Противодействие внутренней угрозе требует от банка применения целого комплекса мер – организационных, юридических, технических. По мнению экспертов, основную роль должны играть организационные меры, которые необходимо дополнять техническими.
Как правило, когда речь идет об организационной составляющей, то в первую очередь имеется в виду формирование корпоративной культуры финансово-кредитной организации. Если говорить в глобальном смысле, то это работа над повышением лояльности каждого сотрудника к банку.
Также важны технические нюансы, в числе которых умение персонала правильно работать с компьютерной техникой, учетными записями, соблюдая элементарные правила безопасности. Далеко не все сотрудники обычно осознают, что информационная безопасность – это важно. Различные санкции к отдельным сотрудникам могут приносить эффект, но полностью проблему они, конечно, не решают. В идеале обеспечение безопасности должно стать частью корпоративной культуры. В этом случае организация сможет предотвращать противоправные действия, а не устранять их последствия.
Конечно, персонал зачастую негативно воспринимает любые попытки ограничить его возможности, в том числе и путем внедрения средств защиты информации. Поэтому крайне важно, чтобы топ-менеджмент банков понимал актуальность проблемы, риски, которые она несет, а также необходимость обучения сотрудников правилам ИБ.
Ведь какими бы ни были совершенными технологии, все-таки главной причиной инсайда остается человеческий фактор, начиная с банальных ошибок и неаккуратности и заканчивая злонамеренным хищением информации с целью ее продажи.
Учитывая, как раз человеческий фактор, эксперты говорят о необходимости повышения уровня ограничений при работе в информационных системах, а также о необходимости уменьшения области доступа, отключения всех «лишних» устройств, интерфейсов и шлюзов.
Очевидно, что, помимо внедрения технических и программных средств, существует необходимость реализации комплексных мер предупредительного характера, позволяющих информировать служащих о недопустимости тех или иных действий в отношении информации ограниченного использования. Эксперты говорят, что в данном случае все средства хороши: нормы законодательства, предусматривающие административное или уголовное преследование, корпоративные действия в виде материального поощрения или наказания. Также следует предупреждать совершение сотрудником специфических операций, которые, кстати, могут осуществляться даже не злонамеренно, а из-за доступности информации и возможности ее обработки, например, в домашних условиях.
Если вам понравилась статья - подписывайтесь на канал Национального Банковского Журнала ставьте лайк и делитесь информацией в соцсетях с друзьями.