Источник: CGMA Magazine
Авторы: Саманта Уайт (Samantha White), старший редактор CGMA Magazine
Перевод: GAAP.RU
Фото: http://www.wallconvert.com
На Всемирном Экономическом Форуме «Глобальные риски 2014» одним из трех основных сценариев развития рисков была названа «электронная дезинтеграция». Принимая во внимание тот факт, что глобальное хакерство достигло сегодня того уровня, когда многие компании просто уже не могут ничего противопоставить в плане обеспечения сохранности данных, возможность полного ухода компаний из интернета – никакая не утопия, а вполне себе реальная возможность, полагают авторы представленного доклада. И называют они такую ситуацию «Кибер-армагеддон» («Cybergeddon»).
А ведь многие компании и в наше время продолжают недооценивать киберугрозы. Для изменения отношения к ситуации необходима кардинальная ломка сознания – полагает Флориан Шталь (Florian Stahl), ведущий консультант информационной безопасности немецкой компании MSG Systems. Он предлагает девять простых тезисов, которые все вместе вполне способны заставить ваши умы работать в нужном направлении и выработать адекватную защиту электронных данных.
Не стоит недооценивать серьезность угрозы. Дело тут вот в чем. Многие компании считают, что их данные просто не заинтересуют киберпреступников. Но ведь хакеры, выбрав вашу компанию, уже априори отказались от попыток пробиться через барьеры, установленные для них крупными организациями. Сломать их системы защиты непросто, поэтому если они заинтересовались небольшими компаниями, то это не случайно – вы действительно теперь в их списке. А атаки даже на небольшие компании потенциально способны оказать разрушительный эффект через прямые или косвенные связи небольших организаций с более крупным бизнесом.
Проникновение довольно часто остается незамеченным. Вы можете даже не сказать этого наверняка, но у вас либо у ваших клиентов вполне могли быть случаи кражи данных. И вы этого не заметили. Например, если происходит простое копирование данных, то они по определению остаются на месте, и это не так заметно, как взлом системы с целью не просто скопировать, но и удалить из нее кусок данных. У многих компаний просто нет достаточно эффективных систем мониторинга, поэтому они не могут вовремя заметить настойчивые попытки сторонних лиц получить несанкционированный доступ.
Будьте в курсе новых опасностей, но не забывайте и про старые. Например, небезопасные сетевые приложения по-прежнему являются источником серьезного риска. Необходимо обеспечить своевременную установку патчей, когда они требуются.
Уделяйте безопасности внимание с самого начала проекта. Когда идет процесс разработки нового софта, вопросы электронной безопасности нужно учитывать с самых первых стадий работы над проектом. Если про уязвимости вы вспоминаете уже в конце, никакие фаерволы, антивирусы или системы обнаружения вам не помогут. Их, конечно, не лишним будет добавить в итоговый продукт, но обеспечить стопроцентную надежность при таком подходе у вас уже не выйдет. И вообще, позднее обращение к вопросам безопасности увеличивает, а не снижает затраты на разработку.
Фото: www.pressfoto.ru
Пусть этим занимаются исполнительные лица. В английском языке есть замечательное лаконичное обозначение этой категории лиц – C-suite, от первой буквы слова «chief» и, мы полагаем, слова «suite», в данном контексте понимаемом как «деловой костюм». Так вот, пусть именно эти официальные лица, которые и отвечают за принятие решений в вашей фирме, курируют вопросы безопасности, а вовсе не IT-департамент. По крайней мере, так считает немецкий эксперт Флориан Шталь. На этом уровне должны определяться необходимые контрмеры. Впрочем, это не значит, что отдельные департаменты не могут взять на себя определенную ограниченную ответственность в отношении той информации, с которой они работают, подумать о возможных уязвимостях и даже проработать сценарии на случай, если эти данные все же попадут не в те руки. IT-департамент довольно часто просто не в курсе всей картины вокруг того набора данных, с которым он работает, поэтому большие решения должны приниматься на исполнительном уровне, малые – на более низком.
Обучайте кибербезопасности всех сотрудников – не только лишь IT-департамент. Дело в том, что довольно часто имеют место неосознанные утечки данных, и источником их являются сотрудники просто с не очень высоким уровнем компьютерной грамотности, которые и не догадываются про риски. Многие сотрудники работают на дому. Что делают они, завершив свою работу и сохранив результаты? Многие кидают их на сервис хранения файлов типа Dropbox, пересылают на частный электронный адрес, а иногда даже по ошибке отсылают не тому человеку.
Проводите классификацию данных: конфиденциальные, для внутреннего пользования и публичные. Классификация по эти трем категориям – уже серьезный шаг к защите информации. Только публичные данные имеют право покинуть пределы компании. Четкая классификация создает критерии, по которым ваши сотрудники смогут определить, имеют ли они право сообщать информацию, например, деловым партнерам, с которыми ведут переговоры. В противном случае им придется принимать решения на ходу по каждому отдельному случаю, а это непросто. Кроме того, сотрудники должны постоянно помнить об угрозах и знать, как с ними бороться (см. предыдущий абзац). Уследить за всем лично топ-менеджмент просто не в состоянии.
Внедряйте технические решения. Людям свойственно ошибаться. С учетом этого факта довольно трудно полностью устранить возможность случайной утечки данных, но при этом очень важно хотя бы минимизировать вероятность этого. В дополнение к полноценному инструктажу сотрудников по всем рискам, о которых им следует знать, организации могут внедрять и чисто технические решения типа специализированных программных продуктов, специально предназначенных для предотвращения утечки данных. Такие программы пропускают через себя весь электронный траффик, что проходит через компанию (электронная корреспонденция и так далее) и поднимают тревогу, если заметят что-то подозрительное. Например, попытку воспользоваться поддельной картой или ввести несуществующие варианты пароля очень большое число раз за очень непродолжительное время.
В каждом массиве данных определите самое ценное. Конечно, уделять максимальное внимание необходимо в первую очередь самым важным данным. Информация этой топовой категории важности составляет от 5% до 10% всего объема. В английской литературе самые важные вещи именуются поэтическим термином «crown jewels» – «бриллианты короны» – поскольку в случае их утраты ущерб, финансовый или репутационный, будет действительно колоссальным. Данные этой категории необходимо кодировать во всех случаях, а доступ к ним – ограничивать.
Не бойтесь задать вопросы. Хотя финансовые специалисты, как правило, и не вовлекаются напрямую в разработку и внедрение программных продуктов, они по-прежнему имеют возможность задавать вопросы, чтобы проверить, действительно ли в этих проектах учли вопросы безопасности. А от себя добавим следующее. Помните, чему нас учили в школе: глупых вопросов не бывает (бывают глупые ответы)!