Статті

Как защитить информацию, если на DLP-систему не хватает средств?

06 ноября, 2015. 01:11 Алексей Дрозд
Наилучшим вариантом защиты компании от работающих в ней злоумышленников, готовых продать секретные данные своего работодателя, несомненно является DLP-система. Однако в непростые для экономики времена не всегда есть возможности для ее внедрения, притом что потребность в защите по-прежнему актуальна. Попробуем найти выход вместе.

Информационная безопасность зависит не только от технических, но и от административных средств. Может статься, что единственное, чего вам не хватает для появления DLP-системы – это воли руководства. В такой ситуации нужно быть убедительнее: согласно данным Ponemone Institute, средняя стоимость утечки информации в мире обходится в 3,8 млн долларов. Но бывает, что переговоры с начальством заходят в тупик.

Тогда первое, что нужно усвоить – предотвратить утечку гораздо легче, чем расхлебывать ее результаты. Да, с DLP-системой защита будет и мощнее, и эффективнее. Но даже без DLP можно получить результат гораздо лучший, чем если не заниматься информационной безопасностью вообще.

Первое — разграничить доступ к данным

Самое важное, что стоит сделать на первом этапе – разграничить доступ к информации в зависимости от ее значимости. Конечно, это нужно реализовать, консультируясь с остальными отделами и начальством. Подобная операция отнимает много сил и ресурсов, однако она необходима.

Как правило к наиболее важной информации относятся финансовые документы, личные данные сотрудников и клиентов, коммерчески ценные разработки. Документы служебного пользования также важны, как и сведения, которые могут позволить злоумышленникам получить доступ к сети организации.

В идеале, доступ к самым важным документам следует разрешить только для руководства компании, причем в минимальном кругу. Изменить параметры доступа можно с помощью штатных инструментов используемой операционной системы (это возможно и в Windows, и в Linux). Самые ценные файлы можно поместить в архивы, защищенные паролями. Но нужно иметь ввиду: если информация пострадает от вирусов, то есть риск, что работник, восстанавливающий ее, просто не сможет получить к ней доступ.

Следующий шаг — обучить безопасной работе

Второй важный момент – для сотрудников нужно написать и разъяснить базовые правила безопасной работы с информацией. Этот пункт даже можно ставить первым в списке. Дело в том, что большинство утечек конфиденциальных данных происходят случайно, а не по злому умыслу сотрудника. Чаще всего ему достаточно напомнить о том, что аспект безопасности важен для вашей компании и пояснить, как он может об этом позаботиться.

Для этого на компьютере должны быть установлены и работать антивирус и брандмауэр. Причем даже бесплатный антивирус лучше, чем никакого. Сотрудникам необходимо запомнить: пароли нельзя писать ни на стикерах у экрана, ни на салфетках. Но, конечно, если в коллективе завелся целенаправленный инсайдер, подобные меры предосторожности вам не смогут помочь.

Незащищенные беспроводные сети — находка для врага

Третий необходимый шаг – это защита беспроводных корпоративных сетей (Wi-Fi). К сожалению, множество организаций выбирая Wi-Fi, не задумываются над шифрованием трафика, идущего через сеть. Так трафик становится легкой добычей для того, кто поставит цель его получить. Как показывает практика, незащищенные корпоративные беспроводные сети страдают не только от подключений к ним ради бесплатного интернета. Через них происходят кражи из организаций финансовой отчетности, бизнес-планов, персональных данных. Фактически незащищенность сети становится причиной утечек информации.

Необходимо также обязательное введение паролей для всех рабочих станций пользователей. Не все могут позволить себе организовать в офисе полноценную пропускную систему, и таким образом вы застрахуетесь от любопытства посторонних. Ведь случается, что подобные люди получают доступ к конфиденциальной информации, пока сотрудник ненадолго отлучается со своего рабочего места. Пароли должны быть достаточно сложными, но при этом запоминающимися. Не будет лишним их периодическая смена.

С той же целью желательно установить малый интервал времени до того момента, когда экран погаснет и система заблокируется. Иначе сотрудники будут иметь больше возможностей доступа к компьютерам коллег, что для безопасности не очень хорошо.

Дисциплинарные меры

Важный вопрос – кадровая защищенность. Нужно очень педантично отбирать тех, кто будет работать на вас. Ни в коем случае нельзя нанимать человека, который уже попадался на каких-либо кражах корпоративных сведений. Даже одного сотрудника хватит, чтобы обеспечить компании серьезные проблемы.

Нельзя заранее составлять списки «благонадежных» сотрудников – даже самый лояльный человек может оказаться заинтересованным в успехе конкурентов. Особое подозрение должны вызывать люди, которые часто меняют место работы, и переходя в другую компанию, сразу же получают повышение.

Обязательным является отказ сотрудников от использования бесплатной почты и переход всех без исключения работников на использование корпоративного почтового сервера. Необходимость данного шага является обусловленной возможностью контроля последнего структурными подразделениями организации.

4it_review_315

Читайте новый выпуск электронного журнала ChannelForIT Review

Не стоит увлекаться переманиванием сотрудников, особенно компетентных и опытных, из конкурирующих компаний. Многие из них запросто могут оказаться «засланными казачками» и вести конкурентную разведку на пользу той компании, откуда вы их якобы переманили. Как показывает статистика кадровых агентств, в последнее время такое явление встречается все чаще.

Допустимо исключать из круга подозреваемых только высшее руководство, и то, если оно является собственником компании. В противном случае организация может повторить печальный опыт корпорации HTC, где топ-менеджеры своими руками продали технологии конкурентам из Китая.

Все это, конечно, не панацея, потому необходимо найти возможность нанять специалиста, который будет контролировать вопросы информационной безопасности. Но ни в коем случае такую задачу нельзя поручать системным администраторам – именно они больше всего и нуждаются в подобном контроле.

Безусловно, с качественной DLP-системой работа специалиста по информационной безопасности станет заметно результативнее, а риск утечек существенно снизится. Но из сказанного выше легко понять: если в ближайшее время у вашей организации DLP-система не появится, то это не трагедия. Хватит простых и недорогих мер, которые несколько снизят риск утечки конфиденциальных данных.

Материалы по теме:
Комментарии: