они адекватно реагировали на системные сообщения об ошибках, а не закрывали их не глядя. А еще проведите беседу насчет установки стороннего ПО из сети. Лучше создайте общую папку, где будут храниться проверенные программы.
  • Помните о политике BYOD! Очень аккуратно относитесь к разрешению выносить служебную технику из офиса. Вариантов дальнейшего развития этого сценария с негативной точки зрения для корпоративной безопасности компании огромное множество.
  • Введите правило обязательного блокирования устройств, с которыми работает человек. Если он вышел покурить и не удосужился нажать «Windows+L», то это его проблемы. Устройте показательную порку, удалив какой-нибудь важный для него документ или версию сборки, если речь идет о разработчике.
  • Однако, ничто не сравнится с безалаберностью со стороны администраторов или руководителей, которые не настраивают системы мониторинга, контроля трафика и прочих вещей. Здесь просто без комментариев.

Помните, что все вышеописанное – это лишь капля в море. Но это базовые элементы, которые должны соблюдаться!

Интернет – друг и враг одновременно

Здесь та же ситуация, что и с паролями. Любой школьник знает, что подозрительные письма открывать не нужно, что отличить фишинговую ссылку на сайте от настоящей не так уж и сложно. Но сотрудники, умудренные опытом, почему-то про это забывают. Основные проблемы:

  • Соц. сети засели в культуре общества настолько сильно, что бороться с этим трудно. И чтобы не вводить непопулярные методы с полной блокировкой, лучше разъясняйте, что такое вредоносные ссылки и другие типы мошенничества.
  • Электронная почта – это любимая площадка для фишинга. Здесь тоже нужен постоянный контроль с регулярными тренингами и наглядными демонстрациями. Не помешает и настройка собственного сервиса с соответствующими фильтрами.
  • Мессенджеры не столько вредят инфраструктуре, сколько нарушают дисциплину в офисе из-за непрекращающегося трепа.

Язык мой — враг мой

Берегитесь сотрудников, которые не могут держать язык за зубами, потому что они являются основным источником полезной информации для злоумышленников.

Социальные сети, комментарии в профилях различных сервисов, пьяные разговоры в баре с незнакомцем и многое другое – все это потенциальный риск, который вы не можете проконтролировать. Тем не менее, помнить об этому нужно, чтобы вовремя избавляться от подобных «находок для шпиона».

В поисках золотой середины

Корпоративная безопасность компании очень зависит от того, как правильно вы будете внедрять различные политики. С одной стороны, нужен жесткий контроль, но с другой, это негативно скажется на рабочей атмосфере.

Крайне эффективными могут оказаться тренинги и общие собрания всего персонала в непринужденной обстановке, где будут подниматься вопросы безопасности. Существенная доля взломов или утечки данных происходит именно из-за непросвещённости штата.

И помните главное – обеспечение безопасности не равносильно паранойе. Соблюдайте баланс!

Руководитель с большим опытом управления ИТ компаниями, позаботится о корпоративной безопасности вашей фирмы. Обращайтесь!

About The Author

Виктор

Leave a Comment

Cancel Reply

*Please complete all fields correctly

В блоге представлены не только мои материалы, я делаю композицию из разных материалов, а так же размещаю переводы интересных тем.

Категории
  • DevOps
  • Без рубрики
  • ИТ поддержка
  • Руководитель ИТ
Популярные статьи
  • 10 причин, по которым компании привлекают своих ИТ-директоров на аутсорсингВторник - 29 июня, 2021
  • Какие нужны знания, чтобы работать DevOps-инженером: основные навыкиЧетверг - 17 июня, 2021
  • Тренд на SASE: что это и зачем нужноСреда - 12 мая, 2021
  • Ключевые вызовы для ИТ-директоров при разработке корпоративного ПО в 2021…Среда - 21 апреля, 2021
  • 5 важных тезисов для CIO по работе с ИИСреда - 14 апреля, 2021
Tags
CIO DevOps service desk Безопасность ИТ директор ИТ менеджер Удаленный ИТ директор контейнеры
Комментарии
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 08:17 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 06:50 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 05:44 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 04:58 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 01:18 пп
© 2017 - 2019 Виктор Карабедянц
Posting....