Как укрепить безопасность ИТ-инфраструктуры компании: системный подход к защите данных

Большинство компаний узнают о проблемах с безопасностью IT--инфраструктуры не на этапе аудита, а после утечки, штрафа или потери клиентов.

Источник: Freepik.com

В предыдущем материале Артем Елисов, директор маркетингового агентства Комплето, рассказал, почему вопросом безопасности должен заниматься руководитель.

В этой же статье эксперт поделился, как за 2 недели закрыть критические уязвимости в ИТ-инфраструктуре компании.

Пошаговый план по усилению безопасности за 14 дней

Проведите аудит

Compliance-аудит на проверку соответствия 152-ФЗ оставьте для юриста. Но технический анализ в виде сканирования уязвимостей возьмите на себя, так как он показывает «дыры», через которые данные могут утечь.

Начните с «облака», поскольку 25 000 попыток взлома облачных инфраструктур — не случайность.

Проверьте:

1. Включена ли многофакторная аутентификация (MFA) на всех корпоративных аккаунтах.
2. Кто имеет доступ к общим папкам.
3. Не остались ли там файлы уволенных сотрудников.

Зафиксируйте результаты и начните действовать.

Отчет аудитора — ваш план по устранению финансовых рисков. Каждая уязвимость, будь то слабый пароль, открытый порт или устаревшее ПО — это потенциальная статья расходов.

Внедрение MFA и политики сложных паролей снизит риски на 50–70%.

Так после аудита мы внедрили единый менеджер паролей для всей команды и обязательную MFA. Это было болезненно только первые 2 недели, а уже через месяц стало новой нормой.

Организуйте обучение сотрудников — самый дорогой и самый слабый фаервол

Только 27% россиян имеет хороший уровень цифровой грамотности. Поэтому ругать сотрудника за то, что он не разбирается в цифровых рисках бессмысленно — ответственность за обучение и правила безопасности лежит на руководстве, которое не инвестирует в обучение своих работников.

Именно поэтому до сих пор срабатывают простые сценарии атак, например:

• фишинговая ссылка в письме от «партнера» с доменом compieto.ru вместо completo.ru;
• установка APK-файла из Telegram якобы для обновления мессенджера,

которые фактически открывают хакерам доступ к вашему бизнесу.

В связи с этим рекомендуем:

1. Организовывать регулярные короткие тренировки с симуляцией атак.

Раз в квартал отправляйте учебные фишинговые письма. Того, кто «клюнул», не наказывайте, а дополнительно обучайте.

В нашей практике после первой волны тестов «попались» 40% сотрудников. После трех циклов — < 5%

2. Ввести четкий протокол «красных флагов».

Призывайте обращать внимание на:

• Домен. Любое письмо с опечаткой в домене (yandex.ru → yandeks.ru) должно удаляться.
• Ссылку. Если при наведении курсора всплывает подозрительный URL (bit.ly/скрытая-угроза), не кликать на нее.
• Вложения. Файлы из неподтвержденных источников, особенно расширения .exe, .apk, .scr, не должны открываться.
• Мессенджеры. Любой файл, ссылка или запрос данных через Telegram или WhatsApp от «коллеги» должны проверяться голосовым звонком.

3. Внедрите культуру немедленного сообщения.

Сотрудник должен знать, что если он случайно кликнул на ссылку или ввел пароль на подозрительном сайте, его не накажут, но он должен немедленно сообщить об этом в IT-отдел.

Молчание из-за страха наказания стоит компании в сотни раз дороже

Безопасность — это не проект, а процесс

Внедрение безопасности не производится раз и навсегда. Это ежедневная управленческая дисциплина, такая же, как контроль cash flow или анализа конверсий.

Что можно сделать для повышения безопасности уже в ближайшие 72 часа:

1. Включите многофакторную аутентификацию (MFA) на корпоративной почте и в облачных сервисах. Это блокирует 99% автоматических атак.
2. Запустите проверку паролей. Используйте сервисы, чтобы выяснить, не были ли пароли сотрудников скомпрометированы в публичных утечках.
3. Проведите 15-минутный брифинг для команды на тему: «Как не отдать хакерам доступ к CRM».
4. Назначьте ответственного за информационную безопасность, который будет отчитываться лично вам раз в месяц.

И помните, что ваш бизнес защищен ровно настолько, насколько защищен самый невнимательный сотрудник в самой загруженный день квартала.

Система безопасности, которая не учитывает человеческий фактор, — это не система, а дорогая игрушка для самоуспокоения. Время игр кончилось, пора переходить к конкретным действиям: настраивать процессы, обучать людей и закрывать реальные риски

Больше статей на тему бизнеса и digital публикуем в Telegram-канале, сообществе Вконтакте и блоге Комплето. Подписывайтесь!

P.S. Читайте также:

500 млн штрафа? Чем опасны утечки персональных данных и как их избежать

Digital-новости: рост популярности Threads*, падение охватов ВКонтакте и недоверие к ИИ-контенту

Как правильно повысить цены в 2026 году и не остаться без клиентов