З розвитком технологій горезвісний людський фактор поки тільки посилюється. Що з цим робити?
Низка відповідей на актуальне питання – у експертній публікації в НВ Бізнес.
Наш стрімко мінливий світ надає нам не тільки неабиякі можливості, а й висуває перед нами нові виклики. Ми використовуємо і зберігаємо сотні додатків на смартфонах, планшетах і комп’ютерах, які створюють глобальний «цифровий безлад». А отже, ставлять під загрозу конфіденційні дані, що зберігаються на них.
Автор: Тетяна Андріанова, член правління Асоціації професіоналів корпоративної безпеки
Свіжий рейтинг компанії Control Risk засвідчив, що одним з найнебезпечніших чинників для бізнесу є саме «цифровий безлад». А головною загрозою була і залишається людина. Горезвісний людський фактор тільки посилюється з розвитком нових технологій. З одного боку, технології допомагають людям швидше адаптуватися, надають нові формати організації роботи та нові підходи до управління. Але разом з тим життя і робота в середовищі, де дедалі більше функцій зосереджено в смартфоні, вимагає зовсім іншої побудови систем безпеки корпорацій, коли важливо не просто реагувати на загрози, а й прогнозувати сценарії майбутнього. Це перегони на випередження в крутому гостросюжетному бойовику. І бізнесу вкрай важливо завжди приходити до фінішу першим.
Забезпечити компанії можливість виживати і успішно розвиватися в умовах «цифрового безладу» — ось головне завдання служб корпоративної безпеки сьогодні. А завдання керівника — побудувати прозору, ефективну і швидко реагує систему цифрової гігієни, незалежно від масштабів бізнесу.
ДЕКІЛЬКА ПРАКТИЧНИХ ПОРАД
Перше. У компанії мають бути підрозділи, що забезпечують інформаційну, юридичну та фізичну безпеку. Вони повинні захищати бізнес від зовнішніх і внутрішніх загроз.
Зовнішніми загрозами для бізнесу є контролюючі держоргани, конкуренти, промислові шпигуни/шахраї, колишні співробітники тощо. Загроза внутрішньої безпеки існує від співробітників, які навмисно або випадково завдають шкоди компанії (від витоку конфіденційних відомостей до підриву іміджу в бізнес-колах). Навіть випадково висловлена фраза, наприклад, співробітником бухгалтерії в певній ситуації може призвести до дуже небажаних наслідків.
Друге. Визначте, яка саме інформація є конфіденційною для вашого бізнесу, ваші юристи повинні це зафіксувати в регламенті. Співробітники повинні мати доступ тільки до тієї інформації, яка необхідна їм для виконання службових обов’язків. Важливі документи не мають перебувати на робочих столах або навіть в сейфах офісу, оскільки в разі зовнішньої атаки можуть потрапити не до тих рук. Тому я рекомендую: документи, що особливо встановлюють права на матеріальні активи, повинні зберігатися в надійному місці, наприклад в адвокатів.
Далі. Юридичний департамент повинен не тільки забезпечувати режим зберігання документів, а й їхню актуалізацію. Краще, щоб цим займалася окрема людина, відповідальна за своєчасне оновлення інформації. Юристи також повинні постійно моніторити реєстри судових рішень, кримінальних проваджень і реєстр майнових прав.
Перевірка кандидатів перед прийняттям на роботу, повноти та достовірності даних в резюме — теж функція юристів спільно з департаментом фізичної безпеки. При прийнятті на роботу кожен співробітник має підписати зобов’язання про нерозголошення конфіденційної інформації. Не зайвим буде прописати в регламенті правила про робоче місце: відомі випадки, коли приміщення фінслужби відвідали «маски-шоу», а у всіх співробітників на моніторах були папірці з паролями і логінами. Ще одна рекомендація — заборонити використання флеш-накопичувачів пересічними співробітниками, це зменшить ймовірність витоку інформації.
Також необхідно звернути увагу на порядок використання електронної корпоративної пошти. Перше правило — корпоративна пошта є власністю компанії. Одного разу стався такий випадок: співробітник, перебуваючи на робочому місці, негативно висловився про держслужбовця на форумі. Через місяць компанія отримала позов про захист честі, гідності та ділової репутації з компенсацією на декілька мільйонів гривень.
Ви можете контрактом вимагати від співробітників використовувати на роботі лишень корпоративну пошту, однак не зможете постійно контролювати їхню поведінку в соцмережах. Тому зважайте на інформаційну гігієну, проведіть тренінги з «жахливими сценаріями». Наприклад, проаналізувавши світлини з відпочинку, зловмисник може під виглядом реклами готелю надіслати шкідливе ПЗ. Також співробітники мають розуміти, як реагувати в соцмережах, якщо компанія зазнала інформаційної атаки, коли і як потрібно долучитися до захисту, а коли ліпше не реагувати.
Варто закцентувати увагу і на тому, що не можна покладатися на клавішу Delete. Дистанційні дані — всього лише ілюзія. Насправді значна частина «стертої» інформації все одно лишається в пам’яті комп’ютера. І за потреби її завжди можна відновити.
Важливо пам’ятати — тільки злагоджена робота всіх співробітників допоможе створити інноваційну реально діючу й ефективну культуру безпеки та команду, здатну вирішувати складні завдання.