В этой статье мы постарались рассмотреть наиболее часто встречающиеся угрозы безопасности в сфере IT, с которыми сталкиваются собственники, директора и руководители IT-подразделений компаний на начальном этапе внедрения и настройки системы защиты информации. На какие риски и угрозы следует обратить внимание в первую очередь?
Итак, вот наш топ угроз информационной безопасности компании любого размера:
- Редкое обновление антивирусных баз. Нужно следить за тем, чтобы антивирус и его сигнатуры всегда находились в актуальном состоянии. А лучше настроить обновление таким образом, чтобы оно происходило централизованно и без участия пользователей, что позволит исключить человеческий фактор.
- Отсутствие блокировки компьютера на время отсутствия пользователя. Нужно объяснить сотрудникам о важности блокировки компьютера в случае необходимости покинуть рабочее место. К сожалению, многие об этом забывают, что тоже несет определенные риски утечки данных. Ведь если сотрудник отсутствует на рабочем месте, то и отсутствует контроль за компьютером. В этом случае доступ к информации может получить кто угодно, даже случайный прохожий.
- Несанкционированное отключение элементов защиты пользователями. Система безопасности данных подвергается угрозам из-за того, что сотрудники самостоятельно отключают средства защиты. Делается это для упрощения работы, чтобы можно было проще войти в систему и выполнять должностные обязанности без введения паролей и не ждать проверок. Для минимизации данной угрозы обычные пользователи должны быть лишены привилегированных прав управления средствами защиты информации. Они должны управляться только системными администраторами или администратором безопасности (CISO).
- Использование сомнительного программного обеспечения. Многие компании, пытаясь сэкономить, не хотят покупать лицензии на использование профессионального ПО, поэтому стараются найти бесплатные аналоги этих программ. К сожалению, такая экономия может привести к плачевному результату, ведь в пиратские копии нередко встраивают зловредный код (вирусы) и недекларированные возможности, позволяющие злоумышленникам незаметно красть информацию. Программное обеспечение в первую очередь должно быть лицензионным, кроме того оно должно постоянно обновляться, т.к. серьезные разработчики следят за безопасностью своих программных продуктов и достаточно быстро закрывают ошибки, которые могут повлиять на безопасность данных.
- Отсутствие разграничения доступа. Необходимо обеспечить доступ к определенным разделам системы только тем сотрудникам, которые работают непосредственно с этим разделами и соответствующим функционалом. Нельзя допускать, чтобы каждый рядовой работник имел абсолютный и неограниченный доступ ко всей конфиденциальной информации. Ведь один из них может оказаться недобросовестным, украсть её и передать конкурентам.
- Разглашение конфиденциальной информации. Многие ответственные лица компании зачастую забывают, что нельзя делиться конфиденциальной информацией с друзьями и родственниками, не говоря уже о посторонних лицах и конкурентах. Для решения данной проблемы с сотрудников, имеющих доступ к обработке конфиденциальной информации, должны быть взяты обязательства о неразглашении, описывающие возможный ущерб компании и личную ответственность за его неисполнение.
- Использование сотрудниками личной почты, социальных сетей и мессенджеров. Если есть возможность обеспечить своих сотрудников всеми необходимыми инструментами для обеспечения бизнес-процессов внутри компании, следует запретить сотрудникам использовать рабочие компьютеры для входа в личную электронную почту или социальные сети. Таким образом общение и обмен информацией в локальной сети и Интернете не будет бесконтрольным. Лучше всего воспрепятствовать этому технически — в этом вам помогут грамотные IT-специалисты и специальное программное обеспечение (DLP-системы).
- Потеря носителей конфиденциальной информации. Потеря флэш-карт, дисков и даже целых ноутбуков — еще одна причина утечки конфиденциальных данных. Кроме того кража таких носителей чаще всего становятся целью злоумышленников и конкурентов. Пользователи должны быть проинструктированы о правилах обращения с носителями конфиденциальной информации. Запрет на использование внешних носителей, неучтенных ответственными лицами, в организации должен быть под запретом. Ограничение подключения внешних носителей и скачивание на них конфиденциальной информации может быть организован при помощи всё тех же DLP-систем.
