Обеспечение грамотно функционирующей системы безопасности – это трудная и важная задача, к решению которой многие компании подходят спустя рукава, не отдавая должного всем аспектам защиты.
Установили антивирус? А сотрудник открыл в почте фишинговую ссылку. Поставили файервол? Нелояльный работник отправил бизнес-план конкурентам. Внедрили DLP? Под DDoS атакой «лег» веб-сервис. По причине такого многообразия угроз подход к защите информационных ресурсов должен быть комплексным. Представляем вашему вниманию список превентивных мер, которые помогут избежать утечек конфиденциальной информации и качественно обеспечить безопасность бизнеса.
Организация документооборота
Грамотная организация хранения информации и документооборота является важной и, к сожалению, часто упускаемой из виду частью создания системы безопасности. Многие даже не подозревают, где именно у них хранится чувствительная информация. Задача, стоящая перед компаниями, — четко установить где хранится информация, как она структурирована, и кто имеет к ней доступ. Бессмысленно пытаться защитить абстрактное множество документов — информацию нужно классифицировать и упорядочить. Для этого может пригодиться различное ПО для управления проектами и автоматизации деятельности предприятия. Иногда, для удобства, особенно если в организации есть сотрудники, работающие удаленно, доступ к каким-либо конфиденциальным документам может быть организован через интернет. Количество такой информации следует по возможности минимизировать, а работникам обеспечить защищенное соединение.
Разграничение доступа
В каждой компании существует разделение сотрудников по отделам, уровню ответственности и компетенции. С ростом предприятия увеличивается и диверсификация персонала, усложняется структура организации, появляются новые отделы, иногда даже территориально удаленные офисы и региональные представительства. Очевидно, что для каждой группы пользователей требуется доступ к разным, в том числе и конфиденциальным, данным. Информация о договорах и банковских счетах сотрудников необходима бухгалтерии, но о ней совершенно необязательно должен знать IT-отдел. В свою очередь бухгалтерам не нужен доступ к серверам и средствам разработки. Для обеспечения такого подхода существует разнообразный функционал для управления учетными данными, а в большей части программного обеспечения для корпоративного использования существует возможность создания групповых политик. В большинстве DLP-систем начальникам отделов может быть предоставлен доступ только по данным, пересылаемым их подчиненными; сотрудник отдела безопасности отслеживает только сработку правил реагирования, но не может смотреть активность пользователей на рабочем месте; а информация по отправляемым бухгалтерией финансовым документам может быть доступна только директору. Аналогичным образом организуется вся инфраструктура: в файерволах создаются различные уровни запрета, доступ к документам без проблем настраивается в большинстве систем для управления проектами, а для ограничения возможности физического проникновения существуют системы по контролю и управления доступом.
Создание службы информационной безопасности
Для постоянного усовершенствования уровня защиты компании от угроз информационной безопасности следует организовывать специальные отделы с квалифицированными сотрудниками. В небольших организациях функции службы безопасности зачастую выполняет IT-отдел, но это неправильный подход. В компании должен быть по крайней мере один сотрудник, отвечающий за целостность организованной системы информационной защиты.
Обеспечение защиты веб-приложений
Сложно представить современную компанию, работающую исключительно в офлайн-пространстве, а в интернете представленную только сайтом-визиткой. Есть множество организаций, чья непосредственная деятельность не связана с IT, но вспомогательные онлайн-сервисы существуют. Ради удобства пользователей создаются веб-сервисы с личными кабинетами, приложения для смартфонов. Крупные компании не застрахованы от ошибок в таких приложениях (вспомните скандал с Яндекс.Навигатором), что уж говорить об организациях помельче. Даже простая веб-форма для подписки на новости от компании может оказаться каналом утечки — клиенты будут не слишком рады, если их адреса окажутся в спам-рассылке. Если сайт и приложение хорошо работают сегодня, это не значит, что они так же хорошо будут работать завтра. Для нормального функционирования сервисам нужны постоянные обновления, учет баг-репортов и своевременное реагирование на инциденты. Создание таких сервисов можно отдать на аутсорсинг, но об опасности такого метода в следующем пункте.
Организация работы со сторонними сервисами
Следует минимизировать степень участия третьих лиц или сторонних сервисов в хранении или обработке чувствительной информации. С увеличением числа лиц, имеющих доступ к данным, увеличивается и риск их утечки. Облачные технологии, SaaS-сервисы, подрядчики, аутсорсеры — для всех железно работает поговорка «доверяй, но проверяй». При этом стоит придерживаться золотой середины, а не бросаться в крайности. Например, на каком-то этапе может возникнуть вопрос, стоит ли размещать веб-сайт на собственном сервере или использовать сторонний хостинг. С одной стороны, самостоятельный контроль всегда лучше, но с другой — сможете ли вы так же хорошо обеспечить работу, как специализированная компания? Универсального ответа нет, поэтому к вопросу безопасности при взаимодействии со сторонними продуктами и услугами следует подходить особенно осторожно.
Установка обновлений
Своевременные проверка и установка обновлений крайне необходима. Очень часто уязвимости, исправленные годы назад, становятся причинами взлома. К сожалению, практика такова, что производители оборудования сначала выпускают продукт, а уже потом задумываются о его безопасности. По этой же причине следует с подозрением относиться к очень новым решениям. Вендоры, конечно, проводят проверки безопасности, но учесть все аспекты (тем более не в рабочих, а тестовых условиях) просто невозможно. Например, роутеры очень часто один раз устанавливаются, настраиваются, а после не обновляются годами. То же самое и с обновлениями программного обеспечения: в исследовании «Лаборатории Касперского» по безопасности ПО около процента уязвимостей у пользователей оказались десятилетней (!) давности.
Работа с персоналом
По данным Trend Micro, только четверть утечек происходит по причине хакерской активности или вредоносного ПО. Гораздо большая часть раскрывается, случайно или преднамеренно, сотрудниками. Поэтому персонал нужно ознакомить с существующей политикой компании в области защиты данных, обучить требуемым правилам обеспечения безопасности рабочих процессов, а также контролировать соблюдение персоналом этих правил. Главный стимул для сотрудников их придерживаться — ясно понимаемая ответственность за нарушения. Внедрение режима коммерческой тайны и подписание соглашения о неразглашении будет являться гарантом понимания работниками серьезности их ответственности и в случае умышленного «слива» поможет в судебном разбирательстве взыскать с сотрудника убытки. А DLP-система обеспечит исполнение этого режима с помощью полного контроля рабочих процессов и каналов передачи информации.
Проведение аудитов безопасности
Для оценки существующего положения дел на начальном этапе создания комплексной информационной защиты компании наверняка понадобится профессиональная помощь со стороны. Опытный специалист в сфере информационной безопасности поможет разобраться, кто и с какими данными работает и как правильно организовать с ним взаимодействие впоследствии. Одним из типов аудирования являются также пентесты — тесты на проникновение, которые помогают выявить существующие уязвимости в защите. Другой способ получить оценку собственной защищенности — так называемые баг-баунти. Такие компании, как Facebook, Google, Yahoo и множество других, в том числе российских, уже давно завели привычку платить вознаграждение пользователям за найденные уязвимости. Важно помнить, что для обеспечения защиты бизнеса от угроз недостаточно единожды озаботиться безопасностью — анализ и оценку применяемых мер по защите следует осуществлять перманентно. А оценить состояние системы «незамыленным» глазом всегда довольно сложно, поэтому участие экспертов со стороны может оказаться незаменимым.
Обеспечение информационной безопасности в компании — это не одномоментный процесс. Поддерживать должный уровень защиты данных следует постоянно. Угрозы утечки перманентно растут для всех типов бизнеса, поэтому и превентивные меры по их устранению должны развиваться соответствующе. Вышеперечисленные моменты — это далеко не полный список того, на что следует обратить внимание при организации информационной защиты, но без них точно не удастся обойтись.