COVID-19 вызвал ряд необратимых изменений в бизнесе. Очевидно, что процент «удаленщиков» а также персонала, перешедшего на гибридный формат труда и чередующего «дом-офис», уже не вернется на докарантинный уровень.
По мнению экспертов по информационной безопасности, пандемия стала толчком, ускорившим диджитализацию всех сфер жизнедеятельности бизнеса. Переход на «удаленку» потребовал кардинальных изменений внутренних организационных процессов, и, как следствие, отразился на сфере защиты данных. Новое программное обеспечение, позволившее организовать территориально распределенные команды, спасло бизнес от краха. Но у медали две стороны: эти же программы увеличили площадь потенциально опасных дыр в периметре информационной безопасности.
Глубинные изменения процессов организации труда сформировали ряд долгосрочных трендов, с которыми придется сосуществовать бизнесу, независимо от его желаний и предпочтений.
Внедрение политики нулевого доверия
Внедрение удаленных и гибридных форматов работы неизбежно ведет к массовой имплементации политики нулевого доверия.
Если раньше подавляющее большинство сотрудников было «под боком» у босса, а все данные хранились внутри локальной сети, то теперь персонал и конфиденциальная информация разбросаны по обширной территории. Подключение к файловым хранилищам из неуправляемых сетей и устройств – уже ЧП, ведь без сторонних систем идентифицировать пользователя и отследить манипуляции с информацией — невозможно. В таких условиях риски непреднамеренной утечки и инсайдерства возрастают в разы.
Для обеспечения безопасного доступа к корпоративным данным организациям придется применять модели с нулевым доверием, когда каждый запрос — изнутри и вне сети — аутентифицируется и проверяется. А каждый бит отправленной и полученной информации – находятся под тщательным наблюдением.
Аудит информационных активов
Стопроцентная защита – миф: такой уровень безопасности недостижим в современных реалиях. Во-первых, попытки построить «великую киберстену» потребуют невероятных финансовых вложений. А, во-вторых, «уязвимости нулевого дня», случайно обнаруженные хакерами, или наивный сотрудник, попавшийся на фишинговое письмо, легко сведут все усилия к нулю.
Принцип аудита и приоритезации информации поможет компании с минимальными усилиями защитить наиболее уязвимые участки периметра информационной безопасности.
Для начала необходимо проанализировать все информационные активы и определить, утечка каких данных нанесет непоправимый урон. Именно эту информацию нужно отслеживать и защищать в первую очередь. Регулярный мониторинг ценных документов поможет отследить их перемещение, а также круг сотрудников, имеющих к ним доступ. Такой подход поможет своевременно обнаружить слабые места в периметре информационной безопасности, а в случае ЧП – провести расследование и установить ответственного за инцидент.
Крайне важно проводить аудит информации на регулярной основе. Ведь ценные данные – не статичная субстанция: одни документы устаревают, другие наоборот – приобретают ценность.
Мониторинг и контроль
Самая главная проблема, вызванная внедрением новых форматов труда – появление обширных «слепых зон». Часть персонала выпала из поля зрения руководства, сменив офисное кресло на уютную домашнюю обстановку. А вместе с ними вне зоны контроля оказались и рабочие устройства: многие начали использовать домашние компьютеры и ноутбуки.
В момент кризиса бизнес мог закрыть глаза на проблему, ведь главная задача в резко изменившейся среде – сохранение работоспособности.
Однако любое временное решение, рано или поздно, начинает демонстрировать свою контрпродуктивность: кто знает, чем занят сотрудник сидя дома, на удаленке? В лучшем случае – он просто бездельничает или работает «на сторону». В худшем – уже начал распродавать корпоративные информационные активы конкурентам или развивать свой бизнес за счет ресурсов работодателя.
Неконтролируемые «удаленщики» таят в себе не только угрозы информационной безопасности, но и риски падения качества, а также производительности труда. Если бизнес хочет удержать показатели эффективности, единственный инструмент, который поможет справиться с задачей – мониторинг и анализ действий персонала.
Аналитика рабочих процессов – инструмент развития, позволяющий изучить распорядок дня сотрудников или отделов целиком, найти лидеров и аутсайдеров, а также выявить лучшие практики решения поставленных задач.
Бизнес уже успешно пережил пандемию. Теперь дело за малым: адаптироваться к существующим реалиям, оседлать волну новых трендов и заменить временные решения постоянными эффективными инструментами, которые помогут двигаться вперед.