Полная свобода установки программ, использования несанкционированных приложений, использования нелегального программного обеспечения, социальных сетей и чатов.
Такие события могут произойти, если ИТ-отдел компании не разработает надлежащую политику безопасности, то есть доменные ограничения внутри сети. Даже если такая политика есть, но никто из сотрудников не соблюдает её.
Еще хуже, когда ИТ-отдела вообще не нет в компании. Возможные проблемы с оборудованием и сетью постоянно устраняет приглашенный и арендованный "IT-специалист"? Это чревато постоянными сбоями или, намного критичнее, утечки корпоративной информации. Так как же принятая политика безопасности влияет на работу организации?
Политика безопасности и свободный доступ в интернет.
Во многих компаниях сценарий все еще выглядит очень похожим. Работнику выдают настольный или портативный компьютер для выполнения рабочих задач, а затем он начинает практиковать на этом оборудовании пресловутую свободу установки различного стороннего программного обеспечения для развлечения.
На жесткий диск загружается коммуникатор, десктопные версии социальных сетей и "полезные" программы, загруженные с подозрительных веб-сайтов. Иногда также приложения, требующие лицензии или предназначенные только для частного использования.
После работы (или даже в течение рабочего дня) сотрудник посещает небезопасные ресурсы. Он открывает забавные видеоролики, отправленные друзьями, а также играет в несколько игр или в свою любимую. Ни работодатель, ни ИТ-отдел не проявляют особого интереса к этому виду деятельности, а чаще не знают об этом.
Меньшее зло происходит, если цифровая катастрофа разворачивается над заражением безвредным вирусом, с которым может быстро справиться даже сам пользователь.
Хуже того, если компьютером безответственного сотрудника пользуются люди извне организации, например, устанавливая на него шпионские программы.
Последовательное внедрение политики безопасности.
Зная о таких угрозах, ИТ-отдел или внешняя компания, предоставляющая услуги ИТ-аутсорсинга, устанавливает политику безопасности и последовательно ее реализует. Определяет уровень безопасности сверху, руководствуясь требованиями конкретной рабочей станции, например, применяя принцип «Need-To-Know», согласно которому пользователи имеют доступ к информации и функциям системы только в объеме, необходимом для выполнения своих служебных обязанностей.
Специально разработанные зоны безопасности или настройки контроля доступа являются важной вехой на пути к обеспечению оптимальной работы ИТ-инфраструктуры при минимальных рисках.
Соблюдение политики безопасности сотрудниками.
Осведомленность сотрудников организации о рисках - еще одна важная вещь. Передовые методы, такие как сложные пароли доступа или их изменение раз в 30-60 дней, значительно повышают уровень безопасности, но опять же - они должны последовательно внедряться ИТ-отделом.
При наличии большого числа сотрудников система должна принудительно просить сменить пароль. Ожидание и наивная вера в то, что каждый из сотрудников запомнит все условия политики, на самом деле, обрекает проект на провал. Так же, как и уведомления «запрещается устанавливать сторонние программы, доступные в сети, на корпоративные компьютеры компании» или «в рабочее время работник не может посещать сайты, не связанные с выполняемыми задачами», которые часто являются лишь мертвыми пунктами в договорах с работодателем.
Если ИТ-отдел не предпринимает нисходящих действий, связанных с соблюдением политики безопасности, не автоматизирует процессы и не контролирует поведение сотрудников в этой области, то избежание рисков будет только теорией.
Проверенный ИТ-партнер обладает знаниями и необходимыми инструментами для автоматизации таких процессов, поэтому соблюдение правил не может быть нарушено.
Уголовный кодекс и авторское право.
Стоит отметить, что за нелегальное программное обеспечение, установленное на компьютерах компании, несет ответственность работодатель. Такое поведение можно квалифицировать как преступление (компьютерное пиратство). К нему применяются положения Уголовного кодекса и Закона об авторском праве и смежных правах.
Информация о запрете на установку любого программного обеспечения на оборудование компании, конечно, должна быть предоставлена сотруднику в виде письменного указания, но гораздо лучшим решением будет соответствующий блок сторонних сайтов, установленный ИТ-отделом компании.
Управление доступом в Интернет, правами пользователей или системами управления сетью — это лишь некоторые из услуг, предлагаемых компаниями-партнерами, поставляющими ИТ-сервис. Специалисты должны регулярно проводить комплексный IT-аудит компании в отношении оборудования, программного обеспечения и лицензий.
Также следует разработать меры наказания за нарушения политик безопасности и подписанного соглашения. Чтобы сотрудник понимал все последствия своего поступка. В этом случае можно свести риск нарушения договора к минимуму.
Спасибо, что дочитали статью.
Если вам понравилось, поставьте «нравится». Подписывайтесь на канал и следите за обновлениями.
