Информационная безопасность: инструкция для бизнесменов, которые хотят спать спокойно (и с деньгами)
Представьте, что ваша компания — это крепость. Только вместо стен — компьютеры, вместо стражников — сотрудники, а вместо катапульт у злоумышленников — вирусы, фишинг и криптошифровальщики. Как сохранить свой замок от захвата? Просто и с иронией рассказываем, как создать систему информационной безопасности (ИБ), которая будет работать, даже если её никто не замечает.
Для более глубокого погружения в вопросы информационной безопасности рекомендуем подписаться на наш ТГ-канал "Прометей - ИБграмотность". Здесь мы регулярно публикуем полезные советы, новейшие методы защиты и примеры реальных инцидентов, с которыми могут столкнуться сотрудники в повседневной работе.
Шаг 1: Осознать, что проблема есть (и она не исчезнет сама)
Прежде чем мы начнём, давайте договоримся: если вы думаете, что ИБ — это не про вас, вспомните несколько историй:
- Утечка года: один из банков потерял базу с клиентскими телефонами. Итог — тысячи недовольных звонков от «службы безопасности банка». Клиенты ушли, репутация — в минус.
- Доверяй, но проверяй: сотрудник крупной компании случайно отправил коммерческое предложение конкуренту. Почему? Поспешил в почте. И только после этого конкуренты снизили цены, а сделка сорвалась.
- Флешка из ада: один бизнесмен нашёл флешку около своего офиса, подключил её к компьютеру, а через неделю с его счёта пропало 10 миллионов рублей.
Шаг 2: Убедить руководство, что пора действовать
Если вы — собственник компании, вы уже знаете: спасти бизнес от катастрофы дешевле, чем потом его восстанавливать. Но если вы — IT-директор или менеджер по СБ\ИБ, нужно показать боссу реальность. Вот пример такого подхода:
- Презентация «Худшие страхи» - покажите график: в прошлом году в России было около 30 миллионов случаев фишинга. Сколько писем приходит в вашу компанию каждый день? Одного достаточно, чтобы рухнула сеть.
Экономика безопасности - рассчитайте стоимость защиты и сопоставьте с возможными убытками. Особенно остро будет стоять вопрос с штрафами по утечкам перональных данных в 2025 году.
Реальные кейсы - расскажите истории из реального мира.
В одной компании бухгалтер скачала документ из письма. Через два дня шифровальщик заблокировал все данные, и без резервного копирования им пришлось платить хакерам.
Шаг 3: Подготовка к битве с невидимыми врагами
Теперь, когда руководство готово инвестировать в безопасность, перейдём к реальным действиям.
1. Инвентаризация активов. Нужна для понимания «стартовых позиций»: сколько компьютеров в компании, где хранятся данные, какие из них являются конфиденциальными, персональными и т. д. За информацией о количестве компьютеров, системе коммуникации и ИТ-инфраструктуре нужно обращаться к ИТ-отделу.
2. Аудит прав доступа. Нужен для того, чтобы узнать кому какая информация доступна и выявить превышения полномочий.
3. Контроль и мониторинг действий пользователей. Нужен для предотвращения утечек, разоблачения мошенничества, отслеживания эффективности работы и т. д. Для этого используют DLP-системы. На старте работы с ними есть три направления:
- Контроль пересылки файлов. Нужен для противодействия утечкам данных. Отслеживания того, кто куда и кому пересылает те или иные файлы. Решается предустановленными политиками безопасности, которые можно кастомизировать под специфические нужды.
- «Люди». Большое направление, которое подразумевает ручное расследование инцидентов, выявления корпоративного мошенничества и т. д. Универсальной методички здесь нет — все люди разные. Тем не менее есть несколько общих моментов, с которых нужно начать.
- Выделите группу риска. Это сотрудники, которые из-за зависимостей, «скелетов в шкафу» и других причин, могут представлять угрозу. Сливать данные, имитировать работу, саботировать выполнение проектов. Работа с группой риска состоит из контроля «маркеров»: упоминаний ЗП, руководства, финансовых проблем, бывших коллег, запрещенных или табуированных тем, сленговых слов и выражений и т. д.
- Автоматический анализ активности и эффективности сотрудников. Не самая частая задача. Нужна для контроля рациональности рабочего времени. Как правило, решается автоматически, если в DLP есть модуль, отвечающий за сбор и анализ таких данных.
5. Обучение сотрудников принципам ИБ. Нужно, чтобы минимизировать человеческий фактор. Включает в себя теорию в виде реальных кейсов и практику в виде упражнений. Например, по выявлению фишинговых ссылок. Обучение выстраивается только в форме личных встреч или вебинаров.
6. Совершенствование. Информационная безопасность подчиняется циклу Деминга — «планирование-действие-проверка-корректировка» (Plan-Do-Check-Act). Любые предустановленные правила, политики и принципы, со временем будут нуждаться в корректировке. Например, если произойдут изменения в ИТ-инфраструктуре или бизнес-процессах, нужно будет пересмотреть эффективность текущих политик или ввести новые.
Шаг 4: Поддерживайте систему в рабочем состоянии
Пример из практики - в одной компании решили раз в месяц устраивать «день безопасности». Сотрудники делились паролями, которые забыли сменить, тестировали обновления систем, а лучшему сотруднику вручали диплом «Кибергерой месяца».
Обовляйте защиту - киберугрозы меняются так же быстро, как и тренды в соцсетях. Например, 5 лет назад главной угрозой был вирус WannaCry. Сегодня — фишинг и атаки на удалённых сотрудников.
Резервное копирование - компания из IT-сферы потеряла всю клиентскую базу из-за шифровальщика. А ведь у них была копия… но на том же сервере. Итог: данные утрачены. Делайте резервные копии на независимых носителях!
Итог: безопасность — это ваш зонтик в цифровую бурю
Помните: любая утечка начинается с простых вещей — слабого пароля, незакрытого Wi-Fi, неактуального софта. Инвестиции в ИБ — это инвестиции в спокойный сон и стабильность бизнеса. Так что действуйте, пока всё спокойно, иначе ваш «зонтик» точно не выдержит первого дождя.
Мы предлагает комплексное решение для бизнеса – служба безопасности на аутсорсинге с постоянным мониторингом и надежной защитой ваших данных. СБ на аутсорсинге полностью заменяет штатных сотрудников информационной безопасности, беря на себя все их функции и экономя ваши расходы на поддержание рабочего места. Мы используем инновационные DLP-продукты, позволяющие отслеживать факты утечки данных в почтах, мессенджерах, социальных сетях и даже на съемных носителях, и оперативно реагировать на недобросовестные действия сотрудников.
Попробуйте один месяц ИБ-аутсорсинга бесплатно – переходите на наш сайт, чтобы начать тестовый период и увидеть первые результаты работы службы безопасности!
Всё так, всё верно.
ИБ должны заниматься профи, не каждому по карману держать таких в штате. Значит — вперёд, к аутсорсингу.
Вячеслав, для компаний малого и среднего бизнеса аутсорсинг ИБ это оптимальный вариант
Как раз в этом году у нас сеть взломали, дизайнерский архив запаролили, требовали выкуп. Спасло как резервное копирование на независимом носителе.
Ольга, от такого риска, только бекапы на внешних носителях спасают. Ваша история, прекрасный пример.
Об этом нужно знать каждому сотруднику и тем более предпринимателю!🍀 спасибо, что делитесь
Анна, спасибо, это точно, то основы информационной грамотности должен знать каждый!
Деминг, аудиты, компетенции на аутсорсинге, резервное копирование - все как мы любим! Лайк.