Как бизнесу защитить данные. Правила информационной безопасности для компании
В этой статье расскажу о нескольких правилах, которые защитят от взломов и потери важной для компании информации. В том числе при приеме на работу и увольнении сотрудников.
Нужно всегда помнить о риске, связанном с потенциальными взломами, ошибками и утечками информации. Такие действия могут привести к серьёзным потерям для компании. Особенно, когда речь идет о потерях баз данных, неисправности физических серверов, а также о незаконных действиях с конфиденциальной информацией.
Данные из размещённой на сервере базы могут быть скопированы и удалены, если не обеспечить должный уровень безопасности. Прямой доступ к серверному оборудованию открывает перед злоумышленниками большие возможности.
Угрозу для данных представляет сетевой обмен информацией (корпоративные порталы, банки, иные программы и пр.).
Безопасность крайне важна при сборе и хранении персональных и контактных данных. Сведения могут быть заблокированы, изменены, скопированы, переданы третьим лицам. Любой факт разглашения личной информации (умышленного или нет) повлечёт за собой крупные штрафы и репутационные издержки для компании. Потеря платёжных реквизитов пользователей, которые могут быть использованы злоумышленниками, может стать причиной потери средств. Это приведёт к крупным искам контрагентов.
Стоит помнить и о социальной инженерии, активно используемой в «хакерских» делах. Это манипулирование людьми, в том числе психологическое, с целью заставить их совершить определённые действия или сообщить конфиденциальную информацию.
Как обезопасить себя
В компании должна быть создана проработанная система безопасности. Именно такой подход обеспечит надёжную защиту данных.
Основные направления этой системы:
- аутентификация пользователей (идентификация пользователя или устройства, позволяющая установить его право доступа к информации или функционалу);
Новый сотрудник получает необходимые доступы к рабочим системам, которые должны быть удалены при его увольнении. Некоторые корпоративные системы позволяют аутентификацию по номеру мобильного телефона и кода из SMS. Это создаёт проблемы, если уволившийся сотрудник продолжает использовать свой номер телефона.
Возможно непреднамеренное сохранение копии конфиденциальных данных компании на своих личных устройствах или в учётных записях электронной почты. А может быть и умышленное нанесение вреда бывшему работодателю, извлечение финансовой выгоды, передача сведений конкурентам.
- парольная политика;
Выбираем надёжные пароли, не пересылаем друг другу в мессенджерах пароли/логины, регулярно меняем их и следим за тем, чтобы при увольнении сотрудник лишался доступа к ресурсам компании.
Есть разные варианты систематизации паролей, например менеджеры паролей вроде Passwork, где можно управлять доступами каждого сотрудника.
- приём и увольнение сотрудников;
Стандартные процедуры приёма и увольнения сотрудников должны содержать в себе элементы системы безопасности.
При приёме не помешает информация о соискателе с предыдущих мест работы, которую обычно выясняют при собеседовании и из характеристик. Новые сотрудники должны быть ознакомлены с правилами по соблюдению информационной безопасности, соблюдать их, и знать, какие меры применяются к нарушителям.
- инструктаж персонала;
Нередко сотрудники не соблюдают базовые правила сетевой безопасности: переходят по неизвестным ссылкам, ставят простейшие пароли и скачивают файлы непонятного происхождения. Поэтому можно говорить о необходимости введения регламента сетевой безопасности компании, с которым должен быть ознакомлен каждый работник.
- разграничение прав пользователей;
Сотрудникам, которые с базой учётных данных не работают, доступ можно закрыть полностью. Это существенно снизит количество возможностей, при которых пользователи способны нанести вред. А если порча файла/кража данных была сделана сознательно, будет виден круг лиц, которые это могли совершить.
У меня есть хорошая статья на тему разграничения прав.
- ограничение доступа людей с правами администратора;
Администрирование должно предполагать централизованную установку антивирусного ПО и работу с ним.
Техническую поддержку установленных программ 1С должны выполнять специалисты, в чьи функции входит работа над уровнем безопасности системы и обрабатываемых данных. Доступ к конфигуратору должны иметь только квалифицированные специалисты, в чьи непосредственные обязанности входит обслуживание программного обеспечения.
- своевременное блокирование и удаление созданных учётных записей и проч.
Можно реализовать блокировку максимального количества потенциально опасных ресурсов, мониторинг действий пользователей.
При использовании функционала обмена данными из 1С с другими программами, важно удостовериться в надёжности и безопасности каналов передачи, а также добросовестности всех сторон, использующих информацию. Не будет лишним обговорить ответственность сторон в случае потерь ценных данных.
Разработка и использование системы безопасности при использовании учётных программ 1С в компании — важная необходимость.
Базы данных в учётных системах вроде 1С — объект особого внимания в вопросе безопасности. Пользователи сознательно/бессознательно могут легко навредить базе данных, или удалить (скопировать) файл полностью.
Существуют и более сложные технические решения по тестированию и обеспечению безопасности учётных систем 1С. Но они зависят от особенностей деятельности предприятия и подбираются индивидуально.
➡ Если вам нужно проверить слабые места системы безопасности, разграничить доступ пользователей в 1С и усилить защиту данных — вы можете бесплатно проконсультироваться у моих коллег-специалистов.
чем дальше тем меньше знания имеет такое понятие как анонимность и безопасность данных
а еще не злить сильно персонал, чтоб кто то не решил украсть базу клиентов например, относиться ко всем по человечески 😁
Ирина, супер, действительно важный пункт)