Обеспечить безопасность: 3 способа, как сделать вашу стратегию по борьбе с утечками информации более эффективной
Несмотря на огромные бюджеты, инвестируемые в кибербезопасность, мы по-прежнему часто слышим о громких случаях утечки информации. Во многом это связано с популярным мнением руководства компаний о том, что защита данных - это исключительно технический вопрос. Однако современные реалии демонстрируют, что для минимизации этого типа угроз бизнесу требуется комплексный подход.
Развитие технологий создает у большинства компаний иллюзию, что для обеспечения полной информационной безопасности достаточно просто внедрить соответствующее IT-решение. Но существующие системы, как правило, фокусируются на ограниченном спектре задач и имеют свои недостатки, которые, в свою очередь, приводят к утечкам, ведущим к финансовым и репутационным потерям. Неслучайно киберугрозы до сих пор входят в топ-5 глобальных рисков. В связи с этим организациям для максимальной защиты от пропажи данных нужно проактивно принимать дополнительные меры помимо тех, что рекомендуются государством и регуляторами. Среди них: более глубинная проработка того, что относится к чувствительной информации, информирование сотрудников и проактивное внедрение превентивных технологий.
К сожалению, большинство компаний недооценивает риски, которые может нести утечка той или иной информации, формально не подпадающей под графу “конфиденциально”. Однако спектр угроз этого направления крайне велик. Данные о планируемых сделках, текущие базы клиентов, внутренние распоряжения, личные дела сотрудников - вот лишь неполный список документов, утечка которых может иметь серьезные последствия для компаний.
Достаточно вспомнить скандал, когда в СМИ попали документы Mossack Fonseca, крупнейшего провайдера офшорных компаний. Выяснилось, что среди их клиентов - 12 лидеров стран и 29 миллиардеров из списка Forbes. По соседству с ними расположились также несколько наркоторговцев и террористов. Удар по репутации был велик не только для Mossak Fonseca, но и для пользователей их услуг.
Чтобы избежать таких ситуаций, компаниям в первую очередь необходимо проанализировать существующие бизнес-процессы и сопровождающую их на каждом этапе информацию. Сделать это можно, проведя внутренний аудит, который оценит не только работу службы безопасности и IT-отдела, но и других сотрудников компании, в том числе, HR-специалистов и административного персонала. Только такой комплексный анализ позволит определить, какая информация в компании относится к чувствительной, какие существуют угрозы, насколько хорошо с ними справляются текущие средства защиты, а что необходимо внедрить дополнительно.
Как уже было сказано выше, рассчитывать исключительно на технологические средства защиты было бы неправильно. Нужно также учитывать поведение сотрудников, которые чаще всего “сливают” информацию - случайно или намеренно. И если мотивы умышленной передачи информации понятны (чаще всего это желание заработать или отомстить), то случайные утечки зачастую являются результатом недостаточной осведомленности о правилах работы с чувствительными данными.
В США, например, по данным опроса GetApp, 55% представителей HR-отделов не видят смысла в обучении персонала, взаимодействующего с чувствительной информацией компании. По России официальной статистики нет, но можно предположить, что она не сильно лучше американских данных. Это приводит к серьезным пробелам в знаниях сотрудников - например, многие считают, что корпоративную информацию можно отправлять на личную почту, забирать домой, чтобы поработать с ней попозже или ставить простые пароли.
Достаточно вспомнить такой случай, как кража информации с личного компьютера сотрудника Агентства Национальной Безопасности. Он чувствовал, что отстает от своих коллег-разработчиков ПО, и поэтому начал забирать секретные документы домой, чтобы дополнительно поработать над ними вечерами и в выходные дни. Или ситуацию, когда компьютер сотрудника General Electric был украден из номера отеля, а позднее содержащиеся на нем данные о 50 000 сотрудников были слиты в сеть.
И это лишь некоторые примеры того, как неправильные действия недостаточно информированных сотрудников могут привести к серьезным последствиям. Минимизировать риски в этом направлении можно, если HR-отделы будут активно сотрудничать со службой безопасности и IT-департаментами. Сегодня уже недостаточно один раз провести инструктаж при приеме на работу, необходимо регулярно информировать персонал о новых опасностях и способах борьбы с ними. Кроме того, важно закреплять знания о киберугрозах – для этого нужны периодические тестирования на знание правил безопасности.
Помимо формирования у сотрудников знания о том, как работать с чувствительной информацией, компаниям также нужно иметь в виду и некоторые психологические аспекты.
С одной стороны, внедрение таких технологий как DLP, DRM и IRM действительно защищает от утечек информации. Эти IT-решения ограничивают спектр действий сотрудников с файлами и информируют службу безопасности, если замечена подозрительная активность. Однако человеческий мозг устроен таким образом, что даже если он знает, что в компании внедрены системы защиты данных, он все равно будет думать, что сможет эти системы обойти. И если у сотрудника возникнет необходимость (например, ему срочно понадобятся деньги), и он будет уверен в том, что его нельзя отследить, он скорее всего это сделает.
Немного по-другому обстоят дела, если человек понимает, что даже если ему удастся обойти систему, его все равно идентифицируют, и наказание будет неминуемо. Такое знание действует превентивно еще на уровне мотивации и приводит к значительному сокращению утечек.
Технически обеспечить это можно с помощью внедрения технологии ILD (information leaks detection), которая легко интегрируется со всеми системами электронного документооборота, почтовыми сервисами и хранилищами. Каждый раз, когда сотрудник что-то делает с документом, система подменяет оригинал файла на копию с уникальной маркировкой, незаметной глазу. Новая копия создается для каждого сотрудника, который работает с документом. В результате, даже если сотрудник решит обойти внедренные системы защиты, сфотографировав выведенную на экран информацию или сделав скан распечатанного документа, ILD-решение безошибочно установит личность правонарушителя.
Меры, упомянутые выше, могут значительно помочь компаниям противостоять существующим угрозам кибербезопасности. А в эру, когда информация становится самым ценным ресурсом, их реализация становится гарантией сохранения репутации и финансового благополучия бизнеса.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Развитие технологий создает у большинства компаний иллюзию, что для обеспечения полной информационной безопасности достаточно просто внедрить соответствующее IT-решение. Но существующие системы, как правило, фокусируются на ограниченном спектре задач и имеют свои недостатки, которые, в свою очередь, приводят к утечкам, ведущим к финансовым и репутационным потерям. Неслучайно киберугрозы до сих пор входят в топ-5 глобальных рисков. В связи с этим организациям для максимальной защиты от пропажи данных нужно проактивно принимать дополнительные меры помимо тех, что рекомендуются государством и регуляторами. Среди них: более глубинная проработка того, что относится к чувствительной информации, информирование сотрудников и проактивное внедрение превентивных технологий.
Анализ бизнес-процессов и относящихся к ним чувствительной информации
К сожалению, большинство компаний недооценивает риски, которые может нести утечка той или иной информации, формально не подпадающей под графу “конфиденциально”. Однако спектр угроз этого направления крайне велик. Данные о планируемых сделках, текущие базы клиентов, внутренние распоряжения, личные дела сотрудников - вот лишь неполный список документов, утечка которых может иметь серьезные последствия для компаний.
Достаточно вспомнить скандал, когда в СМИ попали документы Mossack Fonseca, крупнейшего провайдера офшорных компаний. Выяснилось, что среди их клиентов - 12 лидеров стран и 29 миллиардеров из списка Forbes. По соседству с ними расположились также несколько наркоторговцев и террористов. Удар по репутации был велик не только для Mossak Fonseca, но и для пользователей их услуг.
Чтобы избежать таких ситуаций, компаниям в первую очередь необходимо проанализировать существующие бизнес-процессы и сопровождающую их на каждом этапе информацию. Сделать это можно, проведя внутренний аудит, который оценит не только работу службы безопасности и IT-отдела, но и других сотрудников компании, в том числе, HR-специалистов и административного персонала. Только такой комплексный анализ позволит определить, какая информация в компании относится к чувствительной, какие существуют угрозы, насколько хорошо с ними справляются текущие средства защиты, а что необходимо внедрить дополнительно.
Работа с персоналом
Как уже было сказано выше, рассчитывать исключительно на технологические средства защиты было бы неправильно. Нужно также учитывать поведение сотрудников, которые чаще всего “сливают” информацию - случайно или намеренно. И если мотивы умышленной передачи информации понятны (чаще всего это желание заработать или отомстить), то случайные утечки зачастую являются результатом недостаточной осведомленности о правилах работы с чувствительными данными.
В США, например, по данным опроса GetApp, 55% представителей HR-отделов не видят смысла в обучении персонала, взаимодействующего с чувствительной информацией компании. По России официальной статистики нет, но можно предположить, что она не сильно лучше американских данных. Это приводит к серьезным пробелам в знаниях сотрудников - например, многие считают, что корпоративную информацию можно отправлять на личную почту, забирать домой, чтобы поработать с ней попозже или ставить простые пароли.
Достаточно вспомнить такой случай, как кража информации с личного компьютера сотрудника Агентства Национальной Безопасности. Он чувствовал, что отстает от своих коллег-разработчиков ПО, и поэтому начал забирать секретные документы домой, чтобы дополнительно поработать над ними вечерами и в выходные дни. Или ситуацию, когда компьютер сотрудника General Electric был украден из номера отеля, а позднее содержащиеся на нем данные о 50 000 сотрудников были слиты в сеть.
И это лишь некоторые примеры того, как неправильные действия недостаточно информированных сотрудников могут привести к серьезным последствиям. Минимизировать риски в этом направлении можно, если HR-отделы будут активно сотрудничать со службой безопасности и IT-департаментами. Сегодня уже недостаточно один раз провести инструктаж при приеме на работу, необходимо регулярно информировать персонал о новых опасностях и способах борьбы с ними. Кроме того, важно закреплять знания о киберугрозах – для этого нужны периодические тестирования на знание правил безопасности.
Проактивное внедрение дополнительных превентивных технологий
Помимо формирования у сотрудников знания о том, как работать с чувствительной информацией, компаниям также нужно иметь в виду и некоторые психологические аспекты.
С одной стороны, внедрение таких технологий как DLP, DRM и IRM действительно защищает от утечек информации. Эти IT-решения ограничивают спектр действий сотрудников с файлами и информируют службу безопасности, если замечена подозрительная активность. Однако человеческий мозг устроен таким образом, что даже если он знает, что в компании внедрены системы защиты данных, он все равно будет думать, что сможет эти системы обойти. И если у сотрудника возникнет необходимость (например, ему срочно понадобятся деньги), и он будет уверен в том, что его нельзя отследить, он скорее всего это сделает.
Немного по-другому обстоят дела, если человек понимает, что даже если ему удастся обойти систему, его все равно идентифицируют, и наказание будет неминуемо. Такое знание действует превентивно еще на уровне мотивации и приводит к значительному сокращению утечек.
Технически обеспечить это можно с помощью внедрения технологии ILD (information leaks detection), которая легко интегрируется со всеми системами электронного документооборота, почтовыми сервисами и хранилищами. Каждый раз, когда сотрудник что-то делает с документом, система подменяет оригинал файла на копию с уникальной маркировкой, незаметной глазу. Новая копия создается для каждого сотрудника, который работает с документом. В результате, даже если сотрудник решит обойти внедренные системы защиты, сфотографировав выведенную на экран информацию или сделав скан распечатанного документа, ILD-решение безошибочно установит личность правонарушителя.
Меры, упомянутые выше, могут значительно помочь компаниям противостоять существующим угрозам кибербезопасности. А в эру, когда информация становится самым ценным ресурсом, их реализация становится гарантией сохранения репутации и финансового благополучия бизнеса.
