Как повысить уровень информационной безопасности корпоративной ИТ системы
Защита информационной безопасности является одной из первостепенных задач для всех без исключения современных компаний. Ведь несанкционированное проникновение в корпоративную ИТ систему может обернуться не только крупными убытками и репутационными потерями, но и поставить под угрозу сам вопрос существования организации.
Для поддержания высокого уровня информационной защиты необходимо привлекать квалифицированных специалистов. Особенно это касается представителей малого и среднего бизнеса, которые в большинстве случаев не имеют трудовых и финансовых ресурсов для поддержания необходимой степени информационной защиты.
Компания ALP Group готова прийти на помощь и взять на себя обслуживание вашей корпоративной ИТ системы. А пока поделиться простыми, на первый взгляд, секретами, которые помогут избежать опасных брешей в информационной защите вашей фирмы. И о которых, тем не менее, почему-то очень часто забывают.
На острие ИТ атаки
Фишинговые и другие угрозы опасны в первую очередь риском получения злоумышленниками доступа в корпоративную ИТ систему предприятия. Проникнув в работу сервисов, они могут похитить важную информацию с целью шантажа или передачи ее конкурентам или попросту парализовать работу компании. Поэтому очень важно этого не допускать. Как? Поможет соблюдение, казалось бы, элементарных, но в то же время чрезвычайно важных правил.
Сотрудники не должны пользоваться корпоративным аккаунтом в личных целях
Бывает, что работники организации для того, чтобы оптимизировать и упростить свои рабочие процессы, самостоятельно загружают и регистрируют различные программы. К тому же иногда это делается с использованием адреса и пароля корпоративной электронной почты. Это приводит к возникновению дополнительного риска возможных кибератак на внутренние ресурсы компании. Чтобы такого не происходило, необходимо разъяснять сотрудникам последствия подобных действий. А системный администратор или ИТ служба обязаны такие вещи строго контролировать. Если же программа на самом деле нужна для работы, сотрудник должен пользоваться для ее регистрации и активации собственными учетными данными, а не корпоративными.
Нельзя использовать одни и те же пароли
Регулярно изменять пароли и запоминать новые комбинации символов – занятие рутинное и не слишком интересное. Но в существующих условиях жизненно необходимое. Пароли обязательно должны быть надежными – состоять из неповторяющихся букв разного регистра и цифр – это существенно снизит риск вероятности их подбора хакерами.
Сотрудников нужно предупредить об этом отдельно: для каждой учетной записи должны быть созданы свои пароли и логины. Если система предлагает сменить пароль, нужно установить новый, а не повторять прежний. Кражи учетных записей – довольно распространенное явление. И в большинстве случаев пострадавшие пользователи этого даже не замечают. Постоянно появляется информация о найденных в популярных социальных сетях, браузерах и мессенджерах уязвимостях. Поэтому нужно регулярно менять пароли, выбирая сложные комбинации цифр, букв и символов, и никогда не использовать дату своего рождения и имя.
Нельзя делиться паролями и учетными записями
Иногда работник, получив в офисе доступ к функциональному (и, как правило, дорогостоящему) программному обеспечению, по-дружески «делится» данными учетной записи с друзьями или членами семьи. Совершая подобный поступок, он тем самым значительно увеличивает риски информационной безопасности. Передача данных и в первую очередь паролей тем, кто недостаточно сведущ в том, как защитить свою работу в сети от потенциальных угроз, может, сам того не желая, стать источником утечки корпоративных данных.
Поэтому нужно обязательно предупреждать персонал о том, что такая «щедрость» недопустима и применять суровые меры к тем, кто нарушает данный запрет. То есть, сотрудник должен твердо усвоить, что его пароль – это только его пароль. И ничей больше. Исключением может стать лишь системный администратор, да и то не всегда.
Нужно октлючать аккаунты больше не работающих на предприятии сотрудников
Уволившимся работникам лучше сразу перекрывать доступ к рабочим приложениям и учетным записям. Однако часто об этом попросту забывают. А зря: неизвестно, по какой причине сотрудник ушел с работы. Возможно, что, к сожалению, нередко случается в корпоративной практике, он захочет как-нибудь отомстить бывшему работодателю. Или забрать базы данных клиентов. Или просто, потеряв интерес к старой работе, случайно открыть доступ к учетным записям посторонним лицам. Или сделать это неслучайно, а за некоторое вознаграждение. К тому же бездействующий аккаунт становится дополнительной брешью в системе корпоративной ИТ безопасности: рано или поздно им могут заинтересоваться злоумышленники.
Вот почему руководители всех подразделений компании просто обязаны своевременно предупреждать тех, кто осуществляет ИТ обслуживание, о необходимости отключения аккаунта ушедшего сотрудника. Ему должен быть закрыт доступ к корпоративной почте и к остальным программам и системам. В свою очередь, ИТ отдел или аутсорсинговая фирма, если это входит в зону ее ответственности, должны постоянно следить за активностью учетных записей и находить среди них недействительные, чтобы вовремя их удалять.
Доступ к конфиденциальной информации должен быть только у доверенных лиц
Кроме проверки логина и пароля, современная процедура идентификации контролирует действия пользователя и сигнализирует о выявлении чего-либо, что может вызвать обоснованное подозрение. Использование биометрических параметров, 2-х факторной аутентификации и поведенческого анализа помогает поддерживать безопасность корпоративных сетей и предупреждать системных администраторов и пользователей, если кто-то пробует осуществить несанкционированное подключение к системе, используя их данные.
Также необходимо строгое разграничение уровня доступа: каждый сотрудник должен пользоваться только той информацией, которая необходима ему для выполнения его служебных обязанностей. Общий доступ возможен только к данным, не содержащим корпоративных секретов.
Контроль привилегированных пользователей
Привилегированный уровень доступа увеличивает риск возможного взлома всей корпоративной информационной сети. По этой причине за подобными учетными записями следить надо особенно пристально. Ведь, если злоумышленник получит данные для входа в сеть от имени руководителя, он сможет нанести компании, возможно, непоправимый урон.
Поэтому нужно вовремя снижать уровень ненужных более привилегий, а также удалять старые аккаунты. В отношении привилегированных учетных записей требуется соблюдение самых строгих мер безопасности, потому что они особо ценны для хакеров и именно их они и стремятся заполучить в первую очередь.
Не прекращать работу, даже если есть бреши
Даже если в системе информационной безопасности обнаружены уязвимости, компания должна продолжать работать в штатном режиме. А ответственные за поддержание защиты данных обязаны срочно приступить к их устранению. Останавливать бизнес-процессы не следует, тем более, что часто это просто невозможно.
Нужно переговорить с сотрудниками и принять дополнительные меры обеспечения информационной безопасности. Особенное внимание надо обратить на внедрение технологий 2-х факторной либо многофакторной аутентификации.
Соблюдение этих правил поддержания информационной защиты повысит безопасность корпоративной ИТ системы. А чтобы быть полностью уверенным в ее полной функциональности, обслуживание нужно поручить проверенной компании – такой, как ALP Group.