Какими действиями финансовый руководитель компании может противостоять хакерской атаке в условиях удаленной работы и повсеместного использования личных гаджетов; как снизить до минимума ИТ-риски в работе финансово-экономической службы компании (ФЭС), рассказывает Алексей Вильсон, глава департамента информационной безопасности компании Orange Business Services в России и СНГ.
Базовые требования к информационной безопасности в компании должен знать и выполнять каждый сотрудник. Вот лишь некоторые из них:
Разделение рабочих и личных устройств для решения бизнес-задач. При переводе сотрудников на удаленную работу в начале пандемии мы обеспечили их корпоративными ноутбуками c прямым доступом в сеть компании через VPN и необходимой периферией. На таких устройствах действуют жесткие требования по безопасности и перечню установленного ПО. У пользователей есть минимальные привилегии в операционной системе. Для удаленного доступа в сеть компании с некорпоративной (личной) техники для сотрудника организована безопасная технология терминального доступа.
Использование стойкого шифрования носителей информации и дисков ноутбуков исключает возможность доступа злоумышленников к корпоративной информации при краже или потери оборудования. Шифрование данных рекомендуется при использовании облачных сервисов для хранения информации.
Внедрение современных средств защиты ОС для снижения вероятности появления, к примеру, вирусов, позволяющих изменять платежные реквизиты в финансовых документах. Заблокировать или безвозвратно уничтожить активы могут вирусы типа ransomware, которые шифруют данные и требуют за расшифровку денежный выкуп.
Обязательное регулярное повышение уровня осведомленности пользователей в области ИБ. Сотрудники, особенно финансовых организаций, должны уметь определять фишинг во всех его проявлениях. Наиболее частое проявление фишинга - это получение письма с «полезной нагрузкой»: вложение с вредоносным содержимым, замаскированного под платежные документы или иную финансовую корреспонденцию. Сотрудники должны знать, что делать и к кому обращаться, если заметили подозрительное письмо.
Стоит обратить внимание и на регламент подписи платежных документов. К примеру, подписантам в финтехе рекомендуется использовать двух (или более) уровневую модель подписания платежных документов. Первая подпись - финансового контролера и вторая - гендиректора или его заместителя. При компрометации одной подписи не страдает весь процесс и не снижается общая безопасность платежного процесса.
Важно проверять платежные реквизиты в договорах. Существует мошенническая схема, при которой подделываются электронные версии документов, также широко используются сервисы по отрисовке документов - реквизитов, штампа и подписи. Переход на электронную подпись или работа через оператора электронного документооборота (ЭДО) позволяют снизить риски попасть в мошенническую схему. Сюда же можно отнести регулярные аудиты платежных реквизитов в системах для исключения фрода.
Какими документами и положениями по конфиденциальности можно защитить компанию:
Правильная маркировка конфиденциальной информации совместно с использованием систем DLP (Data Loss Prevention) позволяет контролировать потоки чувствительной информации и предотвращать ее кражу в организации даже при удаленном характере работы сотрудников.
Введение режима коммерческой тайны на предприятии позволит дисциплинировать сотрудников в части хранения и обработки информации. Для этого сотрудник подписывает дополнительное соглашение к трудовому договору о неразглашении коммерческой тайны, где устанавливаются его обязанности и работодателя. В УК РФ существует статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Совместное применение двух таких инструментов позволяет выстроить эффективную систему для предотвращения потери чувствительной информации на предприятии.
Некоторые компании дополняют обязательный пакет документов для защиты информации подписанием с партнерами NDA (non disclosure agreement), в котором указаны правила маркировки конфиденциальной информации, ее передачи и обработки, а также штрафные санкции в случае разглашения.
Будьте внимательны и бдительны!
Я правильно понял что за косяки в ИБ штрафовать предлагается линейного сотрудника, согласно подписанным допсоглашениям? А что в эти соглашения можно вписать, регулируется чем нибудь, кроме здравого смысла?
Комментарий удален модератором
Комментарий удален модератором
Андрей, вы про документы? Такие документы в правильной компании подписывают все - от верха до низа, невзирая на регалии. Насколько я знаю, четких правил для таких допников нет. Но так или иначе все они должны со стороны компании составляться с юристами. А любой сотрудник должен иметь право на согласование и дополнение/изменение в случае, если его что-то не устраивает (в рамках разумности, конечно). Я вот свои NDA все просматриваю и добиваюсь внесения изменений, если мне это нужно.