Карта контролю кібербезпеки для персоналу
Практика показує, що пересічний користувач - найслабша ланка в IT безпеці, але мало хто проводить тренінги для працівників про те, як захиститися від інтернет-шахрайства.
Незважаючи на те, що проблема криється в недостатній підготовці штату, вину за витік даних та інші подібні неприємності покладають, як правило, на працівників IT сфери. Коли в компанії довгий час нічого поганого не відбувається, працівники втрачають пильність, і не бачать необхідності захищатися від кібер-атак або втрати даних. Вони схаменуться лише коли найгірше вже станеться.
А причина в простому факті: кібер-безпека сприймається більшістю людей як щось обтяжливе і необов'язкове. Звичайно, всі чули поради не використовувати всюди один і той же пароль, не зберігати паролі там, де їх хтось може прочитати і не завантажувати додатки на робочий комп'ютер без узгодження з відділом IT, але люди вибирають шлях найменшого опору. IT і HR відділи повинні розповідати іншим працівникам, як правильний підхід може підвищити продуктивність і знизити ризики.
Пропонується наступний перелік самоконтролю для забезпечення кібер-безпеки.
Знати свої дані і де вони зберігаються. Як люди створюють, отримують і знищують інформацію? Інформація, яка знаходиться у власності компанії, повинна бути зашифрована і зберігатися в безпечному місці. Визначте, які запам'ятовуючі пристрої зйомні, а які ні. Перші слід зашифрувати, після чого стерти, щоб хакери не змогли відновити інформацію. Мобільні запам’ятовуючі пристрої типу CD-диски або USB-флешки використовувати зовсім не рекомендується.
Моніторити. Слідкуйте за мережевою активністю, і звертайте увагу на все нестандартне: наприклад, якщо користувач, зазвичай працює вдень, раптом залогіниться пізно вночі.
Стежити за третіми сторонами, включаючи продавців і консультантів. Користувачі від третіх сторін не повинні мати доступу до системи без відкритого спостереження. Зокрема, сюди відносяться постачальники ремонтних послуг і т.п.
Використовуйте тільки ПО з перевірених джерел. Не завантажуйте нічого з інтернету, і ніколи не встановлюйте програми для віддаленого доступу або шифрування без дозволу відділу безпеки. Завжди перевіряйте джерело завантаження ПО - хакери вміють створювати підроблені офіційні веб-сайти і навіть перехоплювати відвідувачів офіційних веб-сайтів ПО.
З особливою обережністю використовуйте соцмережі і приватну електронну пошту (як Gmail, Microsoft, і т.д.). Двічі подумайте, відправляючи секретну інформацію або підписуючись на сторонні веб-сайти, і будьте обережні з сервісами, де зберігаються Ваші листування або де можна публікувати зображення і відео
Відповідальність за поінформованість працівників компанії про загрози, які криются в мережевій роботі, лежить на IT і HR відділах. Вони повинні проводити інструктаж і вводити правила безпеки, обов'язкові для всіх.
Підписуйтесь на Telegram-канал "Детектор брехні в бізнесі" https://t.me/hr_security про кадрову безпеки бізнесу, практичні кейси роботи з персоналом, ризики в діях і лайфхаки роботи з людьми.