Многие руководители полагают, что средний и малый бизнес надежно защищены от утечки данных. Какой злоумышленник захочет тратить силы и средства на компанию из 50 человек? А в фирме с 10 сотрудниками точно не заведется инсайдер: ведь все под присмотром босса.
Такое представление в корне не верно. Статистика упряма: 43% кибератак нацелены на небольшие фирмы. А 60% малого и среднего бизнеса, которому «посчастливилось» столкнуться с утечкой данных, закрывались через полгода после инцидента.
Справиться с вызовами современной цифровой эпохи поможет риск-менеджмент. Предиктивно выявляя «узкие места», управленец максимально обезопасит компанию и, при этом, не только избежит возможных убытков от утечки, но и сможет сэкономить, внедряя именно те инструменты защиты, которые необходимы для конкретных условий деятельности.
Базовый план, позволяющий минимизировать риски, прост, и состоит всего из 3 пунктов.
1. Identity management: управления информацией о пользователях и процессах корпоративных сетей
Основная задача руководителя — сегментировать информацию по степени важности и ограничить к ней доступ. Звучит очень просто: выдал сотрудникам по сложному логину-паролю, спрятал базы данных от общего пользования и правило выполнено. В реальной жизни такой подход больше вредит, чем помогает.
Начать стоит с анализа бизнес процессов, который поможет понять, какая именно информация является наиболее ценной, кто из персонала должен к ней обращаться в рамках выполнения должностных обязанностей, и что будет, если процедура многократно усложнится. Бездумные запреты замедлят работу сотрудников, снизят эффективность и спровоцируют нарушения. Например, кто-либо из менеджеров начнет «делиться» своими кодами доступа, только из-за того, что бесконечные согласования запросов к базе клиентов или поставщиков могут привести к срыву сделок из-за неадекватных сроков обработки заявок.
Поставив во главе угла эффективность, и установив запреты на массовые обращения к чувствительным данным исходя из текущих операционных процессов, руководитель, без снижения продуктивности труда, существенно повысит уровень информационной безопасности.
К тому же, в рамках мероприятий по разграничению доступа всегда можно воспользоваться «чит-кодом» — системами биометрической идентификации. Например, аутентификация с помощью систем распознавания лиц, гораздо надежнее, чем использование многозначных логинов и паролей, которые работники приклеивают к монитору или хранят в файлах на рабочем столе. Сам процесс авторизаций, при наличии подобных систем, заметно упрощается и ускоряется, поскольку больше не нужно вспоминать сложные комбинации и набирать их на клавиатуре. А ведь время – это деньги.
2. Менеджмент бэкапов и обновлений
«Дыры» в устаревшем ПО, критическая несовместимость старых и новых приложений — базис большинства утечек.
Ключевой фактор снижения рисков – своевременное обновление программного обеспечения. И речь идет не только о системах защиты, следить нужно и за свежими апдейтами всевозможных «офисных» программ.
В компаниях нередки случаи, когда система безопасности может контролировать новую версию распространенного ПО, а сотрудники до сих пор пользуются старой. Такой подход – прямое приглашение для хакеров.
Правило работает и наоборот: если производитель выпустил свежую сборку системы защиты, в которой учтены особенности последних версий «офисных» программ, а компания не спешит обновить свой «щит», стоит быть готовым к тому, что часть опций нового ПО окажется вне зоны контроля.
И, конечно же, не стоит забывать про регулярные бэкапы: если ЧП все-таки произошло, информацию придется восстанавливать. Отсутствие резервной копии может в одну секунду лишить бизнес места на рынке.
3. Мониторинг
Чем больше элементов окажется под наблюдением – тем меньше рисков. Мониторинг установленных программ и «железа» в ПК поможет выявить заражение вирусами и майнерами, провести инвентаризацию «софта» и его версий, предотвратить кражи «железа» — дискретных видеокарт, «планок» ОЗУ и жестких дисков. Отслеживание геолокации ноутбуков даст возможность поймать воришку и предотвратить «слив» информации третьим лицам.
И, конечно же, главная задача – вести мониторинг самого уязвимого звена любого бизнеса – персонала. Контроль «человеческого фактора» — ключевое звено современного риск-менеджмента. Банальные ошибки, такие как отправка данных «не в то окно», сохранение рабочей информации на флешку или отправка данных на личную почту – потенциальный источник серьезных проблем и убытков. Особого внимания заслуживают инсайдеры, которые могут появиться даже в компании, состоящей из 3-х человек . Их злонамеренные действия всегда ведут к серьезному финансовому урону, вплоть до банкротства.
Используя принципы риск-менеджмента и выполняя простые правила, владелец бизнеса не только существенно повысит уровень информационной безопасности и избежит ряда ЧП, но и сэкономит средства, внедряя только максимально эффективные и нужные системы защиты.