Информационная безопасность для малого и среднего бизнеса.
Недавно еще один мой знакомый бизнесмен в сердцах пожаловался, что кто-то «слил» конкурентам конфиденциальную информацию. Его наработки, позволявшие получить преимущество на рынке, в одночасье стали достоянием «врага». Несколько месяцев кропотливой работы пошли насмарку. Наученный горьким опытом и не имея лишних денег, он стал довольным клиентом компании ИТ-аутсорсинга, заключив договор на абонентское обслуживание.
Мне удалось успокоить знакомого мыслью, что он еще легко отделался. Ведь нередки и случаи пострашнее, например, когда твои менеджеры уходят с полной базой клиентов или база 1С целиком всплывает на компьютере твоего налогового инспектора…
Я говорил с ним о рисках информационной безопасности, об аудите ИТ-безопасности и понял: мой знакомый был обречен только потому, что по незнанию нарушал простые базовые принципы. Хорошо, что он тоже это понял.
Умный учится на чужих ошибках. Давайте их опишем. Но прежде еще раз повторим важный постулат информационной безопасности:
Практически всегда слабое звено – это человек. Какой бы сложной ни была система безопасности, если сотрудник имеет возможность украсть информацию, он ее украдет. Или его заставят это сделать, или подкупят, или он своим разгильдяйством просто создаст благоприятную ситуацию для утечки информации. Решение здесь обычно очень простое: никто из сотрудников никогда не должен получить возможность одномоментно работать со всем массивом данных своей организации.
Как это выглядит в бизнес-реалиях современной Украины?
1. Когда речь заходит о базах данных, у обычного человека почему-то возникает впечатление чего-то сложного, громоздкого и дорогого.
Такое, конечно, встречается. Однако мало кто из бизнесменов отдает себе отчет в том, что электронная таблица Excel со списком клиентов и информацией о них, тоже является базой данных! Вот только проблема в том, что защитить такую таблицу от посягательств сложнее, чем базу данных специализированной программы со встроенными возможностями работы в сети (например, всем известной 1С).
2. Очень часто директор (хозяин) хочет на своем ноутбуке поработать дома, или в дороге.
Системный администратор дает ему доступ ко всей информации, которая копируется и обрабатывается на ноутбуке. Потом ноутбук теряется, или его крадут во время угона машины, или изымают правоохранительные органы во время «маски-шоу» (почему-то они очень любят именно компьютеры и ноутбуки руководителей и бухгалтеров).
Итак, нарушается принцип, что никто и никогда не должен работать с полным массивом информации. «Никто» означает в том числе и директора. Парадокс? Нет! Все очень просто: директор получает доступ к любой информации своей фирмы, но информация хранится и обрабатывается на сервере, а на ноутбук выдается только результат обработки запроса.
Раньше с этим были трудности из-за низкой пропускной способности каналов связи, но теперь это уже совсем не проблема. А после работы ноутбук выключается, связь с сервером разрывается и при следующем включении ноутбук девственно чист и не содержит никакой конфиденциальной информации. Взломщики-воры-злоумышленники могут получить только ноутбук. Жаль конечно его потерять, но информация стоит дороже!
У такой конфигурации системы информационной безопасности есть еще один большой плюс: скорая компьютерная помощь может быть доступна директору в любое время суток. Его системный администратор сможет выполнить любые работы даже из дома и выполнять он их будет на сервере, а не на ноутбуке хозяина.
3. Если фирма достаточно серьезная и большая, то в ней уже появляется начальник службы безопасности.
Как правило это – бывший сотрудник «органов», в задачу которого входит «решение вопросов». Хорошо, если начальник понимает важность и знает риски информационной безопасности, но это встречается редко. Обычно начальник службы безопасности владеет компьютером в лучшем случае как опытный пользователь. Когда системный администратор и начальник службы безопасности не могут найти общий язык, в фирме назревают проблемы. Здесь есть объективные причины: специалисты по организационной и информационной безопасности мыслят по-разному. Если один при этом выше другого по должности, перекос в построении комплексной системы безопасности фирмы обеспечен.
4. Если Ваш бухгалтер обещает доделать работу дома, скопировав на флешку базу 1С, можете смело уволить системного администратора.
И чем скорее, тем лучше! Бухгалтера можно оставить. При таком неграмотном администраторе, бухгалтер скорее всего не был должным образом проинструктирован о потенциальной угрозе информационной безопасности фирмы. Бухгалтер может работать дома (что не очень желательно, но иногда необходимо) на тех же принципах, что описаны выше для ноутбука директора.
5. Есть фирмы, имеющие значительное количество филиалов как по стране, так и в определенном городе.
Очень часто (просто повально для Украины) в каждом филиале (магазине) ведется своя база в 1С, а результаты финансово-хозяйственной деятельности сводятся потом воедино каждый день специальным человеком или целым отделом. Я знаю фирму, где этим занимался отдел из 7 (!) человек. Это - пример неграмотного построения учетной системы. Спокойно увольте всех системных администраторов в центральном и региональных офисах.
6. Конфиденциальную информацию не всегда можно украсть в электронном виде. Иногда ее могут распечатать и вынести сотрудники фирмы.
Если у каждого сотрудника будет свой принтер, противостоять такому способу воровства информации невозможно. Решением в такой ситуации может быть покупка принт-сервера с одновременной грамотной настройкой прав доступа к печати документов. Кроме того, такие системы ведут протокол: кто, что и когда печатал. Если не удастся предотвратить утечку, то хотя бы определить виновного не составит труда. Побочный эффект подобного изменения принципа работы с бумажными документами – сокращение расходов на бумагу почти в 2 (два!) раза. Сотрудники прекратят печатать художественную и учебную литературу для собственных нужд на Ваших принтерах.
Как видите, проблем в работе с конфиденциальной информацией масса. Но выход есть: наймите компанию, предоставляющую услуги ИТ-аутсорсинга. Оценивпреимущества ИТ-аутсорсинга, Вы несомненно придете к выводу о необходимости заключения договора на абонентскоеобслуживание компьютеров,локальной сетиисерверов.
Заказать профессиональные услуги ИТ-аутсорсинга в Харькове Вы можете позвонив нам по телефону 057 751-09-07