Информационная безопасность в эпоху кризиса.
В наше время все чаще и чаще слышишь о массовых увольнениях, кризисе, возможном закрытии предприятий, резком рывке валюты на рынке. Куда уж тут думать о безопасности! Ну что ж, давайте порассуждаем о месте и роли информационной безопасности в наши тяжелые времена. Вначале я хотел бы, чтобы вы сами себе ответили на несколько непростых вопросов. Да-да, именно себе! Итак, вот они:
- Вы собираетесь увольнять персонал?
- Если да, то, как вы думаете, будут ли эти сотрудники лояльны к вам?
- Подумайте, не захотят ли ваши, теперь уже бывшие сотрудники, унести информацию, к которой они имеют доступ, с собой?
- Сможете ли вы что-то этому противопоставить?
- Готова ли ваша служба безопасности к такой постановке вопроса?
- Если вы даже докажете, что ваш сотрудник выносит информацию наружу, готовы ли вы доказать это в суде?
- Готовы ли вы к рискам, связанным с применением нелицензионного программного обеспечения?
- И много-много других вопросов…
Итак, а теперь давайте думать, как жить дальше. Без сомнения, многие предприятия сейчас будут вынуждены сокращать персонал. И уже это делают. Некоторые цивилизованно, с соблюдением законодательства, некоторые просто извещают сотрудников, что с сегодняшнего дня не нуждаются в их работе. Да. Оба подхода тяжело бьют по людям. НО! Хотелось бы напомнить, что второй подход, как ни странно, бьет еще и по организации. Каким образом? Да просто во втором случае руководство организации показывает, что оно готово во имя сегодняшней призрачной выгоды не считаться с законом! А, следовательно, завтра так же без закона и совести оно будет поступать с партнерами и заказчиками! Это удар по престижу организации. Ну… это ж будет завтра, возразят мне некоторые. Да, завтра! Но поверьте, испортить репутацию намного проще, чем потом ее отмыть!
В случае, если вы приняли решение об увольнении, следующим шагом будет сделать так, чтобы ваши сотрудники (не только ИТ) не могли прихватить с собой вашу конфиденциальную информацию. Путей для «прихватизации» есть масса. Перекрыть все – задача не одного месяца, а то и лет. Если вы не были готовы к этому – вы уже проиграли! У вас не было политики безопасности? Не была классифицирована информации по степени конфиденциальности? Более того, у вас не было вообще службы ИТ-безопасности, всем занимались сисадмины? Мне вас искренне жаль! Вы проиграли войну, даже не ввязавшись в битву. Процесс классификации дело сложное и долгое.
Но самое печальное, если ваши сотрудники при приеме на работу не подписывали соглашение о неразглашении! Тогда вы не просто проиграли… Вам даже нечего будет им предъявить, ведь формально они ничего не нарушали! Надеюсь сейчас вы это уже поняли? Более того, это еще один повод рассмотреть вопрос создания если не подразделения, то хотя бы выделенной должности для того чтобы заниматься ИТ-безопасностью. И, естественно, этот человек должен подчиняться напрямую первому лицу в компании. Почему? Странный вопрос. Вы уверены в ваших замах? В начальнике ИТ? А как вы думаете, сможет ли ваш администратор, который будет подчиняться начальнику ИТ, говорить вам об ошибках, или хуже того, злоупотреблениях ваших замов? Или самого начальника ИТ? И будут ли его слушать и воспринимать всерьез? А? Задумайтесь!
Итак, надеюсь, вы уже поняли, что «все пропало, шеф! Все пропало!» Что делать? Срочно найти того, кто сможет заняться вашей безопасностью. Найти такого, да еще и доверенного человека, очень сложно, поверьте! Вывод? Нужна сторонняя компания, которая поможет вам наладить безопасность! Ну вот, скажете вы, опять деньги! Да нет же их! Правильно! И не будет! Более того, будете дурака валять и завтра ваш бизнес будет уже не ваш и денег точно не будет!
Запомните, если нет документов, в которых сказано, какую информацию нельзя распространять, значит распространять можно ВСЕ! И ваши сотрудники НИЧЕГО не нарушают!
А теперь поговорим о наиболее неприятном. О необходимости использовать лицензионное ПО.
Ну, вот еще что! Денег нет! Правильно, денег нет на оплату штрафов, на простои, связанные с рисками от использования нелицензионного ПО. И вообще, я не пойму, вы хотите деньги зарабатывать или бороться с головной болью, в виде проверок правоохранительных органов, вирусов (из-за отсутствия обновлений ОС и антивирусных баз), ведь ключи от антивируса у вас тоже ворованные? Верно? А если в прессе прозвучит название вашей компании как компании-вора, использовавшей нелицензионное ПО? Сомневаюсь, что у вас после этого быстро отмоется репутация! Ну так как? Будем думать или дальше воровать?
Извечный российский вопрос. Что делать? А делать вот что!
Срочно, ибо уже не просто поздно, а нужно на вчера, сделать следующее:
- Создать выделенную структуру для того чтобы заниматься ИТ безопасностью (при невозможности найти организацию, которая вам согласится помочь в написании документов);
- Разобраться и создать список конфиденциальной информации;
- Разобраться, кто к этой информации имеет доступ;
- Закрыть доступ тем сотрудникам, кому эта информация не нужна по служебной необходимости;
- Закрыть возможность записи на внешние носители;
- Запретить удаление любой информации с дисков общего доступа;
- Включить фильтр на почтовом сервере по определённым словам (на исходящую почту);
- Запретить использования фримейловских почтовых серверов (фильтр на прокси-сервере)
- Для наиболее ответственных мест предусмотреть средства контроля персонала;
- Создать инструкции по использованию ПК;
- Заставить пользователей расписаться о знании правил по работе с конфиденциальной информацией;
- и т.д.
Конечно, эти меры не смогут помочь вам в полной мере, но ведь с чего-то нужно начинать? Правда всегда существует вероятность, что данные УЖЕ украдены. В таком случае принимаемые меры бессильны, однако будем надеяться, что все же эти меры позволят вам хоть немного уменьшить возможные потери. Главное – запомните, чем лучше вы относитесь к вашим подчиненным, тем лучше они относятся к вам (хотя, конечно, говорить о моральном климате в коллективе на этапе разгона просто смешно)! На самом деле кризис это повод для того чтобы задуматься, а почему я такой умный и бедный? Может просто виноват не кризис, а дырка в голове? А? Задумайтесь!
Это статья не моя и не может быть моей, как таковой я безопасностью не занимаюсь. Но изложенные здесь факты и способы это часть моих проблем и только маленькая вершина большого айсберга. А вот и ссылка на автора Информационная безопасность в эпоху кризиса
ps. Хотя статья и имеет в названии слово кризис, сама к кризису не имеет никакого отношения. Ну разве что в голове.