Устранение угроз информационной безопасности изнутри бизнеса

Расследование прошлогодней кражи данных в Equifax, одного из самых скандальных киберпреступлений в истории США, приковало внимание всего мира. И вот недавно стало известно, что бывший генеральный директор компании Ричард Смит (Richard Smith) возложил всю ответственность на единственного специалиста ИТ-службы, который не сообщил сотрудникам Equifax о необходимости установить обновление, устраняющее уязвимость в системе Apache Struts.

В любом случае эта ситуация демонстрирует, какой хрупкой может быть информационная безопасность и насколько важно, чтобы все сотрудники организации активно участвовали в программе управления информационными рисками. Очевидно, что в ближайшее время угрозы информационной безопасности никуда не исчезнут. Ожидается, что к 2021 году они обойдутся компаниям в 6 триллионов долларов США. Если смотреть правде в глаза, то это “самое большое перемещение экономического богатства в истории”.

Конечно, подавляющая доля урона, понесенного из-за упущений в кибербезопасности, ляжет на плечи крупных организаций, но это вовсе не значит, что малые и средние компании не должны принимать все возможные меры, чтобы защитить свой бизнес. На самом деле, поскольку ваша работа строится на личных отношениях с персоналом и клиентами, вам есть что терять даже в большей степени, чем кому-либо другому, ведь на кон поставлены ваши средства к существованию, личные связи, репутация и т. д. К счастью, существует ряд мер, доступных для компаний любого размера, которые позволят повысить безопасность на каждом уровне и быть готовым к отражению угроз.

  • Обучайте персонал. Это простая идея, но на примере Equifax мы увидели, что обучение безопасности в сети и внедрение в компании передового опыта может значительно смягчить последствия информационных катастроф. Найдите курс обучения (интерактивный или с необходимостью личного присутствия), в котором освещаются такие темы, как распознавание и обработка поддельной электронной почты, поддержка обновлений системы безопасности, безопасное поведение в интернете и т. д., и попросите каждого члена вашей команды пройти его.
  • Выбирайте правильный почтовый клиент. Удобный доступ к электронной почте практически с любого устройства очень важен для бизнеса, но никогда не стоит ради удобства жертвовать безопасностью. Поэтому найдите службу электронной почты, которая позволяет отличить спам и фишинг от нормальных сообщений и правильно фильтровать их. Будет еще лучше, если фильтры вашей электронной почты позволят отключать гиперссылки и не допустят, чтобы ваши коллеги отвечали на вредоносные сообщения. По возможности найдите программы с такими фильтрами, которые можно установить на уровне как отдельных пользователей, так и групп, при этом вы сможете выбрать оптимальный подход для своей компании.
  • Поддерживайте политику использования устройств. Сделайте физическую безопасность краеугольным камнем политики компании, в которой используйте лучшие методы обеспечения безопасности устройств. Разработайте порядок действий в случае исчезновения устройства, сообщите своим сотрудникам, с кем они должны связываться, и дайте ясный ответ на вопрос, что должно произойти с технической точки зрения при пропаже устройства. В качестве дополнительного уровня защиты потребуйте от всех сотрудников включить на своих устройствах двухфакторную аутентификацию. Таким образом, даже в случае кражи устройства похититель не сможет увидеть в нем никаких данных кроме экрана блокировки.
  • Обновляйте программное обеспечение. Важный урок, который мы можем вынести из взлома Equifax, — каждый сотрудник на всех уровнях сверху донизу должен регулярно обновлять свое программное обеспечение. Если вы используете облачное программное обеспечение, обновления информационной безопасности обычно выполняются автоматически. Если ваша компания еще не перешла на облачные службы, можно автоматизировать обновления и рассылать их сотрудникам. Если этот вариант невозможен или почему-либо вас не устраивает, вы можете возложить на каждого сотрудника ответственность за обновление своего компьютера. Вам просто нужно сделать так, чтобы по мере появления обновлений пользователи получали уведомления о необходимости их установки.

Хотя мы уже говорили об обучении, эта тема никогда не теряет своей актуальности. Сколько бы средств защиты вы ни внедряли, следует обучать персонал их правильному использованию: необходимо регулярно направлять своим сотрудникам обновленные материалы и памятки о важности соблюдения всех мер предосторожности. Действуя таким образом, вы не только поможете им научиться распознавать угрозы информационной безопасности, но и предоставите информацию, позволяющую избежать ненужных рисков.

Сведения об авторе

Задача команды Центра роста — помочь вам начать собственный бизнес, успешно управлять им и развивать его.

Начало работы с Microsoft 365

Вы получаете все тот же привычный Office, но дополненный инструментами для более продуктивного взаимодействия в любой точке мира и в любое время.

Купить
Связанное содержимое
Business Tech

К чему приводит пренебрежение защитой интеллектуальной собственности

Подробнее
Business Tech

Обеспечение конфиденциальности данных клиентов

Подробнее
Business Tech

Защита данных на мобильных устройствах и ПК: важность решений

Подробнее
Business Tech

Безопасность мобильных данных: основные требования

Подробнее

Центр роста не предоставляет профессиональных рекомендаций по налогообложению и финансовым вопросам. Для решения таких вопросов обратитесь к специалисту по налогам или финансисту.