Антон Скоков: Топ-3 ошибки при работе с цифровыми инструментами

В октябре Украина и Европа отмечали месяц кибербезопасности. Тотальное проникновение цифровых технологий в обыденную жизнь заставляет серьезно относиться к кибергигиене и защите данных. Как обычных людей, так и компании.

Сегодня поговорим об ошибках, которые все еще допускает бизнес.

Существенной ошибкой является отсутствие системности, когда защита данных не является частью общей стратегии компании.

Какие угрозы могут быть, какие соответствующие сценарии защиты применять в той или иной ситуации? Такой анализ не проводится. И каждая утечка данных или хакерская атака возникают «неожиданно».

Например, вспомните случай заражения вирусом Petya несколько лет назад. Если после этого компания лишь установила антивирусы на компьютеры сотрудников, то это не системность и не стратегический подход к защите.

Базовый комплекс организационных мероприятий, на которых стоит сфокусироваться любой компании, чтобы быть защищенной.

Во-первых, это контроль доступа к различным системам, решениям, с которыми работают сотрудники: от электронной почты до электронного документооборота и цифровых подписей. Должны быть сложные пароли, подтверждения в смс и тому подобное.

Во-вторых, управление своевременными обновлениями программного обеспечения.

В-третьих, рабочие ІТ-процессы. То есть создание и регулярная проверка резервных копий, фиксация действий в системе, защита от вирусов, и тому подобное.

Все основные угрозы, связанные с обеспечением безопасности данных, эти меры покрывают.

Часто компании привлекают в качестве технологических партнеров сторонних подрядчиков. Это понятно, ведь облачные решения и проще, и выгоднее использовать.

Однако важно знать, какие вопросы задать перед тем, как начать сотрудничество. Лишь после того как убедитесь в соблюдении всех требований к безопасности, можно работать.

Составьте чек-лист основных вопросов. Например, как ограничивается доступ к данным клиентов, где и как хранится информация, есть ли резервные копии и проверяют ли их на вирусы.

Оптимально добавить еще вопрос о том, есть ли план реагирования на кризисные ситуации, проводится ли оценка рисков, разработана ли политика конфиденциальности, и кто в компании за нее отвечает.

Даже минимальный опросник, проверяющий выполнение базовых мероприятий, позволит лучше оценить возможные слабые места.

У каждой компании свой уровень приемлемого риска. Поэтому проанализируйте ваши ожидания и ценность, которую даст бизнесу этот подрядчик, даже при отсутствии у него тех или иных процессов и процедур.

Распространенной ошибкой является отсутствие обучения и разъяснений для сотрудников, как безопасно обращаться с цифровыми данными.

Даже если у вас все процессы настроены, и они идеально выполняются, то всегда есть риск, что ваш сотрудник перейдет по фейковым ссылкам, и злоумышленники получат доступ к вашим документам. Или цифровая подпись директора на флешке окажется в чужих руках.

Регулярно обучайте сотрудников и повышайте уровень их киберграмотности. Объясняйте, почему важно беречь личные данные, никому не передавать свою электронную подпись и создавать сложные пароли.

Показывайте, что такое фишинг — добыча логина и пароля с помощью мошеннических сайтов. И как выглядят подозрительные письма. И главное, к кому обращаться в случае сомнительных рассылок или звонков.

Собственные ошибки могут дорого стоить компании. А чужие — неоценимая возможность для развития.

Антон Скоков, руководитель сервиса цифровых решений для бизнеса «Вчасно»

Источник