Не секрет, что для организации защиты конфиденциальной информации компании нужна хорошая, качественная DLP–система, которая в руках грамотных специалистов и сможет стать отличным средством, обеспечивающим защиту конфиденциальных данных. Но бывают случаи, что на такую DLP-систему у компании просто нет финансовых средств. И что же в таких случаях стоит делать специалистам по информационной безопасности? Об этом мы расскажем ниже.
DLP-системы в наше время являются дорогостоящими продуктами, требующими долгого, опять же, дорогостоящего процесса внедрения. Компании очень часто стараются сэкономить, дабы не тратить большие деньги на установку полноценной системы защиты данных. Это, конечно же, не лучший выход, но иногда просто другого варианта нет – финансов у компании в наличии нет, при том, что информационную безопасность обеспечить все равно нужно. Вот в таком случае остается руководствоваться понятными и простыми правилами, которые позволяют хотя бы минимизировать риски возникновения утечек информации из компании.
Ограничение доступа
Права доступа – самая настоящая основа информбезопасности. Разумные ограничения данных прав в нештатных ситуациях могут выразиться в неожиданных последствиях, неприятных для работы организации.
Нормальной ситуацией является организация доступа основным информационным ресурсам только для нескольких работников. Организация доступа обычно гарантируется при помощи методов специальной парольной защиты данных, которые основаны на известных сегодня криптографических алгоритмах. В случае утери пароля для его восстановления может потребоваться собрать комиссию, включающую некоторое количество ответственных сотрудников, имеющих доступ к нужной пользователю конфиденциальной информации. В том, что касается гарантии информационной безопасности, этот подход является замечательным, надежным и удобным. С другой стороны, если утеря пароля происходит в период, критически важный для бизнеса, то столь серьезное разграничение прав доступа уже повредит работе компании.
Сложности в плане разграничения доступа возникают и тогда, когда нужно восстановление защищенных данных, утерянных во время вирусной атаки или системного сбоя. В большинстве случаев специалист, занимающийся восстановлением данных, не обладает правами на доступ к данным. В то время как защита с использованием штатных средств операционной системы или с применением аппаратного обеспечения в итоге может вести к затруднениям при восстановлении информации или же даже к невозможности ее восстановления.
Что же нужно делать в таких случаях? Самой удачной идеей мы бы назвали делегирование специалистам по информационной безопасности каких-то определенных полномочий, нужных для раскрытия паролей в ситуациях, когда это действительно необходимо для нормальной работы фирмы. Хранение паролей при желании можно организовать в стиле «черного ящика». Сами специалисты не будут иметь доступа к этим паролям, но смогут при возникновении такой необходимости предоставить доступ некоторым сотрудникам.
Защита информации для сетей беспроводной связи
Беспроводные сети в компаниях сегодня также являются источниками утечек информации, если данные, которые передаются по таким сетям, не обладают защитой с помощью шифрования. Для того чтобы уменьшить риск таких утечек, не нужно вкладывать большие финансовые средства.
Беспроводные соединения при помощи мобильного девайса и стационарного ПК, или же с помощью двух мобильных девайсов очень комфортны в работе, главным образом потому, что избавляют сотрудника от проблемы «запутывания» в проводах при работе. Однако безопасность беспроводного соединения обеспечить гораздо сложнее, нежели проводного, так что нужно заранее принять необходимые меры. Обычно в техническом плане это меры не очень сложные.
И тем удивительнее, что очень многие организации сегодня, задействуя в работе беспроводную сеть, не желают даже затратить какое-то время на то, чтобы установить шифрование трафика в своей сети. Без данного шифрования трафик является легкой добычей для любого человека. Практика демонстрирует, что зачастую незащищенность корпоративной сети передачи данных является и поводом для подсоединения к ней любителей использовать бесплатный интернет, так и хорошим шансом на кражу из компании финансовых отчетов, а также персональных данных и различных бизнес-планов. Фактически, незащищенность корпоративных сетей является причиной для утечки информации.
В общем и целом, защита сетей для беспроводной передачи данных – довольно обширная тема, требующая более детального изучения в отдельных материалах. Необходимо помнить, что использование беспроводной сети непременно должно включать аутентификацию сотрудников, а также шифрование трафика и, вполне возможно, не лишним будет «закрытие» беспроводной сети от любопытных сторонних пользователей. С использованием этих простых принципов безопасности ваша беспроводная сеть станет надежным помощников и надежным же союзником в вашей работе.
Немного о кадровой безопасности
Многие руководители предпочитают считать, что далеко не каждый сотрудник их компании потенциально может быть инсайдером. В русском языке этот термин носит негативный оттенок, который придает этому слову «привкус» преступления. И зачастую это так и есть, потому что инсайдер совершает различные противоправные действия. На самом деле, инсайдер может думать иначе, считая себя неким «мстителем», который наказывает работодателя за какие-то обиды, нанесенные или самому инсайдеру, или другим людям.
Как считают специалисты по информационной безопасности, основывающиеся на долгом опыте работы, даже самые преданные сотрудники могут быть виновны в утечке конфиденциальных данных. Потому и нет смысла составлять «белые» списки работников – отсутствие контроля может быть оправдано исключительно для высшего звена руководителей организации, да и в данном случае – с оговорками. Иногда даже высшее руководство может быть организатором утечек информации.
Потенциального инсайдера очень часто может распознать и опытный кадровик. К примеру, случается, что сотрудник довольно часто переходит из одной организации в другую, причем эти компании конкурируют друг с другом. При переходе данный сотрудник сразу «зарабатывает» повышение – это заставляет приглядеться к человеку повнимательнее, потому что нормальный сотрудник дожидается карьерного роста, и трудится ради этого сколько нужно для своей компании. А вот человек, который ищет условия где получше, обычно не чист на руку.
Стоит проверять кандидатов на работу с помощью сотрудников отдела информационной безопасности. У многих из новых кандидатов могут указываться утечки данных, что также является весомым поводом для отказа им в получении вакантной должности.
Итоги
Когда в компании нет собственной DLP-системы, то избегать утечек данных бывает довольно сложно, часто это становится и вовсе невозможно. Потому, если есть такая возможность, то DLP-систему нужно купить. Но если же системы такой пока нет, то вы можете попробовать немного уменьшить риск возникновения утечек данных с помощью простых методов, которые описаны выше. Это гораздо лучше, нежели вовсе не предпринимать ничего.
