Как повысить уровень информационной безопасности корпоративной ИТ системы

Это интересно
Удаленный системный администратор В последние годы всю большую популярность на отечественных предприятиях малого и среднего бизнеса получает удаленное администрирование компьютеров и серверов.
Мониторинг сети предприятия Руководители компаний разных масштабов задумываются о том, чтобы воспользоваться услугами внешнего HelpDesk для работы с инцидентами ИТ-инфраструктуры.
Монтаж оптического кросса Руководители компаний разных масштабов задумываются о том, чтобы воспользоваться услугами внешнего HelpDesk для работы с инцидентами ИТ-инфраструктуры.
Безопасны ли услуги ИТ аутсорсинга? Часть 1 Передача определенных функций по облуживанию информационной инфраструктуры предприятия становится все более распространенной и в нашей стране, и на Западе. Заметные преимущества данного подхода и все выгоды, которые потенциально может получить компания, привлекают многих.

Защита информационной безопасности является одной из первостепенных задач для всех без исключения современных компаний. Ведь несанкционированное проникновение в корпоративную ИТ систему может обернуться не только крупными убытками и репутационными потерями, но и поставить под угрозу сам вопрос существования организации.

защита информационной безопасности

Для поддержания высокого уровня информационной защиты необходимо привлекать квалифицированных специалистов. Особенно это касается представителей малого и среднего бизнеса, которые в большинстве случаев не имеют трудовых и финансовых ресурсов для поддержания необходимой степени информационной защиты.

Компания ALP Group готова прийти на помощь и взять на себя обслуживание вашей корпоративной ИТ системы. А пока поделиться простыми, на первый взгляд, секретами, которые помогут избежать опасных брешей в информационной защите вашей фирмы. И о которых, тем не менее, почему-то очень часто забывают.

На острие ИТ атаки

Фишинговые и другие угрозы опасны в первую очередь риском получения злоумышленниками доступа в корпоративную ИТ систему предприятия. Проникнув в работу сервисов, они могут похитить важную информацию с целью шантажа или передачи ее конкурентам или попросту парализовать работу компании. Поэтому очень важно этого не допускать. Как? Поможет соблюдение, казалось бы, элементарных, но в то же время чрезвычайно важных правил.

Сотрудники не должны пользоваться корпоративным аккаунтом в личных целях

Бывает, что работники организации для того, чтобы оптимизировать и упростить свои рабочие процессы, самостоятельно загружают и регистрируют различные программы. К тому же иногда это делается с использованием адреса и пароля корпоративной электронной почты. Это приводит к возникновению дополнительного риска возможных кибератак на внутренние ресурсы компании. Чтобы такого не происходило, необходимо разъяснять сотрудникам последствия подобных действий. А системный администратор или ИТ служба обязаны такие вещи строго контролировать. Если же программа на самом деле нужна для работы, сотрудник должен пользоваться для ее регистрации и активации собственными учетными данными, а не корпоративными.

Нельзя использовать одни и те же пароли

Регулярно изменять пароли и запоминать новые комбинации символов – занятие рутинное и не слишком интересное. Но в существующих условиях жизненно необходимое. Пароли обязательно должны быть надежными – состоять из неповторяющихся букв разного регистра и цифр – это существенно снизит риск вероятности их подбора хакерами.

Сотрудников нужно предупредить об этом отдельно: для каждой учетной записи должны быть созданы свои пароли и логины. Если система предлагает сменить пароль, нужно установить новый, а не повторять прежний. Кражи учетных записей – довольно распространенное явление. И в большинстве случаев пострадавшие пользователи этого даже не замечают. Постоянно появляется информация о найденных в популярных социальных сетях, браузерах и мессенджерах уязвимостях. Поэтому нужно регулярно менять пароли, выбирая сложные комбинации цифр, букв и символов, и никогда не использовать дату своего рождения и имя.

защита информационной безопасности

Нельзя делиться паролями и учетными записями

Иногда работник, получив в офисе доступ к функциональному (и, как правило, дорогостоящему) программному обеспечению, по-дружески «делится» данными учетной записи с друзьями или членами семьи. Совершая подобный поступок, он тем самым значительно увеличивает риски информационной безопасности. Передача данных и в первую очередь паролей тем, кто недостаточно сведущ в том, как защитить свою работу в сети от потенциальных угроз, может, сам того не желая, стать источником утечки корпоративных данных.

Поэтому нужно обязательно предупреждать персонал о том, что такая «щедрость» недопустима и применять суровые меры к тем, кто нарушает данный запрет. То есть, сотрудник должен твердо усвоить, что его пароль – это только его пароль. И ничей больше. Исключением может стать лишь системный администратор, да и то не всегда.

Нужно октлючать аккаунты больше не работающих на предприятии сотрудников

Уволившимся работникам лучше сразу перекрывать доступ к рабочим приложениям и учетным записям. Однако часто об этом попросту забывают. А зря: неизвестно, по какой причине сотрудник ушел с работы. Возможно, что, к сожалению, нередко случается в корпоративной практике, он захочет как-нибудь отомстить бывшему работодателю. Или забрать базы данных клиентов. Или просто, потеряв интерес к старой работе, случайно открыть доступ к учетным записям посторонним лицам. Или сделать это неслучайно, а за некоторое вознаграждение. К тому же бездействующий аккаунт становится дополнительной брешью в системе корпоративной ИТ безопасности: рано или поздно им могут заинтересоваться злоумышленники.

Вот почему руководители всех подразделений компании просто обязаны своевременно предупреждать тех, кто осуществляет ИТ обслуживание, о необходимости отключения аккаунта ушедшего сотрудника. Ему должен быть закрыт доступ к корпоративной почте и к остальным программам и системам. В свою очередь, ИТ отдел или аутсорсинговая фирма, если это входит в зону ее ответственности, должны постоянно следить за активностью учетных записей и находить среди них недействительные, чтобы вовремя их удалять.

Доступ к конфиденциальной информации должен быть только у доверенных лиц

Кроме проверки логина и пароля, современная процедура идентификации контролирует действия пользователя и сигнализирует о выявлении чего-либо, что может вызвать обоснованное подозрение. Использование биометрических параметров, 2-х факторной аутентификации и поведенческого анализа помогает поддерживать безопасность корпоративных сетей и предупреждать системных администраторов и пользователей, если кто-то пробует осуществить несанкционированное подключение к системе, используя их данные.

Также необходимо строгое разграничение уровня доступа: каждый сотрудник должен пользоваться только той информацией, которая необходима ему для выполнения его служебных обязанностей. Общий доступ возможен только к данным, не содержащим корпоративных секретов.

Контроль привилегированных пользователей

Привилегированный уровень доступа увеличивает риск возможного взлома всей корпоративной информационной сети. По этой причине за подобными учетными записями следить надо особенно пристально. Ведь, если злоумышленник получит данные для входа в сеть от имени руководителя, он сможет нанести компании, возможно, непоправимый урон.

Поэтому нужно вовремя снижать уровень ненужных более привилегий, а также удалять старые аккаунты. В отношении привилегированных учетных записей требуется соблюдение самых строгих мер безопасности, потому что они особо ценны для хакеров и именно их они и стремятся заполучить в первую очередь.

Не прекращать работу, даже если есть бреши

Даже если в системе информационной безопасности обнаружены уязвимости, компания должна продолжать работать в штатном режиме. А ответственные за поддержание защиты данных обязаны срочно приступить к их устранению. Останавливать бизнес-процессы не следует, тем более, что часто это просто невозможно.

Нужно переговорить с сотрудниками и принять дополнительные меры обеспечения информационной безопасности. Особенное внимание надо обратить на внедрение технологий 2-х факторной либо многофакторной аутентификации.

Соблюдение этих правил поддержания информационной защиты повысит безопасность корпоративной ИТ системы. А чтобы быть полностью уверенным в ее полной функциональности, обслуживание нужно поручить проверенной компании – такой, как ALP Group.

Свежие новости и статьи

Статьи 5 сентября 2022 Импортозамещение и локализация ИТ-инфраструктуры. Что общего? И в чем отличия?
В чем разница между импортозамещением и локализацией ИТ? Для каких компаний подходят эти две стратегии? Значит ли их реализация, что от иностранного софта и оборудования нужно будет отказаться полностью? Разобраться в теме помог Сергей Идиятов, руководитель направления консалтинга ALP ITSM.
Статьи 22 августа 2022 Топ-5 рекомендаций для CEO: как локализовать IT-инфраструктуру?
Для компаний с центральным офисом в зарубежных странах санкционный кризис стал серьезным испытанием. При сохранении бизнеса в России нужно выделить IT-инфраструктуру локального офиса и сделать ее независимой и автономной от глобальной компании, объявившей об уходе из РФ. Этот «развод по-итальянски» требует четкого плана, ресурсов и крепких нервов. Как минимизировать риски, рассказывает Сергей Идиятов, руководитель направления консалтинга ALP ITSM, сервисной IT-компании холдинга ALP Group.
Статьи 11 мая 2022 Не можно, а нужно: рассказываем, как безболезненно перенести IT-инфраструктуру компании в российское облако. Кейс ALP ITSM
За последние два месяца российские компании столкнулись с различными сложностями, в том числе по части IT. Среди них — остановка продажи нового ПО, невозможность оплаты услуг западных сервисов, повышение цен на оборудование и всевозможные блокировки. ALP ITSM помогает клиентам найти решения, чтобы обезопасить IT-инфраструктуру в нынешних условиях. Делимся опытом миграции из зарубежных облаков в российские.
Статьи 1 апреля 2022 Автоматизируй это! Четыре бизнес-процесса, где нельзя обойтись без Service Desk. Когда компания растет, увеличивается и количество запросов от пользователей. Однажды это превращается в «снежный ком»: техподдержка не справляется с потоком, заявки теряются, время обработки обращений все дольше, пользователи недовольны. Знакомая ситуация? Тогда нужно срочно внедрять ServiceDesk. Разбираемся, чем может помочь эта система, и какие направления стоит автоматизировать в первую очередь.