Поведение сотрудников является одной из основных причин нарушения информационной безопасности. Как специалистам по ИТ защитить данные и учесть интересы мобильных сотрудников?
Конечные пользователи остаются ключевым фактором, определяющим успех или провал проектов по кибербезопасности. Если сотрудники стремятся получить доступ к корпоративной информации с любого устройства вне зависимости от места и времени, не соблюдая принятые в компании правила безопасности, то эти данные легко окажутся под угрозой даже при самых жёстких политиках и внедрённых решениях по информационной безопасности. Есть несколько практических советов, которые помогут обеспечить безопасность и комфортность для пользователей, сохраняя при этом высокий темп работы и конкурентоспособность бизнеса.
1. Понять, что делают ваши пользователи, и поговорить с ними на доступном языке
Информированные и бдительные сотрудники являются первой линией обороны в борьбе с угрозами нарушения безопасности, поэтому наиболее важная задача – обучение сотрудников тому, как работать в защищенном режиме в любом месте и с любого устройства. Если рассказывать общими словами о передовых методиках кибербезопасности, то можно не добиться успеха. Лучше проанализировать и посмотреть специализацию ваших сотрудников, понять, что именно они делают, за что отвечают и что им необходимо. После этого следует объяснить стандарты вашей корпоративной защиты, используя примеры, которые действительно относятся к их деятельности. Тогда они смогут легко понять требования ИБ и правильно применять предложенные решения и политики. Шаблонный подход здесь не подойдёт.
2. Сотрудничать со всеми бизнес подразделениями
Активное сотрудничество руководителей ИТ и менеджеров различных подразделений является необходимой составляющей обеспечения ИБ. Регулярные встречи с руководителями бизнеса дают возможность интегрировать меры защиты на самых ранних этапах. Кроме того, они позволяют получить полное представление о реальных рисках и требованиях бизнеса, которые помогают выработать эффективные стандарты защиты.
3. Иметь современный мобильный взгляд на средства защиты
Многие устройства, сети и системы хранения данных, которые используют современные сотрудники, находятся за пределами контроля ИТ-отделов. Важно модернизировать традиционные средства безопасности с учетом особенностей новых мобильных и облачных сервисов. Определите, насколько жёстко вы хотите ограничить доступ к вашим корпоративным данным, исходя из того, где находится сотрудник, и какое устройство он использует. Большинство компаний принимают дифференцированные политики, которые защищают конфиденциальную информацию более надежно, чем открытую, а также предоставляют ограниченный доступ личным устройствам пользователей по сравнению с проверенными корпоративными. Пересмотрите ваш подход к защите для того, чтобы учесть дополнительные риски, включая хранение данных компании на личной технике сотрудников, размещение паролей на листочках, доступных посторонним и использование USB-накопителей, которые они где-то нашли или получили в подарок.
4. Объективно и согласованно внедрять политики безопасности
Политики безопасности могут со временем потерять свою актуальность, если пользователи будут считать, что их нарушение не приведет ни к каким последствиям, или, что еще хуже, если они решат, что обход позволит повысить производительность работы. Корпоративные стандарты ИБ должны быть в актуальном состоянии и соответствовать требованиям бизнеса. Поэтому политики безопасности должны внедряться должным образом и поддерживаться в согласованном состоянии. Когда правила разрабатываются совместно в рамках всей компании, и вопросы обеспечения безопасности являются частью корпоративной культуры, случаи нарушения встречаются крайне редко.
5. Автоматизировать процессы обеспечения безопасности
Специальное ПО помогает уменьшить количество случаев нарушения политик безопасности. Например, многие решения ИБ могут в автоматическом режиме зашифровывать корпоративные данные на мобильных устройствах. Кроме того, они могут обеспечить более надежную защиту, запрещая пользователям запускать неавторизованные приложения в корпоративной сети или ограничивая какими приложениями, можно открывать вложения, полученные по электронной почте. Другие программы поддерживают функции регистрации в системе и ведения отчетности по соблюдению необходимых политик. Несмотря на наличие широкого набора функциональных возможностей, ПО является всего лишь одним из элементов комплексной системы построения кибербезопасности. Для того чтобы действительно защитить компанию, вам нужно иметь информацию о ваших бизнес подразделениях и конечных пользователях. В конечном итоге лучшие стратегии обеспечения ИБ опираются как на людей, так и на технологии.
Свобода выбора устройств быстро приведет к тому, что концепция использования собственной техники (BYOD) будет применяться в большинстве компаний. Это изменит и то, как люди работают и то, как ИТ-отделы предоставляют им приложения и данные. Оптимальный подход на базе BYOD объединяет в себе хорошо определенную и реализуемую политику и технологии ИБ. Официальная политика должна определять, кто имеет право доступа, какие устройства можно использовать, и какие сервисы будут доступны. Она должна также регулировать, кто несет финансовую ответственность за то, как применяются политики.