infobez

Особенности создания периметра информационной безопасности. Часть первая

Большинство руководителей понимают важность использования современных систем защиты. Однако количество утечек информации растет с каждым годом. Конечно, немаловажную роль играет возрастающая сложность кибератак. Полк хакеров с немыслимой скоростью пополняется новыми адептами, а их инструменты регулярно переживают апгрейд.

Но не только внешние опасности грозят бизнесу. В жизни любой компании всегда есть место для одного маленького, но очень коварного инсайдера. Планомерные действия такого индивидуума неминуемо ведут к утечкам данных.

В круговороте различных рисков легко потерять голову и, при создании периметра информационной безопасности, совершить две ключевые ошибки.

Ошибка первая: система безопасности «оторвана» от рабочих процессов

Принцип «разделяй и властвуй» совершенно не пригоден, когда речь идет о корпоративных системах защиты. Но, к сожалению, именно им руководствуется большинство управленцев. Разделение заключается в следующем: компания, в лице ее работников, живет своей жизнью. А средства безопасности – своей. И эти миры не соприкасаются.

Большая часть средств ориентирована на противодействие внешним угрозам и реагирует на непосредственные нарушения периметра всевозможными вирусами. При этом действия работников выносятся за скобки.

Компания, оставляющая персонал без надзора – рай для инсайдера. Украсть можно все, а главное – никто даже не заметит пропажу. Бизнесу не стоит обольщаться. По данным последнего исследования, проведенного компанией Intel, около 43% инцидентов, связанных с утечкой информации, были результатом деятельности сотрудников, спланировавших кражу.

Конечно, любой босс хочет доверять своим подчиненным. Но ведь «крот» не всегда действует по злому умыслу. Фишинг и социальная инженерия нацелены на абсолютно лояльных, но, при этом, крайне доверчивых сотрудников. Которые, без задней мысли, прочтут опасное письмо и запустят вредонос. Итоги для компании очевидны: падение инфраструктуры, утечка данных, потери времени и денег.

Без постоянного мониторинга действий сотрудников бизнес оказывается безоружным перед широким спектром внутренних и внешних угроз.

Ошибка вторая: выбор из двух зол

Владельцы бизнеса любят кидаться из крайности в крайность, благодаря чему на свет появились два деструктивных подхода к методам защиты информации.

Приверженцы одного из них считают, что средства обороны усложняют рабочие процессы. И, чем больше «безопасности» в компании, тем меньше эффективность ее сотрудников. Чтобы облегчить жизнь персоналу, они предпочитают внедрять минимум инструментов.

В результате бэкапы делаются крайне редко, коды доступа не меняются десятилетиями, а из цифровых средств защиты в наличии только древний антивирус.

Первая утечка данных, которая неминуемо происходит, чаще всего становится последней, поскольку к ней никто не готов ни морально, ни технически.

Сторонники второго подхода действуют иначе. Все, что можно шифровать – шифруется, все, что не надо – защищается. На апгрейд систем тратятся миллионы. И, вроде бы все должно быть хорошо, но есть сотрудники, которые через пару дней работы в такой фирме начинают лезть на стенку от безысходности.

Ведь для выполнения простых рабочих задач необходимо пройти 3 аутентификации и 2 авторизации. При этом каждый пароль минимум 16 символов в двух регистрах. Работник оказывается перед выбором: или категорически не успевать выполнять должностные обязанности, или искать способ обойти ограничения. Желающие демонстрировать высокую эффективность и выполнять KPI обязательно найдут, как обдурить электронных церберов.

Для бизнеса это означает: часть персонала работает далеко не на полную катушку, и компания теряет деньги. А другая половина офисных тружеников уже проделала дыры в периметре безопасности, и о надежности защиты говорить не приходится.

Чтобы избежать проблем, боссу важно помнить: система безопасности должна быть комплексная, а главное — незаметная!

Продолжение следует…

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Поделитесь своими комментариями!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>