+7(343) 344-34-20
г. Екатеринбург, ул. Горького,
дом 65, офис 296
Online-заказ

Информационная безопасность для бизнеса: от простого к сложному. Часть 2. Создание системы

19 Сентября 2020

В первой части мы ответили на вопрос, почему каждой компании, работающей в сети, нужно защищать свои данные. Во второй рассмотрим, как минимизировать риск встречи с хакерами и мошенниками и при этом не разориться на средствах безопасности.

Безопасность «на минималках»

Когда нужно недорогое, а лучше бесплатное решение проблемы, можно обеспечить приемлемый уровень защиты данных и сайта такими мерами:

  • Нанять сисадмина. Грамотный специалист проконтролирует безопасность интернет-подключений и передачи данных, поможет организовать раздельный доступ к сайту и базам, уберет лишние каналы подключения и сервисы, перегружающие сеть и делающие ее уязвимой. На таком сотруднике лучше не экономить, особенно при использовании типовых бесплатных средств защиты.
  • Выбрать выделенный хостинг. Во-первых, на сайт не будут влиять «соседи» по хостингу, которые могут быть атакованы хакерами или скомпрометированы. Во-вторых, на сайт не будет совершено нападение через этих «соседей». Как следствие, вы не будете рисковать безопасностью сайта и не обнаружите внезапные блокировки от хостинга или поисковых систем. Подробнее о выборе провайдера рассказано в этой статье: https://m.promoteh.ru/articles/_aview_b820
  • Установить плагины для сайта. Для многих популярных CMS есть специальные платные и бесплатные плагины, обеспечивающие базовую защиту от известных атак и вирусов. Этим стоит воспользоваться, когда не нужно чего-то большого и сложного.
  • Установить антивирусы на ПК. Банально, но факт: этим, равно как и лицензионным ПО, нередко пренебрегают. И это тем более актуально во времена, когда многие остаются на удаленной работе и используют домашние компьютеры с неизвестной степенью защищенности. Стоит проконтролировать наличие антивирусов как на рабочей технике, так и на личных ПК и ноутбуках, если на них ведется работа.
  • Обновлять все ПО и плагины. Как мы уже говорили в первой части, нельзя просто поставить и забыть про все вышеперечисленное. Обновления выпускаются, в том числе, для устранения обнаруженных уязвимостей ПО, а антивирусам необходимы актуальные базы, иначе толку от них немного. Поэтому игнорировать обновления не следует.
  • Организовать резервное копирование. Всегда что-то может пойти не так, поэтому копии сайта и баз данных необходимы. Делать их самостоятельно или с помощью хостинг-провайдера, хранить на своих серверах или в «облаке» — решать уже вам и вашему сисадмину. О том, что, когда и как сохранять, мы рассказывали здесь: https://m.promoteh.ru/articles/bekapy-dlya-biznesa-chto-kogda-i-kak-sokhranyat/  

И, конечно, необходимо усилить бдительность. Даже крупные компании и серьезные организации становятся жертвами сетевых мошенников, искусно прикидывающихся контрагентами и перспективными партнерами. К примеру, американец Кимати Ким сумел выманить более 300.000 долларов у Electrolux, а правительство Пуэрто-Рико чуть не отдало мошенникам 2,6 миллиона долларов. И все потому, что обманщики подделали электронные письма от подрядчиков.

При любом бюджете важно помнить, что ИБ зависит от каждого сотрудника. Если они:

  • открывают подозрительные письма со вложениями;
  • переходят по сомнительным ссылкам;
  • не умеют отличать поддельные сайты;
  • не меняют пароли;
  • не обращают внимание на подозрительные странности в работе программ и сайта;
  • могут стать жертвами социальной инженерии;

стоит потратить время на обучение так называемой сетевой гигиене.

Все перечисленное — это базовые меры защиты данных. Ими могут воспользоваться все, от начинающих до развивающихся МСБ. Но рост и развитие нередко влекут за собой необходимость более серьезной системы ИБ. Как быть в таком случае?

Когда нужно большее

Есть два основных варианта организации системы ИБ под растущие требования:

  • Готовые сервисы. С относительно недавнего времени можно отдать полномочия по обеспечению защиты данных и сайта на аутсорс. Специалисты предоставят «облачное» пространство и организуют его защиту. Плюс такого решения — нужно думать только о выборе подрядчика и о регулярной оплате его услуг. Минус очевиден: при неправильном выборе есть риск потерять данные с непредсказуемыми последствиями.
  • Собственный отдел ИБ. Не следует путать это подразделение с ИТ-отделом. Безопасник — это отдельная специальность. И важно организовать работу так, чтобы требования отдела ИБ не игнорировались остальными сотрудниками. Даже если для них слишком утомительно придумывать новый пароль раз в три месяца.

У каждого варианта есть свои достоинства и недостатки. Хороший готовый сервис поможет решить проблему защиты данных быстро и сравнительно доступно. Однако со временем может потребоваться больше, чем он в состоянии предоставить.

Создание собственного отдела, пусть даже из одного человека — это первый камень в фундаменте серьезной и надежной системы. При условии, что специалист действительно знает свое дело и другие сотрудники понимают важность его работы.

Что выбирать? Зависит от текущей ситуации и планов развития. Можно воспользоваться услугами сервиса и понять, достаточно ли их для спокойной работы. А впоследствии, при расширении и развитии бизнеса задуматься о создании собственной системы безопасности. Если принять решение сложно, на помощь могут прийти сторонние эксперты по ИБ. 

Чем помогут эксперты?

К специалистам стоит обратиться, когда готовых и простых решений явно недостаточно, но и не вполне ясно, что делать дальше. У них можно получить:

  • Аудит имеющейся системы ИБ. Он пригодится, даже если кажется, что все в порядке. Специалисты проверят работоспособность системы, ее соответствие бизнес-процессам и особенностям хранения данных компании, полноту и качество защиты. Может оказаться, что простых решений недостаточно. Но и дорогие меры не всегда окупаются. Аудит покажет, что стоит исправить.
  • Оптимальный набор средств. После аудита советы по выбору мер защиты точно не будут лишними. Эксперты, знакомые со спецификой работы разных компаний, подберут достаточный набор инструментов и профилактических мер — оптимальный и по надежности, и по стоимости.
  • Варианты масштабирования. Если система нужна «на вырост», стоит заранее подумать о способах ее расширения. И это не только сайт и компьютеры. Система ИБ может включать в себя защиту данных сотрудников на предприятиях со СКУД, хранение и защиту данных о правах виртуального и физического доступа к информации и оборудованию и другое. Это актуально на производствах и при работе с большим количеством важной информации.
  • Особые решения. К примеру, нужно контролировать, как и что передают сотрудники друг другу по внутренней сети. Для этого есть специальные DLP-системы, отслеживающие содержимое файлов. Или требуется постоянно следить за рабочими местами операторов call-центра, не допуская утечек полученной информации. Тогда потребуется программное обеспечение, считывающее изображения на мониторах и нажатия на клавиши, а также средства защиты базы таких данных от посторонних и от своих. Есть и другие особые ситуации, разобраться с которыми помогут эксперты по ИБ.

Могут возникнуть и другие вопросы о построении системы безопасности, например, о выборе тех или иных решений не только по надежности, но и по удобству в работе. В любом случае лучше посоветоваться со специалистами, чтобы потом не было мучительно больно из-за неправильного выбора.

В заключение

Мы рассмотрели разные способы защиты данных и увидели, что простые решения доступны каждому, кому важно сохранить ПДн, коммерческую тайну и другую информацию. И даже если требуется что-то серьезнее, есть варианты не разориться, например, использовать готовые сервисы с оптимальным тарифом или обратиться к экспертам за советами по построению достаточной по надежности системы. Но каким бы ни был уровень ИБ, по-прежнему многое зависит от элементарной бдительности и аккуратности сотрудников.


Информационная безопасность для бизнеса: от простого к сложному. Часть 2. Создание системы

 
ссылка на эту статью:

Обратная связь

Нажимая "отправить" я соглашаюсь на обработку моих персональных данных
Положение об обработке персональных данных