Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах ITSM 365 Пользователи Компании Лента заказов Курс по ITSM

Как снизить риски малого и среднего бизнеса, связанные с ИТ-безопасностью

Как снизить риски малого и среднего бизнеса, связанные с ИТ-безопасностью

Сегодняшняя публикация – не совсем для ИТ-компаний и отделов. Она скорее для тех, кого эти структуры могут обслуживать. Это подборка идей относительно того, какие советы дать клиентам, испытывающим недостаток средств и сил на развитие ИТ, но желающим обеспечить себе некий минимальный уровень безопасности (иными словами, это ответ на вопрос: «что они еще могут сделать своими силами, особо не вкладывая средства). Учитывая, что текст публикуется в ИТ-сообществе, совсем очевидные советы из разряда «выработать внятную политику безопасности» - опущены.

Сегмент малого и среднего бизнеса традиционно считается одним из основополагающих с точки зрения развития экономики. И, хотя компании из этого сегмента не могут позволить себе содержать отдельного специалиста (или даже отдел), занимающегося вопросами ИТ-безопасности, в современном мире им все равно приходится сталкиваться с самыми разнообразными ИТ-угрозами, часто не уступающими по сложности и последствиям угрозам, с которыми встречаются крупные предприятия. Как минимум, у них есть клиенты, которые рассчитывают, что личная и банковская информация, передаваемая в компанию, будет храниться в безопасности. Кража подобных данных может нанести непоправимый ущерб репутации, да и всей последующей деятельности компании. Ведь, в отличие от крупного бизнеса, часто у малого и среднего просто нет ресурсов, чтобы быстро ликвидировать последствия и загладить вину перед пострадавшими клиентами.

Как и в случае с крупным бизнесом, проблемы лучше предотвращать, а не решать в «авральном порядке». Вот несколько идей относительно того, как можно действовать в условиях недостаточных ИТ-ресурсов и материальных средств.

Идея 1. Уровень знаний

Бизнес-руководители предприятия, вне зависимости от его размера, должны иметь хотя бы общие представления о том, где хранятся и куда передаются критичные для бизнеса данные (не важно, происходит это внутри ИТ-инфраструктуры компании или при посредничестве внешних партнеров). В идеале уровень их знаний должен обеспечивать возможность принятия информированного решения о том, каким образом данные будут защищаться. В крупных компаниях принятие этого решения обычно делегируется соответствующему отделу, но в среднем и, тем более, малом бизнесе единственный выход для руководителя – самому погрузиться в эту проблему (вероятно, для этого потребуется получить консультацию от внешнего специалиста). Дешево и относительно эффективно.

Идея 2. Резервирование

Наводнение, пожар, банальное воровство – это угрозы, от которых бизнес привык защищаться. На эту же чашу весов уже пора ставить и проблемы, связанные с ИТ (вредоносное программное обеспечение, «криворукие» сотрудники и любые другие факторы, влияющие на безопасность данных). А т.к. практически любой бизнес в той или иной форме сейчас зависит от обработки данных, наряду со страховкой от стихийных бедствий, нужно автоматическое резервирование критичной информации, а заодно – и резервный план действий на случай, если ИТ-инфраструктура встанет на часы, дни и даже недели.

Идея 3. Предупрежден – значит вооружен

Сотрудники предприятия должны иметь хотя бы общие представления о природе и целях кибер-атак. Необходимо развенчать миф о том, что преступникам интересна только «крупная рыба». Сегодня атаки переориентируются в сторону малых и средних предприятий, чтобы захватить компьютеры, используемые для он-лайн банкинга и платежей. В конце концов, деньги, похищенные со счета небольшой компании, с точки зрения мошенников ничем не хуже денег, украденных у крупного предприятия. А с учетом последних законодательных нововведений (обязательно подтверждения операций кодами и т.п.), малый и средний бизнес защищен от нелегальных списаний даже слабее, чем частные пользователи.

Поскольку в условиях нехватки ресурсов крайне сложно поддерживать актуальные спам- и фишинг-фильтры, гораздо проще научить сотрудников не открывать сомнительные сообщения, не отключать антивирусы и т.п. Неплохая идея также выделение отдельного рабочего места для проведения платежных операций (места, на котором нельзя будет проверить почту или скачать инфицированную программу).

Идея 4. Отсутствие «хвостов»

Вопрос утилизации техники когда-то поднимался на страницах нашего сообщества, и по результатам обсуждений было видно, что далеко не все компании сталкиваются с этой задачей. У кого-то компьютеры используются «до последнего»; кто-то еще не работает на рынке достаточно долго, чтобы образовался «запас старого железа». Но в любом случае, при списании или передаче компьютера из компании (и даже при переезде его, допустим, из бухгалтерии в отдел менеджеров по продажам), лучше позаботиться об уничтожении всех конфиденциальных данных на жестких дисках.

Идея 5. Физическая безопасность – часть информационной

Паранойя в области обычной (физической) безопасности часто идет на пользу безопасности информационной. К примеру, не лишним будет проверить криминальную историю нового сотрудника или осведомиться у клиентов нового поставщика услуг о том, не было ли у них проблем (особенно, связанных с передачей контрагенту конфиденциальных данных). Сюда же можно добавить адекватный контроль доступа сотрудников и посетителей к компьютерам (это помимо очевидного разграничения доступа через учетные записи).

 

А какие еще советы вы бы дали несведущему в ИТ малому и среднему бизнесу в условиях ограниченного финансирования вопроса информационной безопасности?

 

Дополнительные материалы:

И снова об ИТ-безопасности малого бизнеса: теперь российские данные

Мифы вокруг ИТ малого бизнеса

Малый бизнес – легкая цель для интернет-злоумышленников

Снова о BYOD: к чему идет наш малый бизнес?

Болевые точки малого бизнеса в ИТ

Комментарии (0)