Масова цифровізація бізнесу, яку особливо прискорив COVID-19, супроводжується зростанням кількості інформаційних загроз для компаній. Уже недостатньо просто встановити антивірус на комп'ютери співробітників. Захист даних стає частиною загальної стратегії компанії. Віталій Луговець, керівник команди інформаційної безпеки групи компаній EVO, поділився з Mind рекомендаціями, як будувати систему захисту, що важливо перевіряти при виборі постачальників послуг і чому навіть ідеальний інструмент може вас не врятувати.
Перш за все визначте цінність ваших інформаційних активів. Наприклад, ви обмінюєтеся електронними рахунками та актами з підрядниками. Наскільки конфіденційна ця інформація? Що трапиться, якщо до даних отримають доступ сторонні?
Уявіть ситуацію, коли витік інформації відбувається у фармацевтичній компанії, і до зловмисників потрапляє внутрішній документ, що містить нову рецептуру. Погодьтеся, наслідки для бізнесу можуть бути абсолютно різними в обох прикладах.
Тому, плануючи захист, необхідно відштовхуватися від цінності інформації. І потім вже визначати й описувати загрози для кожного типу даних. Наприклад, компрометація облікового запису, злом підрядника й відсутність у нього резервної копії, вірусна атака тощо.
Знаючи можливі загрози, переходьте до опрацювання сценаріїв захисту. Подумайте, як можна знизити вплив потенційних загроз або взагалі уникнути їх.
Є базовий комплекс організаційних заходів, на яких варто сфокусуватися будь-якій компанії:
Всі основні загрози, пов'язані із забезпеченням безпеки даних, ці заходи покривають. Але залежно від специфіки бізнесу та структури компанії, можна будувати більш складні рівні захисту. Наприклад, не тільки обмежувати доступ до інформації, а й контролювати, хто, коли і як її змінював.
Найбільш поширена практика – впроваджувати вже готові рішення. Це й швидше, і дешевше.
Складіть чек-лист обов'язкових запитань до підрядників, з якими збираєтеся працювати. Важливо дізнатися, як у них організовано систему інформаційної безпеки. Наприклад, як обмежується доступ до даних клієнтів, де і як зберігається інформація, чи є резервні копії та чи перевіряють їх на віруси.
Оптимально додати ще запитання про те, чи є в підрядника план реагування на кризові ситуації, чи проводиться оцінка ризиків, чи розроблено політику конфіденційності, і хто в компанії за неї відповідає.
На рівень вимог до відбору підрядника впливають розмір компанії, масштаб її діяльності та специфіка бізнесу. Наприклад, великі міжнародні компанії мають більше запитів, оскільки мусять дотримуватися норм своїх внутрішніх процедур і політик. А банк сильніше фокусується на контролі та моніторингу доступу до даних, ніж магазин.
Але навіть мінімальний опитувальник, який перевіряє виконання базових заходів, дозволить краще оцінити можливі слабкі місця. У кожної компанії свій рівень прийнятного ризику, тому отримані відповіді варто ще зіставити з вашими очікуваннями та цінністю, яку дасть бізнесу цей підрядник, навіть при відсутності в нього тих чи інших процесів і процедур.
Як не дивно, але найбільша уразливість в будь-якій системі – це люди. Навіть якщо всі процеси налаштовано, і вони ідеально виконуються, то завжди залишатиметься ризик, що, наприклад, ваш співробітник перейде за фейковим посиланням, і зловмисники отримають доступ до ваших документів.
Тому важливо регулярно навчати працівників та підвищувати рівень їхньої інформаційної грамотності.
Пояснюйте, чому важливо берегти особисті дані та вчіть створювати складні паролі. Розповідайте й показуйте, що таке фішинг – видобування логіна та пароля за допомогою шахрайських сайтів, як виглядають підозрілі листи та які існують загрози та ризикові ситуації. І головне, до кого звертатися в разі сумнівних розсилок або дзвінків.
У ваших співробітників має виробитися чітке розуміння, за якими ознаками можна ідентифікувати загрозу. Попереджений, отже – озброєний. А для будь-якої компанії люди – це перша лінія оборони.
Не існує ідеальних рішень, і загрози з'являтимуться незалежно від того, як до них готується компанія. Але важливо те, як вона на них реагує та виправляє наслідки.