Лето — сезон клубники, отпусков и корпоративных инсайдеров. Они пользуются отсутствием коллег и сливают данные через их учетки иили компьютеры, данные от которых просят оставить «на всякий случай». Как показывает наше исследование уровня информационной безопасности в компаниях России — половина сотрудников скорее всего согласятся оставить данные, так как плохо осведомлены об основных ИБ-правилах.
Это повышает риск утечки, средняя цена которой варьируется от $4 млн до $16 млн по данным IBM и Ponemon and DTEX. Такой суммы хватит, чтобы разорить компанию или нанести ей серьезный финансовый ущерб. В этом материале разберем как руководителю обезопасить свой бизнес и правильно отпустить сотрудника в отпуск.
Итак, вот, что нужно сделать перед отправкой сотрудника в отпуск:
- Проверьте или настройте корпоративные доступы
Правильно настроенный доступ означает, что сотрудник может взаимодействовать и видеть только нужную ему часть информации: файлы, задачи, папки и т.д. Руководитель — собственную информацию и сотрудников своего отдела. Генеральный директор может видеть информацию всех.
Обычно на время отпуска назначается заменяющий сотрудник из того же отдела с теми же правами и доступами, что и ушедший в отпуск. Также желательно настроить автоответы на почте, телефоне и мессенджерах. Они позволят перенаправлять запросы от клиентов или партнеров заменяющему сотруднику.
Такой подход позволит навести порядок и не передавать каждый раз логины и пароли от аккаунтов. У коллег и так будет доступ к файлам и наработкам «отпускника», если, конечно, они уполномочены работать с ними.
Первый этап достаточно базовый, но тем не менее неправильно настроенный доступ встречается сплошь и рядом даже в крупнейших компаниях мира. Так, например, недавно исследователи обнаружили, что Microsoft снова оставила открытым и публично доступным один из своих внутренних серверов.
- Позаботьтесь о трудоголиках и «параноиках»
Большая часть отдыхающих хочет забыть про работу и лежать в гамаке. Но это не касается трудоголиков, которые, несмотря на море, волны и белый песок, все равно будут работать «втихаря». Для этого они стараются взять всю нужную информацию и файлы.
Также есть другая крайность — «работники-параноики». Им очень важно, чтобы их никто не беспокоил во время отпуска. Поэтому они заранее делятся всем необходимым с коллегами.
Обычно руководители считают, что такие сотрудники молодцы, и не видят в этом проблем. А они есть. Унесенные или переданные на флешке, облаке или личной почте файлы могут остаться там на годы без должной защиты. То есть любой взломанный аккаунт, украденная флешка или неправильно настроенное облако могут обернутся проблемами. Причем как для работодателя, так и для сотрудника.
Например, можно вспомнить инцидент с инженером «Ростелекома». Сотрудник получил условный срок за отправку закрытой корпоративной информации на личный email. Также постоянно встречаются случаи, когда сотрудники по злому умыслу или случайно сливают данные. Яркие примеры – утечка по вине инсайдера в Verizon и случайная отправка данных избирателей не на ту почту.
Чтобы не повторять чужих ошибок, нужно запретить сотрудникам размещать информацию компании в публичных сервисах. Тех же, кто будет обходить правила, легко обнаружить, а попытки размещения пресечь при помощи DLP-системы.
- Обезопасьтесь от непроверенных WI–FI точек
В отпусках могут возникнуть задачи, которые может решить только отдыхающий. К сожалению, это норма, и к этому нужно готовиться. В противном случае есть риск потерять данные из-за, например, небезопасных WI-FI точек. Подобные часто обнаруживаются в аэропортах, кафе и вокзалах. В частности, недавно коллеги обнаружили такую WI-FI точку в столичном Шерементьево.
Поэтому, если вы понимаете, что сотрудник может понадобиться в отпуске — дайте ему корпоративный ноутбук с заранее установленным и настроенным VPN. Он позволит быстро и безопасно подключиться к корпоративной сети и работать удаленно.
- Контролируйте учетную запись отдыхающего
Сливать данные с компов и учеток коллег – любимое занятие инсайдеров. Они думают, что таким образом останутся незамеченными. Но к их разочарованию, в арсенале руководителей есть несколько проверенных способов защиты.
Самый популярный вариант — попросить IT-отдел заблокировать учетную запись отдыхающего в active directory. Максимально безопасно, но в то же время неудобно. Любой, даже санкционированный доступ будет закрыт, а это может привести к остановке бизнес-процессов.
Более удобный вариант — настроить двухфакторную аутентификацию. Помимо логина и пароля, система также будет запрашивать дополнительную информацию. Например, код из приложения или СМС. Сейчас двухфакторная аутентификация является почти что стандартом. Ее можно «прикрутить» практически на все современные сервисы: почта, облако, CRM и т.д.
Помимо случайных инцидентов в отпуске не редко случаются и злонамеренные. Полностью защититься от них поможет DLP. С ее помощью можно запретить сотрудникам записывать что-либо на флешки, отправлять данные в мессенджерах и соцсетях, а также загружать файлы в облака и на почтовые сервера.
Оригинал публикации на сайте CISOCLUB: "Как безопасно отправить сотрудника в отпуск: чек-лист для руководителя".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.