Культура информационной безопасности − необходимая составная часть информационной защиты компании

Как заставить сотрудников не записывать пароли на бумажке и не оставлять конфиденциальные документы на столе?
Как выстроить в компании культуру информационной безопасности? Как привить сотрудникам эту культуру?

Сегодня любая компания, являясь частью информационного общества, ощущает необходимость защиты одного из главных своих активов – информации. Такая защита не может быть эффективной, основываясь только на формальных технических решениях. Необходимо выстраивание в организации общей культуры информационной безопасности (ИБ): у каждого сотрудника должно быть ощущение ценности информации, понимание, зачем и почему именно таким образом внедряются те или иные процедуры информационной защиты, порой причиняющие неудобство. Привитие такой культуры может стать первым шагом в систематизации подходов и действий по защите информации в компании, где ранее ничего не делалось в плане информационной безопасности. Даже без технических мероприятий, внедрение культуры ИБ само по себе снижает риски в этой области.

Всем знакома пословица «Пока гром не грянет, мужик не перекрестится». Это высказывание как нельзя лучше характеризует состояние дел и отношение к ИБ во многих компаниях. Пока угроза не реализуется, многие руководители считают, что ее как бы нет. А о простых сотрудниках и говорить не приходится, «моя хата с краю» − еще одна поговорка, которая характеризует отношение персонала к защите информации как нельзя лучше. Именно для перелома в сознании, для того чтобы меры ИБ воспринимались как неотъемлемый компонент успешного развития фирмы, и нужна культура ИБ.

XXI в. оказался переломным во многом. Впервые в мировой истории нематериальная вещь обрела реальную ценность. Информация стала стоить денег, причем немалых. Сейчас вопрос о том, так ли уж необходима защита конфиденциальных данных, в любой компании перешел в разряд риторических. И дело не только в законах, регуляторах или штрафах. Пришло понимание, что сегодня информация может влиять на все сферы – от общественного мнения до котировок акций на бирже.

Наглядней всего объяснить необходимость защиты информации можно языком цифр, показав, к каким потерям в денежном эквиваленте может привести утечка «секретов» компании или искажение данных. Существует целый список возможных рисков для подобной ситуации. Некоторые из них легко поддаются финансовой оценке, другие опираются на статистические показатели и отражают лишь приблизительные значения. В целом перечень негативных последствий для компании в результате утечки, искажения или потери данных выглядит следующим образом:

• прямые финансовые потери из-за недополученной выгоды;
• ослабление позиций в конкурентной борьбе;
• увольнение «провинившихся» сотрудников;
• ухудшение имиджа компании; утрата технологических секретов
• необходимость затрат на устранение последствий;
• судебные иски, поданные клиентами против компании;
• санкции контролирующих органов;
• снижение числа новых и отток существующих клиентов.

Все это приводит к реальным финансовым убыткам. К сожалению, многим организациям все чаще приходится сталкиваться с последствиями утечек из вышеуказанного списка. Среди них SONY, Citibank, AT&T и многие другие. Некоторые компании просто были излишне уверены в своей безопасности. Другие стали жертвами хакерской «волны справедливости», а кто-то банально не уделял должного внимания обучению своих сотрудников. Так или иначе, но плата за ошибки в этом случае велика. Как известно, болезнь легче предупредить, чем лечить. Поэтому рассмотрим основные принципы создания эффективной системы информационной безопасности и способы ее «популяризации» среди сотрудников.

Подготовительный этап

На предварительном этапе подготовки как нельзя лучше работает принцип «сначала семь раз подумай – только потом делай». Другими словами, прежде чем доставать кошелек и обращаться к интеграторам, нужно хорошенько поразмыслить над тем, что именно требуется защищать и как это лучше сделать.

В первую очередь необходимо организовать разделение прав доступа к информации. Эта задача выполнима собственными силами и не требует серьезных финансовых вливаний. Тем не менее разделение прав доступа жизненно необходимо. Менталитет нашего человека таков, что если на скамейке написано «окрашено», то туда не ткнет пальцем только ленивый. Точно так же и с секретной информацией. Поэтому чем меньше «соблазнов» будет у сотрудника, тем лучше.

Второй важной задачей в построении корпоративной «крепости» является организация мониторинга каналов передачи информации. Согласно результатам исследования Ipswitch File Transfer Division, лишь 20 % участников опроса из числа руководителей IT- компаний осуществляют контроль за перемещением файлов и данных внутри систем и вне стен компаний. При этом 31 % опрошенных указали, что теряли накопители, мобильные или иные устройства с секретными файлами.

Однако мониторинг информационных каналов без комплексного подхода будет малоэффективен. Нет смысла ставить в доме бронированную дверь, если у здания только три стены. Это значит, что если вы контролируете корпоративную почтовую переписку, но не уделяете внимания мониторингу сменных носителей, то не стоит спешить радоваться отсутствию инцидентов. Вполне возможно, информация «утекает» на флешках сотрудников. Лучше всего организовать мониторинг всех каналов помогают специализированные программные решения, получившие название DLP-системы (от англ. Data Leak Prevention – системы предотвращения утечек информации). В их функционал входит мониторинг почтовой переписки, документов, отправляемых на печать, контроль съемных носителей, интернет-мессенджеров (в том числе и Skype) и многое другое. Некоторые системы, такие как «Контур информационной безопасности SearchInform», имеют модульную структуру. То есть, если компания желает мониторить только некоторые каналы передачи информации, подобное решение поможет сэкономить. К примеру, на закрытых объектах, где доступ к сети Интернет закрыт, не имеет смысла ставить средства контроля браузеров и мессенджеров. В этом случае следует уделить внимание сменным устройствам, документам, отправляемым на печать и ноутбукам.

Наконец, третьей проблемой информационной безопасности компаний, доставляющей на сегодняшний день наибольшую головную боль руководителям, считается использование персоналом для работы личных мобильных устройств. Явление это получило название «консьюмеризация». Все чаще люди приобретают новые мобильные устройства с оглядкой на то, что их можно будет как-то задействовать при работе. По данным Forrester Research Inc., большинство сотрудников американских компаний (77 %) выбирают себе смартфон именно с этой целью. Эта концепция BYOD (Bring Your Own Device) имеет свои положительные и отрицательные моменты. С одной стороны, сотрудники, получив доступ к корпоративным данным, могут работать из любой точки мира, тем самым повышается эффективность труда. Однако в случае утери мобильного устройства, риск утечки информации существенно возрастает.

Вот перечень типичных данных, хранящихся в смартфоне среднестатистического менеджера:

• Пароли доступа к почтовым ящикам и прочим сервисам.
• Интернет-мессенджеры (логины/пароли, история переписок, списки контактов).
• Документы и заметки.
• Адресная книга.
• Пароли и учетные записи для удаленного доступа к корпоративному рабочему месту.
• Мобильный и SMS-банкинг.

Что будет, если эти данные станут известны кому-либо еще?
На сегодняшний день решение проблемы выглядит дорогим и громоздким. Компании, разрешающие сотрудникам использовать на работе личные мобильные устройства, сталкиваются с необходимостью предусматривать варианты защиты для самых разнообразных моделей смартфонов и планшетов. Это приводит к тому, что самостоятельно организации не могут обеспечить необходимый уровень безопасности данных. В то же время нынешние системы управления мобильными устройствами (Mobile Device Management, MDM) недостаточно надежны и устареют уже через несколько лет. А ведь никто не отменял вирусы, число которых для Android и iOS увеличивается с каждым днем.

Одним из решений, выдвинутых аналитиками авторитетного издания Gartner, являются технологии под названием «полезные вирусы». Их суть заключается в следующем: секретные данные, обнаружив себя не в том месте (например, на устройстве без соответствующего уровня допуска), смогут сами себя удалять. Пока же действующим вариантом остается выдача сотрудникам единой «доверенной» модели мобильного устройства с заранее установленным софтом, приложениями и средствами защиты. Однако, согласно исследованию компании Forrester Research, в американских компаниях только 25 % сотрудников, использующих мобильные устройства для работы, получили их за счет фирмы. Как думаете, какой процент будет у отечественных компаний?

Стоит отметить, что такие методы, как шифрование информации на мобильных устройствах и съемных носителях, а также организация удаленного доступа к корпоративным системам через VPN, должны рассматриваться в любой компании как необходимые условия успешного ведения дел. Но вернемся к главному вопросу.

Как же привить компании культуру «инфобеза»?

Конкретно для этой проблемы плохо работают демократические решения. Говоря простыми словами, «пряники кончились, остался только кнут». С большой долей вероятности можно утверждать, что сотрудники не будут добровольно выполнять рекомендуемые политики безопасности, даже если они эффективны. Причин может быть несколько. Во-первых, лень. Во-вторых, незнание. И в-третьих, непонимание.

Лень возникает из симбиоза второй и третьей причин. Когда человек не знает и не понимает, зачем нужно выполнять какие-то действия, он начинает их игнорировать. Поэтому так важно проводить неформальные инструктажи по информационной безопасности, по итогам которых работники под роспись принимают правила. Следует подробно объяснять сотрудникам смысл всех дополнительных действий, требующихся от них, а также на примерах показывать, к чему приводит невыполнение политик безопасности. Кроме того, полезным будет регулярно проводить внутренний аудит на предмет выполнения сотрудниками инструкций по ИБ и в случае выявления нарушений взимать штраф. Эта мера считается наиболее результативной при внедрении и контроле правил и политик ИБ, так же как и в других областях.

 По материалам издания «Директор по безопасности»