Самые распространенные угрозы
Глобально угрозы безопасности данных организации можно разделить на внешние и внутренние.
Внешние
Киберпреступники постоянно придумывают новые способы, как похитить данные, и это не только классические вирусы или подбор парольных фраз.
Например, с помощью DDoS-атак злоумышленники отправляют на веб-адрес множество запросов с разных адресов, из-за чего не выдерживает сервер или сайт. Производят рассылку «Фишинговых писем» — это подделки оригинальных электронных писем или веб-страниц с каким-либо вложением, со ссылками на вредоносный сайт, сайт подделку, документы или иные файлы, содержащие в себе вирусы или программы вымогатели. С помощью таких манипуляций злоумышленники крадут личную информацию пользователей.
Методы достаточно разнообразны, и степень ущерба от них также различна — от одного взломанного адреса до полного уничтожения или шифрования базы данных.
Также к внешним угрозам относятся форс-мажоры — например, пожар в хранилище данных (то есть угрозы техногенного или чрезвычайного характера). Такие ситуации случаются не часто, но превентивные меры защиты все равно стоит предусмотреть.
Внутренние
Такие угрозы идут изнутри компании и бывают преднамеренными или случайными.
Преднамеренные — сотрудники наносят организации вред сознательно: например, продают конфиденциальные сведения конкурентам. Причины могут быть в деньгах, желании отомстить компании за что-либо, политике компании в отношении коммерческой деятельности и т.д. Такие утечки наиболее опасны так как обусловлены умыслом на их совершение.
Непреднамеренные — информацию повредили или удалили по ошибке. Произвели передачу (копирование) информации в мессенджер или на личную почту с целью поработать дома, не заблокировали компьютер, установили или полностью игнорировали парольную защиту, подключились к общедоступным сетям Wi-Fi, подключили личные аккаунты к корпоративному компьютеру и т.д.
Зачастую такие угрозы носят системный характер и обусловлены человеческим фактором и несоблюдением рекомендаций и правил Информационной безопасности в корпоративном сегменте.
Получите бесплатно запись вебинара «Как организовать информационную безопасность в компании»
Не становитесь жертвой кибератак и не позволяйте злоумышленникам получить доступ к вашим конфиденциальным данным
Узнайте как безопасно выстроить ключевые бизнес-процессы и как настроить систему информационной безопасности
Какие данные защищает система ИБ
Информационная безопасность организации — это комплекс мер, которые защищают информацию и информационные системы от различных угроз, таких как несанкционированный доступ, взлом, потеря данных, нарушение конфиденциальности, целостности и доступности информации.
Типы данных, которые защищает ИБ:
Персональные данные.
Это информация, которая прямо или косвенно связана с человеком: ФИО, адреса и телефоны клиентов или сотрудников, id пользователя, ИНН, файлы Cookie и т.д.
Охранять такие данные предписывает закон № 152-ФЗ «О персональных данных».
Следствием утечек персональных данных, как правило, является — участившиеся звонки от мошенников, которые представляются работниками банков, сотрудниками полиции, поступление огромного количества рекламных предложений на личную почту, мессенджер.
Телефоны и ФИО клиентов злоумышленники получают из слитых баз, открытых источников информации (социальные сети, личные вэб страницы, файлообменики, мессенджеры).
Сведения, составляющие государственную, коммерческую, профессиональную или служебную тайну, информация «Для служебного пользования».
Гостайна — информация, критически важная для безопасности страны.
Коммерческая тайна — данные, которые важны для стабильной работы компании: при раскрытии таких сведений компания может потерять конкурентные преимущества или деньги. Например, если в сеть попали прототипы нового продукта или секреты производства.
Профессиональная тайна — это информация, которая связана с профдеятельностью, например, врачебная или нотариальная. Доступ к служебной тайне ограничивают госорганы в соответствии с законодательством.
Общедоступные данные.
Даже та информация, которую может посмотреть любой пользователь, должна быть защищена. Цены в интернет-магазине или описание товара видны любому покупателю, но поменять их могут только некоторые сотрудники компании.
Как защитить информацию
Обеспечивать безопасность данных — комплексный и последовательный процесс, в который нужно вовлекать всех сотрудников компании. Нередко для работников эти вопросы не являются приоритетными, и они не уделяют должного внимания вопросам ИБ и в подавляющем большинстве игнорируются — отсюда возникают ошибки, халатность и невнимательность, которые приводят к утечкам информации.
1. Определите, кто отвечает за ИБ в организации.
В зависимости от масштаба компании это может быть как целая служба ИБ, так и отдельный сотрудник, работающий на полную ставку, или совместитель.
Чтобы выстроить процесс управления информационной безопасностью с нуля, лучше обратиться к профессионалам. Компания DAS Group проведет аудит ИБ вашего бизнеса:
Проанализирует текущие процессы и определит требования к ИБ.
Выявит уязвимости продукта и инфраструктуры.
Даст рекомендации, как улучшить защиту важных бизнес-процессов.
2. Обучайте сотрудников.
Одной рассылки или вебинара недостаточно. Обучать персонал, как работать с данными в организации, нужно систематически. Каждый сотрудник должен понимать важность защиты от угроз, что делать, если столкнулся со взломом и как реагировать на фишинговую рассылку. Разработайте четкие и понятные руководства для работников и периодически проверяйте их знания.
3. Тестируйте продукты, чтобы найти уязвимости.
Специалисты по кибербезопасности или сисадмины организации могут находить уязвимости в продуктах или на сайтах — так проблему можно исправить еще того, как данные будут нарушены.
4. Применяйте только официальное программное обеспечение.
Разработчики проверяют, есть ли в таком ПО уязвимости и соответствует ли оно стандартам безопасности.
Неофициальные программы могут содержать ошибки, уязвимости и потенциально опасные функции, которые могут привести к утечке конфиденциальной информации или нарушению работы информационных систем.
5. Используйте антивирусное ПО.
Антивирусы помогают обнаружить и удалить вредоносные программы, предотвратить изменения ими системных файлов или программ, а также восстановить работу зараженных файлов и компонентов.
6. Используйте двухфакторную аутентификацию для доступа ко всем тем ресурсам, где можно ее настроить.
Это дополнительный уровень безопасности, который требует, чтобы у пользователя были два разных вида аутентификационных данных для входа в систему. Например, чтобы войти в аккаунт, пользователь вводит логин и пароль, а дополнительно ему нужно получить на свой мобильный телефон SMS с кодом подтверждения и ввести его на сайте.
7. Разработайте парольную политику.
Парольная политика — это набор правил и рекомендаций по созданию и использованию паролей. Она включает требования: насколько сложным должным быть пароль, как часто его нужно менять, где хранить и как выдавать доступы к паролям от разных ресурсов. Иначе есть риск, что сотрудники будут ставить одни и те же несложные комбинации на все сервисы, чтобы легче их запомнить, и нерегулярно менять пароли.
8. Используйте VPN.
Удаленная работа стала нормой жизни, при этом сотрудники часто используют личные устройства, чтобы подключаться к корпоративным ресурсам.
VPN (Virtual Private Network) создает безопасное соединение между компьютером сотрудника и корпоративной сетью, шифрует информацию, защищает данные от перехвата и обеспечивает анонимность в Интернете.
9. Шифруйте важные данные на дисках, в папках и на сменных носителях.
С помощью шифрования можно скрыть содержимое данных и обеспечить их безопасность при передаче и хранении.
10. Создавайте резервные копии важных файлов.
Резервное копирование позволяет восстановить данные, если их повредили или удалили. Оно поможет сохранить важные документы и файлы.
Специалисты консалтинговой компании DAS Group проведут комплексную проверку информационной безопасности вашего бизнеса. А если в компании есть специалист или служба ИБ, проконсультируют, как реализовать требования по ИБ и спроектировать систему защиты информации в организации.
В телеграм-канале компании — новости и много полезной информации для предпринимателей и бухгалтерии. Подпишитесь, чтобы всегда быть в курсе.
DAS group | консалтинг для бизнеса
Выстраиваем и совершенствуем бизнес-процессы, задавая вектор улучшений и снижая риски
Реклама: ООО «ДАС ГРУП», ИНН 5405083068, erid: LjN8KBPSH
Начать дискуссию