Чек-лист по безопасности для руководителя
Однажды мы проводили тестирование на знание правил ИБ для сотрудников самых разных компаний. В нем был вопрос о том, можно ли делиться своим логином/паролем с коллегой на время отпуска. Только 6% ответило, что без проблем поделятся. Это обнадеживающие цифры, но то тест, в котором всем хочется выглядеть чуточку лучше. А что в реальной жизни? В реальности люди готовы не просто делиться «явками/паролями»! Они их заранее оставляют на видном месте, лишь бы не дергали во время отпуска.
Обычно руководители в этом проблем не видят. Более того, считается, что сотрудник молодец, побеспокоился, чтобы в его отсутствие клиенты/партнеры не остались без внимания. Но проблемы есть. В практике наших клиентов сплошь и рядом встречаются ситуации, когда такая щедрость приводила к разглашению информации. Меньше, но не так уж редко, когда доступ к чужому аккаунту используется для настоящих «подстав».
Чтобы избегать таких ситуаций некоторые специалисты по безопасности предпочитают действовать радикально. С помощью специализированного ПО на время отпуска они блокируют все процессы на компьютере сотрудника, если в аккаунт заходит не его владелец. Этот способ в современных бизнес-реалиях все же слишком жесткий, поэтому контролировать лучше, чем блокировать.
Так что делать для безопасности, прежде чем отпустить человека в отпуск?
1) Убедиться, что система доступов налажена как надо
«Как надо» – это значит, что сотрудник видит только свою часть диска информации, базу CRM и задачи, линейные руководитель – собственные + сотрудников отдела, генеральный директор – всех. В такой ситуации подчиненному не приходится оставлять коллегам данные своего аккаунта. Все, кому его наработки могут понадобиться и кто уполномочен с ними работать, имеют доступы.
Казалось бы, это очевидный совет, но часто в компаниях такая иерархия доступов не настроена. В результате и возникают экстренные звонки отпускнику с просьбой «срочно скинуть логин/пароль».
2) Убедиться, что перед уходом в отпуск сотрудник не «расшарил» информацию
Уходя в отпуск, многие трудоголики стараются обеспечить себя всеми необходимыми доступами и информацией, чтобы работать удаленно. Проблема в том, что публичное облако и бесплатная личная почта, равно как флешки, куда обычно нужная информация и отправляется, – небезопасный способ хранения. О «временном» хранилище быстро забывают, и конфиденциальная информация может годами «болтаться» в облаках. К тому же часто пользователи забывают закрыть к ним публичный доступ, не заботятся о шифровании информации. Все это красноречиво показала ситуация с массовой утечкой из Google.docs летом прошлого года, когда в сети оказались внутренние инструкции, документы с паролями, отчетами – в том числе очень именитых брендов. Размещение корпоративной информации в публичных сервисах должно быть запрещено в компании, и информацию об этом нужно доносить до коллектива. Факты же «слива» легко обнаруживают хорошие DLP-системы.
3) Обеспечить безопасность, если сотруднику придется обращаться к корпоративной информации через непроверенные WiFi-точки
Части сотрудников приходится ехать в отпуск с корпоративным ноутбуком. Придется озадачиться тем, чтобы ему не пришлось беспокоиться о безопасности интернет-соединения. Для этих целей и придуман VPN. IТ-служба должна быть готова его наладить, тогда сотрудник сможет работать вне офиса, не подвергая данные опасности.
4) Проконтролировать, чтобы из-под учётки сотрудника никто не ходил в его аккаунт
Это можно сделать разными способами. Во-первых, IT-отдел на время отпуска может заблокировать учетную запись сотрудника в active directory. Проблема в том, что в таком раскладе даже санкционированный доступ будет закрыт. Говорят, есть компании, которые всем коллективом уходят в отпуск на время летнего затишья. Но это экзотическая история. Рядовой бизнес с трудом переживает остановку любого бизнес-процесса на такой длительный срок.
Другой более реальный вариант – настроить двухфакторную аутентификацию, когда помимо логина/пароля система запрашивает что-нибудь ещё, например код из смс. Сейчас «двухфакторку» можно «прикрутить» практически на все современные сервисы, в том числе CRM. Таким образом можно быть более уверенным, что в аккаунт входит именно его владелец. Если же сотруднику был назначен заместитель, в CRM-систему на время вносится номер этого заместителя. Случись что, по логам можно будет установить, кто набедокурил. Очевидно, советы из этого пункта напрямую перекликаются с советом из первого пункта.
Но это не 100% гарантия, ведь сотрудник может быть весьма изобретательным. Помочь может более продвинутый программный продукт – DLP, которую можно настроить так, чтобы она, к примеру, делала снимки с веб-камеры при каждой авторизации в аккаунте. Тогда даже если сотрудник в обход правил оставил свой логин/пароль коллеге, этот факт будет зафиксирован с фотографической точностью.
Налаживание всех этих процессов имеет смысл не только из соображений безопасности. Отпуск в современном мире сложно назвать отдыхом на 100%. Половина сотрудников, согласно опросу OneTwoTrip, работают (кто с грядки, кто из роуминга, кто с дивана). Вынуждены делать это из-за частых вопросов, писем и звонков коллег. Как результат имеем уставших и недовольных после отпуска сотрудников и серьезные проблемы с безопасностью. Последствия серьезнее, чем кажутся. Поэтому наладьте все процессы, чтобы не дергаться самим и дать сотрудникам отдохнуть.
Оригинал публиковали тут.
ух ты, фоткать сотрудника на вебку во время ввода пароля! хорошая идея. а давайте ещё каждые 20 минут его фоткать, чтобы знать, что он работает, а не у кулера тусуется