Информационная безопасность — это комплекс мер, которые вы предпринимаете для защиты своих конфиденциальных данных, разработок, идей, технологий и, в конечном счете, денег компании. При этом небольшие компании часто пренебрегают этой серьезной проблемой: учредители или наемные руководители уверены, что «красть у нас нечего». Происходит это потому, что информационная безопасность — понятие крайне широкое. Все его аспекты сложно уложить в одну картину, и при этом они не воспринимаются как части одной проблемы.
Основное заблуждение состоит в том, что обеспечение информационной безопасности — это огромные затраты. Однако заметно повысить качество IT-инфраструктуры можно, соблюдая ряд простых правил. Разбираемся, какие бывают угрозы и что делать, чтобы избежать катастрофических последствий и безумных расходов.
Виды информационной безопасности
Информационная безопасность включает в себя сохранение конфиденциальности данных, создание иерархии доступа к информации, обеспечение бесперебойной работы программного обеспечения, в том числе бэкапирование критичных данных, а также контроль над банковскими счетами и другими финансовыми инструментами.
Любые запрашиваемые сведения могут быть доступны только тем пользователям, которые в них нуждаются по долгу службы. К примеру, только сотрудники отдела закупок могут получить сведения о поставщиках — при этом имена и реквизиты покупателей им знать вовсе не обязательно. Это поможет обезопасить информацию, ведь уволенный сотрудник, имеющий доступ ко всем базам данных, может продать их конкурентам.
Позиция «у нас все свои» трещит по швам после первого же инцидента, и хорошо, если бизнес понесет совместимые с жизнью потери. Главная брешь в информационной безопасности — это человеческий фактор. Важно создать иерархию доступа к данным и не отклоняться от правил. После того, как сотрудник переводится на другую позицию или покидает команду, нужно сменить пароли (пароли, к слову, должны быть сложные), а также стереть электронные ключи. Кроме того, важно проводить тренинги по повышению компьютерной грамотности, потому что человеческий фактор — это не только обида или злой умысел. Часто это невнимательность, отсутствие должного уровня понимания процессов, любопытство, переработки.
Так, одна из основных хакерских атак на бизнес — фишинг — чаще всего является не виртуозным взломом ПО, а игрой на эмоциях недостаточно подкованных сотрудников. Фишинг — это создание почти точной копии определенного сайта с целью получения личных данных пользователя. К мошенникам могут попасть данные карты, пароли от CMS сайтов предприятий или аккаунтов в социальных сетях. Невнимательный пользователь отзывается на эмоциональный призыв срочно написать данные карты или пароли — в ином случае фишинговый сайт грозится что-то удалить или куда-то отправить. Так теряются доступы, деньги, репутация.
Фишинг, по прогнозам специалистов компании IT Support Group, будет уходить в “частный сектор”, то есть хакеры будут охотиться за личными данными людей в социальных сетях. Эту тенденцию уже можно наблюдать «в поле»: фишинговых атак на предприятия становится все меньше, но все слышали про кейс российского футболиста Артема Дзюбы, у которого запросили огромные деньги за украденное с персонального устройства личное видео.
Типы угроз информационной безопасности
Угрозы информационной безопасности бывают внешние и внутренние.
Внутренние — это отсутствие или несоблюдение правил и регламентов, иерархии доступа к данным (например, административных прав у рядовых сотрудников быть не должно), неосторожность сотрудников или безответственное отношение к работе. Сюда же относятся процедуры, которые в теории кажутся элементарными. Например, передача банковской карты на имя руководителя и PIN-кода от нее кому-либо из сотрудников или вопрос с электронным ключом для доступа в рабочее пространство офиса. Сотрудники должны знать, что не имеют права меняться ими, передавать третьи лицам и так далее.
Внешние угрозы — это последствия политических событий, стихийные бедствия, форс-мажоры и хакерские атаки: вирусы-шифровальщики, DDoS-атаки, фишинг и другие. Здесь также поможет разработка иерархии и правил доступа к оборудованию и информации. Например, ограничение пользовательских прав на рабочих станциях, чтобы запретить рядовым сотрудникам устанавливать какой-либо софт.
Важно отметить, что большинство вредоносных программ попросту не активируются на компьютере с ограниченными правами, даже если попали на нее через локальную сеть или из интернета. Кроме того, уберечь бизнес от внешних угроз поможет установка антивирусного ПО, а также регулярное обновление ОС. У всех критичных данных должны быть резервные копии, а храниться они должны в специальной выделенной базе, а не в папках с общим доступом.
Еще один простой совет — усложните пароли на периферийном и сетевом оборудовании. Это очень частая ошибка администраторов. Шлюзы и IP-телефония — техника, подверженная опасности из-за того, что на ней часто не меняют базовые пароли вроде qwerty, 12345.
Подведем итоги:
· Создайте иерархию доступа ко всем данным.
· Настройте правильное резервное копирование критичной информации.
· Установите антивирусное программное оборудование и регулярно его обновляйте.
· Устанавливайте обновления операционной системы.
· Введите регламенты на доступ к информации для разных сотрудников.
· Не передавайте электронные ключи и банковские карты третьим лицам и запретите это сотрудникам.
· Используйте рекомендации опытных пользователей и тех, кто уже сталкивался с похожей проблемой. Если вы не нашли способа защитить свою информацию, обратитесь к специалистам IT Support Group — мы с удовольствием проконсультируем вас.
· Следите за показателями функционирования техники (степень загрузки процессора, занятый объем оперативной памяти и так далее).
· Настройте удаленный контроль действий сотрудников на рабочих станциях.