Карта контроля кибербезопасности для персонала
Практика показывает, что рядовой пользователь - самое слабое звено в IT безопасности, но мало кто проводит тренинги для работников о том, как защититься от интернет-мошенничества.
Несмотря на то, что проблема кроется в недостаточной подготовке штата, вину за утечку данных и прочие подобные неприятности возлагают, как правило, на работников IT сферы. Когда в компании долгое время ничего плохого не происходит, работники утрачивают бдительность, и не видят необходимости защищаться от кибер-атак или утраты данных. Они спохватятся лишь когда самое плохое уже произойдет.
А причина в простом факте: кибер-безопасность воспринимается большинством людей как что-то обременительное и необязательное. Конечно, все слышали советы не использовать везде один и тот же пароль, не хранить пароли там, где их кто-то может прочитать и не загружать приложения на рабочий компьютер без согласования с отделом IT, но люди выбирают путь наименьшего сопротивления. IT и HR отделы должны рассказывать остальным работникам, как правильный подход может повысить продуктивность и снизить риски.
Предлагается следующий перечень самоконтроля для обеспечения кибер-безопасности.
Знать свои данные и где они хранятся. Как люди создают, получают и уничтожают информацию? Информация, которая находится в собственности компании, должна быть зашифрована и храниться в безопасном месте. Определите, какие запоминающие устройства съемные, а какие нет. Первые следует зашифровать, после чего стереть, чтобы хакеры не смогли восстановить информацию. Мобильные запоминающие устройства типо дисков CD или USB-флешек использовать вовсе не рекомендуется.
Мониторить. Следите за сетевой активностью, и обращайте внимание на все нестандартное: например, если пользователь, обычно работающий днем, вдруг залогинится поздно ночью.
Следить за третьими сторонами, включая продавцов и консультантов. Пользователи от третьих сторон не должны иметь доступа к системе без открытого наблюдения. В частности, сюда относятся поставщики ремонтных услуг и т.п.
Используйте только ПО из проверенных источников. Не загружайте ничего с интернета, и никогда не устанавливайте программы для удаленного доступа или шифрования без разрешения отдела безопасности. Всегда проверяйте источник загружаемого ПО — хакеры умеют создавать поддельные официальные веб-сайты и даже перехватывать посетителей официальных веб-сайтов ПО.
С особой осторожностью используйте соцсети и частную электронную почту (как Gmail, Microsoft, и т.д.). Дважды подумайте, отправляя секретную информацию или подписываясь на сторонние веб-сайты, и будьте осторожны с сервисами, где хранятся Ваши переписки или где можно публиковать изображения и видео.
Ответственность за осведомленность работников компании об угрозах, которые кроятся в сетевой работе, лежит на IT и HR отделах. Они должны проводить инструктаж и вводить правила безопасности, обязательные для всех.
Подписывайтесь на Telegram-канал "Детектор лжи в бизнесе" https://t.me/hr_security о кадровой безопасности бизнеса, практические кейсы работы с персоналом, риски в действиях и лайфхаки работы с людьми.