Metaphor of risk in business. Risk management concept. Businessman remove one piece from tower.

Защита информации: базовые принципы риск-менеджмента в малом и среднем бизнесе

Многие руководители полагают, что средний и малый бизнес надежно защищены от утечки данных. Какой злоумышленник захочет тратить силы и средства на компанию из 50 человек? А в фирме с 10 сотрудниками точно не заведется инсайдер: ведь все под присмотром босса.

Такое представление в корне не верно. Статистика упряма: 43% кибератак нацелены на небольшие фирмы. А 60% малого и среднего бизнеса, которому «посчастливилось» столкнуться с утечкой данных, закрывались через полгода после инцидента.

Справиться с вызовами современной цифровой эпохи поможет риск-менеджмент. Предиктивно выявляя «узкие места», управленец максимально обезопасит компанию и, при этом, не только избежит возможных убытков от утечки, но и сможет сэкономить, внедряя именно те инструменты защиты, которые необходимы для конкретных условий деятельности.

Базовый план, позволяющий минимизировать риски, прост, и состоит всего из 3 пунктов.

1. Identity management: управления информацией о пользователях и процессах корпоративных сетей

Основная задача руководителя — сегментировать информацию по степени важности и ограничить к ней доступ. Звучит очень просто: выдал сотрудникам по сложному логину-паролю, спрятал базы данных от общего пользования и правило выполнено. В реальной жизни такой подход больше вредит, чем помогает.

Начать стоит с анализа бизнес процессов, который поможет понять, какая именно информация является наиболее ценной, кто из персонала должен к ней обращаться в рамках выполнения должностных обязанностей, и что будет, если процедура многократно усложнится. Бездумные запреты замедлят работу сотрудников, снизят эффективность и спровоцируют нарушения. Например, кто-либо из менеджеров начнет «делиться» своими кодами доступа, только из-за того, что бесконечные согласования запросов к базе клиентов или поставщиков могут привести к срыву сделок из-за неадекватных сроков обработки заявок.

Поставив во главе угла эффективность, и установив запреты на массовые обращения к чувствительным данным исходя из текущих операционных процессов, руководитель, без снижения продуктивности труда, существенно повысит уровень информационной безопасности.

К тому же, в рамках мероприятий по разграничению доступа всегда можно воспользоваться «чит-кодом» — системами биометрической идентификации. Например, аутентификация с помощью систем распознавания лиц, гораздо надежнее, чем использование многозначных логинов и паролей, которые работники приклеивают к монитору или хранят в файлах на рабочем столе. Сам процесс авторизаций, при наличии подобных систем, заметно упрощается и ускоряется, поскольку больше не нужно вспоминать сложные комбинации и набирать их на клавиатуре. А ведь время – это деньги.

2. Менеджмент бэкапов и обновлений

«Дыры» в устаревшем ПО, критическая несовместимость старых и новых приложений — базис большинства утечек.

Ключевой фактор снижения рисков – своевременное обновление программного обеспечения. И речь идет не только о системах защиты, следить нужно и за свежими апдейтами всевозможных «офисных» программ.

В компаниях нередки случаи, когда система безопасности может контролировать новую версию распространенного ПО, а сотрудники до сих пор пользуются старой. Такой подход – прямое приглашение для хакеров.

Правило работает и наоборот: если производитель выпустил свежую сборку системы защиты, в которой учтены особенности последних версий «офисных» программ, а компания не спешит обновить свой «щит», стоит быть готовым к тому, что часть опций нового ПО окажется вне зоны контроля.

И, конечно же, не стоит забывать про регулярные бэкапы: если ЧП все-таки произошло, информацию придется восстанавливать. Отсутствие резервной копии может в одну секунду лишить бизнес места на рынке.

3. Мониторинг

Чем больше элементов окажется под наблюдением – тем меньше рисков. Мониторинг установленных программ и «железа» в ПК поможет выявить заражение вирусами и майнерами, провести инвентаризацию «софта» и его версий, предотвратить кражи «железа» — дискретных видеокарт, «планок» ОЗУ и жестких дисков. Отслеживание геолокации ноутбуков даст возможность поймать воришку и предотвратить «слив» информации третьим лицам.

И, конечно же, главная задача – вести мониторинг самого уязвимого звена любого бизнеса – персонала. Контроль «человеческого фактора» — ключевое звено современного риск-менеджмента. Банальные ошибки, такие как отправка данных «не в то окно», сохранение рабочей информации на флешку или отправка данных на личную почту – потенциальный источник серьезных проблем и убытков. Особого внимания заслуживают инсайдеры, которые могут появиться даже в компании, состоящей из 3-х человек . Их злонамеренные действия всегда ведут к серьезному финансовому урону, вплоть до банкротства.

Используя принципы риск-менеджмента и выполняя простые правила, владелец бизнеса не только существенно повысит уровень информационной безопасности и избежит ряда ЧП, но и сэкономит средства, внедряя только максимально эффективные и нужные системы защиты.

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Поделитесь своими комментариями!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>