О чем всегда нужно помнить руководителю по ИБ

29 Января, 2016 14:39
Иван Карповцев
Повторение - мать учения. Как показывает опыт самых разных специалистов в самых разных областях: никогда нельзя уставать повторять и проверять самые, казалось бы, очевидные вещи. И это очень справедливо для области информационной безопасности.

Халатность

Разумеется, в большинстве нормальных украинских компаний существует определенный уровень защиты конфиденциальной информации, однако любые пароли, шифрование не имеют смысла, если сотрудники, имеющие доступ, не проявляют достаточно внимательности и аккуратности. Люди оставляют свои компьютеры, мобильные телефоны без присмотра – в офисах и публичных местах. Вам нужно периодически проводить сеансы напоминаний сотрудникам самых базовых и обычных правил безопасности – а иногда и устраивать проверки.

Разумеется, делать это необходимо, только после того как вы – человек, ответственный за информационную безопасность в компании – сделаете все необходимое. Как показывают исследования, даже в западных компаниях шифруют далеко не все и не всегда. Но в данном случае для нас это не ориентир.  

Email-паранойя

Одна из лучших черт современного офисного работника – максимальная подозрительность к поступающей электронной почте. Спам-фильтры, как правило, настроены достаточно эффективно, однако фишинговые письма нет нет и «проскакивают» через них. Все сотрудники должны твердо запомнить: не кликать ссылок и не открывать приложений в письмах, которые взывают хоть небольшие сомнения. Пусть это письмо откроет ваш специалист по ИБ.

Антивирусы нужны

Как ни странно это звучит, все еще встречаются пользователи, которые не используют антивирусов. Причины могут быть разными: от предрассудков о том, что они тормозят компьютер до банального нежелания тратить на него деньги. Тем не менее, в контексте BYOD, этот вариант неприемлем. Незащищенные устройства будут атакованы и скомпрометированы. Одним из возможных решений этой проблемы является приобретение продуктов по безопасности, в т.ч., для тех устройств, которые сотрудники используют в домашних условиях. Их можно раздавать бесплатно либо с очень большой скидкой. Компании может оказаться это выгоднее.

Надоедливые обновления

Необходимость обновлять приложения раздражает и администраторов и пользователей. Отвлечься на его установку и перегрузить компьютер в разгар работы? Вы наверное шутите. А ведь такие обновления сплошь и рядом оказываются срочными, и задержка с ними подставляет вас под угрозу.

BYOD без попустительства

BYOD – данность на западе, и мы тоже вряд ли уйдем от этой тенденции. По мнению Gartner к 2017 г. половина сотрудников американских и европейских компаний будут требовать от работодателя возможности использовать свои устройства для решения производственных задач. И составляет серьезную проблему, так как сотрудники делают это из соображений личного удобства, и к соблюдению требований компании их, как правило, необходимо принуждать. Джейлбреки, «левые» приложения, загруженные за пределами App Store или Google Play – все это уязвимости. Но даже требования загружать приложения на устройства только из этих двух источников может оказаться недостаточно, так как и в них можно спокойно «нарваться» на зловредный код. Одним из решений этой проблемы является использование «белых списков» в MDM системе. Хотите использовать свое устройство на работе? Без проблем – но вам придется соблюдать наши правила.

Беспорядочные USB-контакты

USB­-накопители – это традиционная угроза, которой часто пренебрегают. И речь идет не только о том, чтобы бездумно проверить что находится на найденной на парковке флешке. Сотрудники часто забывают правильно удалить информацию с накопителя, и в конечном итоге, она может попасть к злоумышленникам.

Инструктируйте своих коллег об опасностях «беспорядочных отношений» с USB­-флешками. Как показывает опыт, каждый раз находится кто-то, для кого это оказывается новостью.

Эксгибиционизм в социальных сетях

Уже так много сказано об опасностях «социального эксгибиционизма», что казалось бы, это уже не должно, быть проблемой. Куда там… Люди продолжают с завидной упорностью раскрывать в социальных сетях детали о своей должности, семье и т.д. А эти детали позволяют режиссировать против них атаки – информационные, а порой и на физическом уровне.

Все ваши сотрудники должны быть проинструктированы на этот счет, а у вас – человека отвечающего за ИБ в компании – в идеале должен быть доступ к чтению их профилей в социальных сетях (статус друга и т.д.). По крайней мере, в случае с сотрудниками, занимающими ключевые с точки зрения информационной безопасности должности. Это необходимо прописать в корпоративных политиках информационной безопасности.

Пароль как упражнение на фантазию

Когда-нибудь пароли уйдут в прошлое. Но до этого времени надо еще дойти. Пользователи продолжают использовать слабые или очень слабые пароли для доступа к самым разнообразным ресурсам. Их не останавливают даже списки самых слабых паролей, гуляющие по интернету. Они игнорируют инструкции о создании надежных паролей. Наконец, они не защищают паролями свои устройства, имеющие доступ в корпоративную сеть.

Большой ошибкой, также, является использование одного, пусть даже надежного пароля, для доступа к различным ресурсам. Если злоумышленники смогут разгадать ваш пароль, они могут использовать его для попыток доступа и к другим ресурсам, которыми вы пользуетесь.

Не жалейте усилий на обучение ваших сотрудников искусству создания «правильных паролей». Это сэкономит вам массу усилий в будущем.

Пропавший планшет

Все сотрудники должны осознавать: если устройство потеряно или украдено, или даже если только возникли подозрения об этом – ИТ-департамент должен быть информирован немедленно. Пока сотрудник надеется, что планшет найдется – злоумышленник может вовсю использовать его для доступа конфиденциальным данным.

К сожалению, как показывает опыт, больше половины пострадавших ждут более суток перед информированием ИТ-департамента об утере устройства с доступом к корпоративным ресурсам. А это недопустимо. 

 

Материалы по теме:

Комментарии:

НОВЫЕ СТАТЬИ