Руководители компаний назвали слабые звенья в информационной безопасности

Журналист «Российской газеты – Экономика Северного Кавказа» Максим Сухарев задался вопросом: как работают компании с сотрудниками, чтобы избежать рисков информационной безопасности. Итоги опроса приводит в статье.

По статистике, утечки данных чаще всего связаны с непониманием сотрудниками возможных последствий нарушения правил информационной безопасности. Именно человеческий фактор приводит к распространению конфиденциальной информации.

«Проводя многочисленные аудиты, внедряя системы обучения по информационной безопасности, наша компания накопила большой опыт по работе с сотрудниками различных организаций. Меры, для предотвращения утечек, должны быть только комплексными, нельзя шить «лоскутное одеяло», не понимая общей стратегии», - отмечает коммерческий директор системного интегратора ARinteg Дмитрий Слободенюк. По его словам, сотрудники могут "слить" очень ценную информацию, которая для него кажется «обыкновенной», по незнанию или из корыстных побуждений. Чтобы этому противостоять, компаниям необходимо вырабатывать внутреннюю политику информационной безопасности.

- Нужно внедрять локальные нормативные документы, адаптированные к бизнес-процессам конкретной компании. Всех сотрудников при приеме на работу надо с ними знакомить под роспись, иначе их просто пробегают глазами. Также необходимо обучать и поощрять персонал. Например, устраивать проверочные фишинговые атаки, а затем премировать сотрудников, которые не попались на уловку, - подчеркнул Слободенюк. - Практика показывает, что даже при тестовых фишинговых атаках, о подготовке которых сотрудников заранее предупреждают, не бывает, как правило, 100 % результата, все равно находятся те, кто открывает подобные письма.

Виртуальные атаки стали обыденностью как для коммерческих компаний, так и для государственных организаций. Причем на практике оказывается, что даже если сотрудники заранее предупреждены о фишинговой атаке, то все равно находятся те, кто открывает подобные письма. По статистике, после внедрения системы анализа риска примерно в 40 процентах компаний отмечается сокращение количества инцидентов в ИБ, в 33 - снижение потерь от них, в 28 - сокращение расходов на ликвидацию их последствий.

Сегодня на рынке есть как универсальные системы обучения по информационной безопасности, доступные от 10-100 лицензий, так и курсы, которые производитель может адаптировать под конкретные нужды компании, но это доступно, скорее, крупным корпорациям. Если говорить о том, какая доля компаний к ним прибегает, то, по моей оценке, она пока, к сожалению, минимальная – 8-10 %. Многие руководители склонные недооценивать риски информационной безопасности.

И наконец, проводить «полевые занятия». Например, можно разбросать несколько флешок по офису и посмотреть, какой процент сотрудников принесет их в службу безопасности. По нашему опыту, таких единицы – не более 20%. Остальные откроют флешки или дома, или на работе. Если поместить туда «безвредные» вирусы, то статистика будет очень наглядной.

И безусловно, компаниям необходимо внедрять специальные средства контроля за утечками, так называемые DLP-системы. От вредоносов, которые могут проникнуть через сотрудников в корпоративную сеть, тоже необходимо защищаться. Внедрение антивирусов, «песочниц» и т.п. средств позволит обезопасить информацию от атак извне.

Еще лучше – использовать систему реагирования на инциденты – SOAR. Это системы, которые сейчас набирают популярность и дополняют возможности систем управления информационной безопасности (SIEM).