Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

О плане реагирования на инциденты ИТ-безопасности

О плане реагирования на инциденты ИТ-безопасности

Что в вашей компании будут делать в случае обнаружения атаки на корпоративную сеть или на данные? Сегодня от подобной угрозы  не застрахован даже малый и средний бизнес. Вы можете успокаивать себя тем, что компания маленькая и никаких ноу-хау на ее компьютерах нет, но вирусы или развлекающиеся хакеры на такие мелочи не обращают внимания, да и целью атаки можете быть не вы, а ваши соседи по офисному центру, по серверной стойке у провайдера, сам провайдер и конечно ни одна компания ни застрахована от случайного или намеренного повреждения критически важных данных собственными сотрудниками. Так что план предотвращения инцидентов, связанных с потерей данных, вполне пригодится.

Статистика Online Trust Alliance показывает, что у 60% компаний либо вовсе нет плана реагирования на инциденты ИТ-безопасности, связанные с потерей данных, либо он давно не обновлялся. Любой план, который не пересматривался больше года теряет свою актуальность. Все меняется — философия сбора данных, провайдеры облачных сервисов и даже ваши собственные цели. Предположим, вы поменяли провайдера у которого хранились ваши данные и при этом оставили без изменений инструкции по резервному копированию и восстановлению данных. О чем это говорит?

  • Никто реально не выполняет резервное копирование в вашей компании, т.к. иначе ответственный сотрудник заметил бы расхождение реальности и  того, что записано в инструкции. Вполне возможно, что правильно настроенная система резервного копирования уже полгода ежедневно шлет в никуда сообщения об ошибке, который ваша техподдержка привычно игнорирует.
  • Если произойдет инцидент, а ваш план не отражает последние изменения, вы будете бороться не с той проблемой, поскольку не будете знать, где находятся ваши данные или что именно подвергается риску.

Компании нужен механизм, позволяющий отслеживать и включать в план любые изменения, касающиеся сбора, обработки или хранения данных. У этого процесса должен быть один владелец.

Впрочем, неправильно перекладывать всю ответственность за сохранность данных только на ИТ. Далеко не всегда у ИТ-отдела, а тем более у аутсорсинговой ИТ-компании есть возможность отследить изменения происходящие с персоналом компании, появление новых продуктов в компании, особенно если речь идет об облачных решениях и об аутсорсинге бизнес услуг. Как минимум для определения набора критически важных для компании данных необходимо привлекать руководство компании, отдел кадров, бухгалтерию и даже маркетинг. Подобная команда должна на ежеквартальной или полугодовой основе анализировать и корректировать план реагирования на инциденты.

Чем меньше объемы данных, тем проще их защитить. У малого бизнеса тут несомненное преимущество. Однако, в малом бизнесе слишком доверяют собственным сотрудникам. В небольших компаниях сотрудники имеют полный доступ к серверам и хранилищам данных.  Нередко проблема не в продуктах, а в том, что имеющиеся в ИТ-среде средства безопасности просто не настроены должным образом. Данные должны храниться на отдельных серверах с ограниченным доступом только для тех сотрудников, которые с ними работают — собственно даже количество серверов в компании уже давно перестало быть ограничением для малого бизнеса: тут возможны самые разные решения от виртуализации собственных серверов до аренды серверов в частных или публичных облаках. Одним из ключевых моментов ежеквартального пересмотра план реагирования на инциденты является проверка уровня доступа сотрудников к данным и необходимости этого доступа.

Если у вас есть внешние источники или хранилища данных, нужно выяснить, у кого есть или у кого были данные учетной записи поставщика услуг. Прежде всего, необходимо регулярно отключать учетные записи уволенных сотрудников, а также закрывать доступ сотрудникам, которые сменили позицию внутри компании и больше не пользуются этой системой. Желательно, конечно, все это делать в тот же день, как сотрудник покинул свое рабочее место, но тут снова не все зависит от воли ИТ-служб.

Несмотря на политику информационной безопасности, сотрудники часто непреднамеренно подвергают опасности конфиденциальную информацию компании, заходя в социальные сети на работе. С одной стороны сотрудники легко раскрывают конфиденциальную информацию или обсуждают клиентов компании в социальных сетях, которые они не воспринимают, как публичную площадку. Особо удачные заявления легко приобретают «вирусный эффект», в результате чего имидж компании может существенно пострадать. Я не сторонник полного запрета социальных сетей на работе, но разъяснять сотрудникам что можно и чего нельзя делать в социальных сетях необходимо.

С другой стороны проблема в небезопасных паролях, которые используют пользователи. В собственной ИТ-среде можно задать определенные требования к сложности паролей пользователей. К сожалению, большинство публичных сервисов легко соглашается на элементарные пароли. Впрочем, там где сервис проверяет стойкость паролей есть еще одна сложность — после 1-2 месяцев ввода сложного корпоративного пароля по бумажке пользователь его хорошо запоминает и начинает использовать этот «стойкий» пароль в публичных сервисах. В результате если злоумышленник подберет пароль для  страницы в Facebook, Twitter или другого сервиса он сможет получить доступ и к корпоративной ИТ-среде.

Отдельный вопрос — безопасность корпоративных данных в личной почте пользователей на публичных сервисах. Публичные провайдеры электронной почты нередко предоставляют пользователям большие объемы данных, чем корпоративные сервисы. К тому же доступность публичных сервисов намного больше, они легко могут забирать почту с корпоративного сервера и затем давать к ней доступ в любое время, и в том числе любому злоумышленнику получившему пароль пользователя. В почте содержатся контакты клиентов, информация о кредитных картах, пароли или ссылки для их восстановления к самым разным сервисам. Так что в итоге ущерб от взлома электронной почты может быть весьма существенен. Соответственно и в плане предотвращения потери данных необходимо регламентировать хранение корпоративных данных в персональных почтовых аккаунтах пользователей, обеспечение безопасного доступа к таким сервисам (включая двухфакторную аутентификацию, там, где она есть).

Ключ к успеху заключается в признании возможности потери данных и в принятии защитных мер, таких как минимизация объема используемых данных, шифрование данных и ограничение доступа к данным. В прошлом году количество хакерских атак увеличилось на 34%. И это только официальная статистика (по некоторым данным эта цифра больше в несколько раз). Часто инциденты обнаруживаются только спустя несколько месяцев. Это говорит о необходимости хранить свои данные по меньшей мере один год, для того чтобы можно было вернуться назад и посмотреть, были ли попытки проникновения на серверы или несанкционированные сетевые подключения. Защита конфиденциальной информации и безопасность данных должны стать личным долгом каждого сотрудника компании. Утечка данных может повлечь ухудшение имиджа компании, финансовые проблемы или потерю клиентов. Инцидент может затронуть не только клиентов, но и ваших сотрудников и деловых партнеров, а для малого бизнеса это может оказаться невосполнимой потерей.

Дополнительные материалы

Комментарии (6)

  • Аватар

    Яковлев Андрей Михайлович [swtws], 22 февраля 2013, 18:43

    0
    Вообще порядок заведения и обработки инцидентов безопасности подробно расписан в ISO 27001/27002
  • Аватар

    Фролов Александр Викторович [KORSAR1], 27 февраля 2013, 15:50

    0
    ради интереса показал статью нашим админам - посмеялись и сказали: "уважающая себя фирма подобных ляпов (отсутствие резервного копирования, допуск в соц-сетки...) в защите не допускает. это азы информационной безопасности."
    • Аватар

      Кирилюк Иван [Qwerty], 07 марта 2013, 14:45

      0

      осталось только проверить самих ваших админов "на вшивость" и может (может!) внезапно выясниться, что у них дела еще похлеще творятся.

      ибо на словах мы все предусмотрительные, осторожные, и мега-мудрые, а по факту - там забыли, здесь недосмотрели, а там начальство приказало и никуда не денешься.

      • Аватар

        Фролов Александр Викторович [KORSAR1], 07 марта 2013, 19:25

        0

        к сожалению должен Вас огорчить - по роду своей работы я постоянно общаюсь со всеми подразделениями нашего депертамента ИТ (около 60-ти человек) в том числе и с админами. и должен Вас уверить "вшей" у них нет - хорошие профессионалы, любяшие свое дело и уважающие интересы компании. "вшей" они гоняют дома.

        именно с их подачи я сейчас "бодаюсь" с финдепом по поводу финансирования проекта "Развитие системы резервного копирования" (приобретение новых железок вместо устаревших, а также приобретения дополнительного ПО для резерввирования). это только один из нескольких проектов, направленных на развитие серверной инфраструктуры в нашей компании - просто он перекликается с темой статьи и моим комментом.

        а по поводу "дерьмо"-сеток - отношение к ним у админов такое же как и у меня: "нам вирусорассадники не нужны" - в компании соцсетки запрещены и никто из работающих этим не озабочивается - сидят в своих ... дома. воплей на этот счет ни у кого не возникает: на работе работают, а не поливают водичкой цветочки на фермах или дерьмом друг-друга "в контактиках".

        может несколько резковато ответил - "за державу обидно"!

         

        • Аватар

          Кирилюк Иван [Qwerty], 07 марта 2013, 20:27

          0

          ну, меня огорчить не получится - я ж к вашей компании отношения не имею, поэтому как оно у вас на самом деле все устроено - совершенно без понятия. у вас идеальные админы? да на здоровье, мне не жалко ни разу, бог навстречу, как грится.

          речь шла строго о том ,что когда слышишь подобные высокопарные фразы от многих админов - очень часто нелишне поинтересоваться как дела обстоят у них самих (на практике, а не на словах), ибо очень часто по итогу становится дюже смешно.

          за чью державу? ее кто-то обижал?

          • Аватар

            Фролов Александр Викторович [KORSAR1], 07 марта 2013, 22:31

            0

            ну, "идеальных админов" не бывает - или бороды нет, или свитер чистый :)

            есть дилетанты, и есть профессионалы...

            с недоадминами встречаться приходилось - здесь с Вами соглашусь: гонору много, а знаний ноль. обидно за них  - такие позорят "звание ИТшника" ... приходили на собеседование к нам такие - даже до эникейщика грамотного не дотягивали, зато пяткой в грудь себя стуча "я админил сетку на целых пять компов и 1Ской!!!" (и это чел приходит устраиваться в компанию где более 250 только юзерских компов, около сотни тонких клиентов и т.д....)