Безопасность информации – залог успешного ведения бизнеса. Любая утечка данных или сбой в работе сети предприятия неминуемо приводит к серьезным негативным последствиям. Однако в большинстве компаний средства защиты существуют отдельно от персонала. Сотрудники заняты своим делом, и понятия не имеют об элементарных нормах, позволяющих предупредить рисковые ситуации. При этом комплексы безопасности ориентированы на работу с уже возникшими проблемами, и абсолютно непригодны для превентивной ликвидации угроз.
Чтобы эти миры встретились, и руководитель смог спать спокойно, необходимо выполнить два простых шага. Во-первых, озаботиться наличием программных инструментов, позволяющих отслеживать не только опасности «извне», но и реагирующих на «внутреннюю угрозу». А, во-вторых, заняться просветительской работой. «Человеческий фактор» — причина подавляющего большинства утечек. И дело не в злом умысле работников компании. Многие из них даже не подозревают, что своими действиями ставят под угрозу бизнес.
Обучение персонала позволяет минимизировать риски, а подписанное соглашение закрепляет зоны ответственности пары «работодатель-сотрудник». Главное для руководителя – правильно акцентировать внимание.
Рабочий компьютер – не равно личный компьютер
Большая часть сотрудников не проводят ночи на пролет в тяжких думах о том, что же можно делать на корпоративном ноутбуке, а чего нельзя. Они просто используют его так, как считают нужным, если ранее им не были даны другие вводные. Задача владельца бизнеса — четко описать «что такое хорошо и что такое плохо» и желательно закрепить это на бумаге, под роспись. Причем такие действия должны проводиться отнюдь не разово, при приёме на работу, а стать ежегодной практикой. Это не только повысит уровень информационной безопасности, но и обеспечит юридическую поддержку в случае ЧП.
Основные тезисы, которые необходимо донести каждому работнику компании:
- Корпоративные ПК – собственность бизнеса. Только руководители имеют право передавать доступ к технике, логины и пароли, а также менять конфигурацию «харда» и «софта».
- Понятие «приватность» не распространяется на технику, приобретенную за средства работодателя. Представители компании имеют полное право читать электронную почту, переписку в мессенджерах или вести наблюдение за действиями пользователя даже без его уведомления.
- Недопустимо выполнять на корпоративных ПК незаконные или неэтичные действия.
- Руководство компании имеет право в любой момент сбросить или поменять пароли, установленные работником, без его уведомления.
- Допускается не чрезмерное использование лептопов в личных целях, если действия персонала не угрожают бизнесу. Рамки для подобных активностей всегда определяются работодателем.
В американской практике подобные правила являются подспорьем в судебных делах, а их нарушение – поводом для штрафных санкций и увольнения.
Заплатки
Антивирус опять предлагает установить обновление? Зачем, если и так все прекрасно работает. Лень или банальное непонимание важности обновления ПО регулярно приводят к серьезным информационным инцидентам. Именно поэтому работодатель должен включить в документооборот своеобразный «патч-менеджмент», регламентирующий ответственность персонала за несвоевременную установку «заплаток»:
- Все критические обновления системы безопасности должны быть установлены в течение недели после релиза.
- Нельзя устанавливать обновления или программы с подозрительных сайтов.
- Если установленное ПО или его обновление вызывает сбои в работе – необходимо как можно быстрее уведомить системного администратора или любое другое ответственное лицо.
Эти простые приемы позволят существенно поднять уровень корпоративной безопасности. Однако, это далеко не полный перечень угроз, о которых работодателю необходимо проинформировать подчиненных.
