Большинство руководителей понимают важность использования современных систем защиты. Однако количество утечек информации растет с каждым годом. Конечно, немаловажную роль играет возрастающая сложность кибератак. Полк хакеров с немыслимой скоростью пополняется новыми адептами, а их инструменты регулярно переживают апгрейд.
Но не только внешние опасности грозят бизнесу. В жизни любой компании всегда есть место для одного маленького, но очень коварного инсайдера. Планомерные действия такого индивидуума неминуемо ведут к утечкам данных.
В круговороте различных рисков легко потерять голову и, при создании периметра информационной безопасности, совершить две ключевые ошибки.
Ошибка первая: система безопасности «оторвана» от рабочих процессов
Принцип «разделяй и властвуй» совершенно не пригоден, когда речь идет о корпоративных системах защиты. Но, к сожалению, именно им руководствуется большинство управленцев. Разделение заключается в следующем: компания, в лице ее работников, живет своей жизнью. А средства безопасности – своей. И эти миры не соприкасаются.
Большая часть средств ориентирована на противодействие внешним угрозам и реагирует на непосредственные нарушения периметра всевозможными вирусами. При этом действия работников выносятся за скобки.
Компания, оставляющая персонал без надзора – рай для инсайдера. Украсть можно все, а главное – никто даже не заметит пропажу. Бизнесу не стоит обольщаться. По данным последнего исследования, проведенного компанией Intel, около 43% инцидентов, связанных с утечкой информации, были результатом деятельности сотрудников, спланировавших кражу.
Конечно, любой босс хочет доверять своим подчиненным. Но ведь «крот» не всегда действует по злому умыслу. Фишинг и социальная инженерия нацелены на абсолютно лояльных, но, при этом, крайне доверчивых сотрудников. Которые, без задней мысли, прочтут опасное письмо и запустят вредонос. Итоги для компании очевидны: падение инфраструктуры, утечка данных, потери времени и денег.
Без постоянного мониторинга действий сотрудников бизнес оказывается безоружным перед широким спектром внутренних и внешних угроз.
Ошибка вторая: выбор из двух зол
Владельцы бизнеса любят кидаться из крайности в крайность, благодаря чему на свет появились два деструктивных подхода к методам защиты информации.
Приверженцы одного из них считают, что средства обороны усложняют рабочие процессы. И, чем больше «безопасности» в компании, тем меньше эффективность ее сотрудников. Чтобы облегчить жизнь персоналу, они предпочитают внедрять минимум инструментов.
В результате бэкапы делаются крайне редко, коды доступа не меняются десятилетиями, а из цифровых средств защиты в наличии только древний антивирус.
Первая утечка данных, которая неминуемо происходит, чаще всего становится последней, поскольку к ней никто не готов ни морально, ни технически.
Сторонники второго подхода действуют иначе. Все, что можно шифровать – шифруется, все, что не надо – защищается. На апгрейд систем тратятся миллионы. И, вроде бы все должно быть хорошо, но есть сотрудники, которые через пару дней работы в такой фирме начинают лезть на стенку от безысходности.
Ведь для выполнения простых рабочих задач необходимо пройти 3 аутентификации и 2 авторизации. При этом каждый пароль минимум 16 символов в двух регистрах. Работник оказывается перед выбором: или категорически не успевать выполнять должностные обязанности, или искать способ обойти ограничения. Желающие демонстрировать высокую эффективность и выполнять KPI обязательно найдут, как обдурить электронных церберов.
Для бизнеса это означает: часть персонала работает далеко не на полную катушку, и компания теряет деньги. А другая половина офисных тружеников уже проделала дыры в периметре безопасности, и о надежности защиты говорить не приходится.
Чтобы избежать проблем, боссу важно помнить: система безопасности должна быть комплексная, а главное — незаметная!
