С развитием технологий пресловутый человеческий фактор пока только усиливается. Что с этим делать?
Ряд ответов на актуальный вопрос — в экспертной публикации в НВ Бизнес.
Наш стремительно меняющийся мир дает нам не только большие возможности, но и ставит перед нами новые вызовы. Мы используем и храним сотни приложений на смартфонах, планшетах и компьютерах, которые создают глобальный «цифровой беспорядок». А вместе с тем- ставят под угрозу хранящиеся на них конфиденциальные данные.
Автор: Татьяна Андрианова, член правления Ассоциации профессионалов корпоративной безопасности
Свежий рейтинг компании Control Risk показал, что одним из самых опасных факторов для бизнеса является именно «цифровой беспорядок». А главной угрозой был и остается человек. Пресловутый человеческий фактор только усиливается с развитием новых технологий. С одной стороны, технологии помогают людям быстрее адаптироваться, предоставляют новые форматы организации работы и новые подходы к управлению. Но вместе с тем жизнь и работа в среде, где все больше функций сосредоточено в смартфоне, требует совсем другого построения систем безопасности корпораций, когда важно не просто реагировать на угрозы, но и прогнозировать сценарии будущего. Это гонка на опережение в крутом остросюжетном боевике. И бизнесу крайне важно всегда приходить к финишу первым.
Обеспечить компании возможность выживать и успешно развиваться в условиях «цифрового беспорядка» — вот главная задача служб корпоративной безопасности сегодня. А задача руководителя- построить прозрачную, эффективную и быстро реагирующую систему цифровой гигиены, вне зависимости от масштабов бизнеса.
ВОТ НЕСКОЛЬКО ПРАКТИЧЕСКИХ СОВЕТОВ
Первое. В компании должны быть подразделения, обеспечивающие информационную, юридическую и физическую безопасность. Они должны защищать бизнес от внешних и внутренних угроз.
Внешними угрозами для бизнеса являются контролирующие госорганы, конкуренты, промышленные шпионы/мошенники, бывшие сотрудники и т. д. Угроза внутренней безопасности исходит от сотрудников, которые умышленно или случайно наносят ущерб компании (от утечки конфиденциальных сведений до подрыва имиджа в бизнес-кругах). Даже случайно оброненная фраза, например, сотрудником бухгалтерии в определенной ситуации может привести к очень нежелательным последствиям.
Второе. Определите, какая именно информация является конфиденциальной для вашего бизнеса, ваши юристы должны это зафиксировать в регламенте. Сотрудники должны иметь доступ только к той информации, которая необходима им для выполнения служебных обязанностей. Важные документы не должны лежать на рабочих столах или даже в сейфах офиса, поскольку в случае внешней атаки могут попасть не в те руки. Поэтому я рекомендую: документы, особенно устанавливающие права на материальные активы, должны храниться в надежном месте, например у адвокатов.
Дальше. Юридический департамент должен не только обеспечивать режим хранения документов, но и их актуализацию. Лучше, чтобы этим занимался отдельный человек, ответственный за своевременное обновление информации. Юристы также должны постоянно мониторить реестры судебных решений, уголовных производств и реестр имущественных прав.
Проверка кандидатов перед приемом на работу, полноты и достоверности данных в резюме — тоже функция юристов совместно с департаментом физической безопасности. При приеме на работу каждый сотрудник должен подписать обязательство о неразглашении конфиденциальной информации. Не лишним будет прописать в регламенте правила о рабочем месте: знаю случаи, когда помещение финслужбы посетили «маски-шоу», а у всех сотрудников на мониторах были бумажки с паролями и логинами. Еще одна рекомендация — запретить использование флэш-накопителей рядовыми сотрудниками, это уменьшит вероятность утечки информации.
Также необходимо обратить внимание на порядок использования электронной корпоративной почты. Первое правило — корпоративная почта является собственностью компании. Был случай: сотрудник, находясь на рабочем месте, отрицательно высказался о госслужащем на форуме. Через месяц компания получила иск о защите чести, достоинства и деловой репутации с компенсацией на несколько миллионов гривен.
Вы можете контрактом требовать от сотрудников использовать на работе исключительно корпоративную почту, однако не сможете постоянно контролировать их поведение в соцсетях. Поэтому уделите внимание информационной гигиене, проведите тренинги с «ужасными сценариями». К примеру, проанализировав фотографии с отдыха, злоумышленник может под видом рекламы гостиницы прислать вредное ПО. Также сотрудники должны понимать, как реагировать в соцсетях, если компания подверглась информационной атаке, когда и как надо включаться в защиту, а когда лучше не реагировать.
Стоит сакцентировать внимание и на том, что нельзя полагаться на клавишу Delete. Удаленные данные — всего лишь иллюзия. На самом деле большая часть «стертой» информации все равно остается в памяти компьютера. И при необходимости ее всегда можно восстановить.
Важно помнить — только слаженная работа всех сотрудников поможет создать инновационную реально действующую и эффективную культуру безопасности и команду, способную решать сложные задачи.