Как защитить бизнес информацию

В информационной базе любой компании хранятся данные, касающиеся результатов ее бизнес-деятельности, а также планов на будущее. Разглашение такой информации может привести к потере преимуществ перед конкурентами, снижению доходов, возникновению производственных конфликтов. Важно обеспечить защиту данных, используя подходящие технические средства и организационные приемы. Необходимо выявлять как внешние, так и внутренние угрозы безопасности, пресекая попытки несанкционированного доступа в информационные системы предприятий.

Требования к информационной защите

Похищая данные компаний, злоумышленники используют их для перепродажи заинтересованным лицам, компрометации и шантажа руководства, физического разорения предприятия. Наиболее ценными для них являются:

• финансовые документы компании (отчеты о расходах и доходах, планы вложения денежных средств);
• результаты экспериментов и исследований, разработки новых технологий;
• пароли и ключи доступа к данным, хранящимся в электронных базах;
• персональная информация о пользователях, имеющих доступ в базу данных компании;
• сведения о клиентах, смежниках и поставщиках сырья.

Для успешной защиты подобных материалов создаются службы информационной безопасности, которые занимаются поиском каналов утечки данных, разработкой организационно-технических методик их обработки и хранения.

Защити свой бизнес. Простой гайд по кибербезопасности

Информационная защита должна отвечать требованиям государственного законодательства и общей политики безопасности предприятия.

Она должна быть:

• Комплексной, учитывающей любые виды возможных нарушений безопасности данных;
• Многоступенчатой. Информация подразделяется по степени важности, а ее защита усложняется по мере возрастания ценности сведений;
• Надежной. Необходимо применение методов защиты, соразмерных с серьезностью угроз. Важно использовать средства, сопоставимые по уровню сложности с теми, что используют злоумышленники;
• Стабильной. Средства защиты должны работать в постоянном режиме при любых внештатных ситуациях;
• Разумной. Применение защитных средств должно основываться на принципах доступности, целостности и конфиденциальности информации. Это значит, что предпринимаемые меры не должны отражаться на скорости обработки данных. Использование программных средств не должно приводить к искажению и утрате сведений, разглашению служебных тайн и персональных данных.

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований.

Виды и причины возникновения угроз информационной безопасности

Угрозы информационной безопасности подразделяют на внутренние (инсайдерские) и внешние.

Основными рисками безопасности являются:

1. Несанкционированный доступ к бумажным, электронным и другим носителям данных. Угроза копирования, похищения, изменения или уничтожения важных сведений;
2. Утечка персональных данных сотрудников и клиентов. Информация может быть использована для шантажа, компрометации, нанесения материального ущерба, входа в служебные информационные системы;
3. Внедрение в электронные устройства , с помощью которых производится обработка информации, вредоносного программного обеспечения . Возможно кодирование, намеренное повреждение файлов;
4. Установка шпионских компьютерных программ , атаки хакеров;
5. Отказы в работе охранного оборудования и электронных устройств, возникающие из-за непредвиденных ситуаций (аварий и катастроф);
6. Использование злоумышленниками технических (электромагнитных, оптических, акустических) средств разведки, похищения информации .

Угрозу информационной безопасности компании представляет использование нелицензионного программного обеспечения. Причиной является отсутствие возможности обновления программ, невозможность проверки подлинности приложений, отсутствие технической помощи со стороны разработчиков ПО.

НОУ-ХАУ секреты производства. Как защитить бизнес и интеллектуальную собственность

Иногда причиной разглашения конфиденциальной информации становятся действия органов правопорядка. При проведении проверок деятельности предприятий или расследовании уголовных преступлений изымается важная документация и компьютерные носители с ценными коммерческими данными, которые могут стать доступными для злоумышленников. Меры защиты от подобной угрозы законодательством не предусмотрены.

Причинами возникновения угроз могут быть действия посторонних лиц, а также нарушения требований безопасности со стороны легальных пользователей (сотрудников или совладельцев бизнеса).

Причины появления внутренних угроз безопасности

Инсайдерские угрозы чаще всего возникают из-за небрежности персонала, оставляющего без присмотра важные документы, электронные устройства.

Причиной утечки данных может быть некомпетентность сотрудников в вопросах обеспечения информационной безопасности или пренебрежение правилами работы на служебных компьютерах. Опасность потери сведений, важных для компании, может возникать при посещении пользователями посторонних сайтов, запуске случайных приложений, использовании служебной почты и каналов связи для передачи личной информации. Возникает риск ее нежелательного распространения, случайного копирования, открытия фишинговых ссылок или вирусного заражения компьютера.

Большую угрозу представляет умышленное рассекречивание конфиденциальных сведений пользователями информационных баз предприятий.

К категории пользователей-злоумышленников относятся:

1. Сотрудники, имеющие доступ к ценным материалам, сознательно передающие данные заинтересованным лицам с целью получения денег;

2. Работники, пониженные в должности или кандидаты на увольнение. Они могут намеренно похитить информацию, чтобы передать ее третьим лицам, желая отомстить руководству предприятия;

3. Шпионы – люди, специально устраивающиеся на работу, чтобы получить доступ к секретной информации. Обычно это профессионалы, знакомые со спецификой производства, компьютерными технологиями и особенностями программно-аппаратной защиты информации.

Меры информационной защиты

Осуществлением и разработкой мер организационно-технической и программно-аппаратной защиты коммерческих данных занимаются службы информационной безопасности.

Организационные мероприятия

К организационным мерам относятся:

• Создание инструкций по использованию компьютерной техники, обработке и хранению конфиденциальной информации;
• Знакомство персонала с правовыми и этическими нормами, касающимися информационной сферы;
• Составление трудовых договоров, в которых говорится об ответственности за нарушение правил работы с секретными данными;
• Разработка правил использования и хранения бумажной и электронной документации;
• Разграничение доступа пользователей к информации и наблюдение за их действиями в сети.

Технические меры

Для предупреждения непредвиденных ситуаций, создающих риск утечки важной информации, монтируются системы резервного электропитания, принимаются меры пожаробезопасности и защиты от стихийных бедствий.

Монтируются устройства сигнализации, видеонаблюдения, предотвращения доступа посторонних на территорию предприятия. Оборудуются системы допуска с идентификацией по отпечаткам пальцев или специальным картам.

Приобретаются программно-технические устройства для резервного копирования важной информации, обеспечения ее сохранности, своевременного уничтожения в случае необходимости.

Меры программно-аппаратной защиты

• Приобретение, установка и обновление программного обеспечения для безопасного сбора, хранения и обработки коммерческой информации;
• Разработка методов обнаружения и их предотвращения компьютерных угроз;
• Установка программ идентификации, аутентификации сотрудников, контроля активности использования приложений, маскировки данных, передаваемых по информационным каналам.

Программные средства обеспечения безопасности информации

К специализированным средствам программной защиты относятся:

1. Антивирусные программы. Они позволяют обнаружить вирусы, трояны и черви, проникающие в компьютерную систему через почту, зараженные сайты, ПО и электронные носители. Антивирусы блокируют вредоносные программы, восстанавливают поврежденные файлы. Используются специальные антивирусы для защиты облачных хранилищ, такие как Immunet, Panda Cloud Antivirus;

2. DLP-системы – программы для предотвращения внутренних угроз. Система анализирует информацию, разделяя ее по степени конфиденциальности. Проводит мониторинг событий в информационной системе и блокирует подозрительные действия пользователей;

3. Анти-DDoS – защита от ложных запросов, с помощью которых злоумышленники блокируют информационные ресурсы. Мошенники намеренно перегружают компьютерные системы массой бесполезных данных, замедляя их работу или делая серверы недоступными. К такому приему прибегают, чтобы помешать работе конкурентов или отвлечь системных администраторов от других действий (например, кражи денег со счетов клиентов банка);

4. UEBA – системы отслеживания поведения пользователей в сети и обнаружение их подозрительной активности;

5. SIEM – программные средства защиты для мониторинга в реальном времени, обнаружения угроз, исходящих от сетевых приложений и устройств, и своевременного реагирования на инциденты. Система оповещает о подозрительных событиях и предоставляет отчеты;

6. Программы криптографической защиты (системы шифрования DES, AES, протоколы WPA/WPA2);

7. Межсетевые экраны контроля доступности сети, фильтрации и блокировки подозрительного трафика. Они устанавливаются в виде встроенных программ или отдельных программно-аппаратных устройств;

8. Прокси-серверы – посредники между пользователями и интернет-сетями. Информация передается через промежуточный сервер, фиксирующий IP-адрес, с которого поступает запрос. При этом предотвращается доступ пользователей к подозрительным сайтам, исключается возможность анонимной отправки сообщений;

9. VPN – системы защиты, с помощью которых можно передавать зашифрованную информацию через общедоступную сеть по частным каналам. Такая связь позволяет организовать безопасный обмен информацией между компанией и ее филиалами, не раскрывая их местоположения;

10. Ловушки DDP – комплекс программ, имитирующих структуру реальной информационной системы. Вместо настоящей ИС злоумышленник атакует вымышленную систему, которая способна блокировать вредоносное воздействие;

11. NFT – средства обнаружения сетевых атак для юридического и документального подтверждения злонамеренных событий.

Использование подобных средств и принятие должных организационных мер позволяет обеспечить защиту конфиденциальной информации от угроз, исходящих извне, или создаваемых инсайдерами.

Для надежной защиты коммерческой информации необходимо устанавливать на компьютеры официальное программное обеспечение и своевременно его обновлять. Это позволит предупредить вирусные атаки злоумышленников, использующих все более совершенные технологии для похищения и уничтожения ценной информации.

Чтобы обеспечить надлежащую защиту коммерческих данных, необходимо проводить постоянный мониторинг событий, происходящих в информационных системах.

Важно обеспечить техническую защиту документации и электронных носителей, ограничить доступ посторонних к источникам информации.

Источник: searchinform.ru

Защита корпоративных данных

Обеспечение информационной безопасности стало необходимым условием для нормального функционирования компаний разного уровня. Защита корпоративных данных – это комплексные мероприятия, цель которых заключается в том, чтобы предотвратить утечку корпоративной информации.

Угрозы для корпоративной сети

Особенно актуален вопрос информационной безопасности для предприятий со сложной разветвленной структурой. К таким организациям относятся банки, предприятия сетевой торговли, производственные комплексы. В то же время не менее важна защита корпоративной информации для различных компаний, где практикуется использование облачных технологий, онлайн касс, Интернет-банкинга, ЭДО, IP-телефонии. При этом масштабы организации не имеют значения. Под угрозой оказываются компании любого уровня.

Сейчас большая часть бизнес-процессов от пересылки корреспонденции до оплаты услуг происходят с помощью глобальной сети. Для каждой организации важно наличие продуманной грамотной стратегии обеспечения безопасности, способной предотвратить утечку конфиденциальных сведений и финансовой информации, в результате которой уровень доверия клиентов к компании резко снизится.

В качестве основных угроз для корпоративной сети рассматривают:

• Многочисленные вирусные программы: «сетевые черви», «трояны», «вымогатели» и прочие.
• Фишинг-атаки.
• Установка шпионского ПО на оборудование компании.
• Спам.
• Действия неблагонадежных сотрудников, приводящие к внутренней утечке сведений.

Постоянно появляются все новые виды вредоносного ПО, способного временно нарушить работу сети, что неминуемо нанесет ущерб компании как имиджевый так и финансовый.

Спам, поступающий на электронные адреса – один из основных путей проникновения вирусных программ в систему. Наличие качественного спам-фильтра позволит избежать компании значительных финансовых потерь.

Действия агрессивно настроенного сотрудника, злонамеренно наносящего вред организации, может обернуться огромным ущербом. Грамотная настройка DLP позволит своевременно выявить опасных представителей компании.

Технологии корпоративной защиты сведений

Современные технологии, применяемые для обеспечения безопасности корпоративных сведений, должны быть достаточно эффективными для отражения любых атак, но в то же время не создавать препятствий для нормального функционирования информационной системы компании. Авторизованные пользователи системы должны иметь доступ к определенным данным в соответствии с имеющимися у них правами.

Комплексное решение организации корпоративной информационной защиты должно соответствовать следующим требованиям:

• Полная доступность информационной системы компании для пользователей, прошедших идентификацию.
• Сведения, возвращаемые на запрос, должны быть полными и достоверными.
• Обеспечение конфиденциальности, согласно которой данные предоставляются каждому пользователю в соответствии с его уровнем доступа.
• Информация, хранящаяся в системе, должна быть полностью защищена от несанкционированных действий: изменения, копирования и т.д.
• Специалисты в сфере ИТ безопасности обладают обширным арсеналом эффективных средств для организации защиты данных.

Методы защиты информации

Гарантировать должную безопасность информационной системы можно только создав многоуровневый защитный барьер. Для этого применяется множество способов, каждый из которых эффективен для борьбы с определенным видом угроз.

В первую очередь безопасность должна быть организована на физическом уровне. Все рабочие станции и серверы предприятия размещаются в специальных охраняемых помещениях, доступ к которым строго ограничен. Наличие межсетевого экрана позволяет фильтровать сетевые пакеты в зависимости от заданного уровня контроля доступа. Таким образом, исключается нарушение пользователями установленных правил безопасности.

Использование VPN – необходимое условие для обеспечения безопасного доступа к корпоративным сведениям сотрудников, когда они находятся за пределами компании. Виртуальная корпоративная сеть позволяет открыть доступ неограниченному числу пользователей через один открытый порт в файрволле.

С помощью системы обнаружения атак оперативно выявляются и пресекаются в режиме реального времени все ситуации, когда осуществлялось несанкционированное управление сетью компании или был получен доступ неавторизованным пользователем через Интернет.
Антивирусная защита предполагает использование надежного ПО, четко выявляющего вредоносные программы, угрожающие компьютерным сетям и мобильным устройствам. Для максимальной эффективности защиты используется сразу несколько антивирусных программных продуктов, в которых реализованы различные сценарии выявления угроз.

Защита от спама организуется за счет использования широкого спектра специализированных сервисов, программ, в том числе, самописных решений, созданных специалистами в индивидуальном порядке для конкретной компании. Эффективна такая мера защиты, как черные и белые списки ПО. Согласно данному принципу, к работе допускаются только те приложения, которые были включены в «белый» список, то есть являются разрешенными, либо запускаются программы, которых нет в «черном» списке.

Важное условие для обеспечения безопасности информационной системы – регулярное обновление ПО для поддержания его в актуальном состоянии. Задача разработчиков при создании обновлений состоит, в том числе, в устранении обнаруженной уязвимости предыдущей программы.

Принять решение о том, как защитить корпоративные данные наиболее эффективно, можно по итогам независимого аудита информационной безопасности. В результате обследования системы специалистами удается обнаружить наличие шпионского ПО.

Наиболее надежным способом организации защиты корпоративных данных является аутсорсинг кибербезопасности. В этом случае выстраивание надежной защиты информации предприятия становится задачей квалифицированных специалистов нашей компании. Оказываем соответствующие IT-услуги на основании договора.

Защита информации на предприятии

Сегодня все современные фирмы автоматизированные и активно развивают свою информационную среду, поэтому защита информации на предприятии играет важную роль. Хранение и обработка информации должно быть организована правильным образом. Каждая организация несет ответственность за данными о своих клиентах. Если работа в данном направлении проходит неправильно, то фирма может потерпеть крах. Главная цель фирмы, это защитить: все […]

Ответы на популярные вопросы

Что такое аутсорсинг офисной печати (MPS- managed print services, управляемый сервис печати)?

Это комплекс мер по согласованному управлению печатной инфраструктурой и документооборотом заказчика, осуществляемый внешним узкоспециализированным провайдером. MPS состоит из 3-ех модулей: управление текущим парком до оптимизации, управление инфраструктурой после оптимизации, управление документооборотом

Что дает аутсорсинг печати заказчику в сравнении с обычной моделью обслуживания?

Провайдер аутсорсинга управляет печатными процессами Заказчика как сервисом, c четко прописанными параметрами услуги и стоимостью. Это дает Заказчику понимание реальной стоимости печатных процессов, обеспечивает бесперебойную работу техники и непрерывный документооборот. Кроме этого, Заказчик получает реальную экономию своих средств и полностью прозрачную картину документооборота

С чего начинается внедрение управляемого сервиса печати?

Практика показывает, что не существуют заказчиков с абсолютно одинаковыми печатными процессами. Поэтому опытный провайдер аутсорсинга начнет свою работу с аудита печатного парка и текущего документооборота.

Производится оценка состояния дел в области печати в Вашей организации «как есть в данный момент». На его основании готовится план оптимизации, учитывающий Ваши задачи и потребности.

План Провайдера должен содержать рекомендации, которые будут связаны не только с сокращением затрат, но и направлены на улучшение таких параметров, как: непрерывность печатных бизнес -процессов, информационная безопасность, производительность работы сотрудников. Также, в плане обязательно должны быть отражены стратегия развития и результаты, которые должен достичь Провайдер.

Структурно процесс управления выглядит, как циклический : Аудит — > План оптимизации — > Пилотный проект на части инфраструктуры -> -> Масштабирование на оставшуюся инфраструктуру и управление ею. -> Оценка достигнутых результатов. И затем новый годовой цикл.

Как правильно оценить затраты на документооборот и технику у Заказчика?

Перед аудитом нужно понять, в какой метрической системе считать затраты? На первый взгляд, конечно же в деньгах, но такая оценка правильна только на половину.

Например, типовой заказчик имеет несколько десятков моделей принтеров, а к ним соответственно десятки моделей картриджей и сотни позиций запасных частей и все это по разной стоимости. На практике расход всех материалов сложно объективно оценить . Поэтому грамотный аутсорсер учитывает расходы еще и в отпечатках/копиях. Есть 2 важных параметра:

• средняя стоимость страницы (ССС) = (стоимость затрат в деньгах за период / общее количество отпечатков за период);
• общее количество отпечатков за период

Умножив одно на другое, мы получим совокупную стоимость затрат за период.

Каким предприятиям нужен ИТ аутсорсинг ?

• Розничному ритейлу;
• Банкам и страховым компаниям;
• Организациям , имеющим распределенную структуру филиалов
• Государственным учреждениям

Что входит в услугу IT аутсорсинг ?

• Единый подрядчик более, чем в 500 населенных пунктах и 85 регионах России
• Служба ServiceDesk – ИТ-поддержка пользователей в регионах из «одного окна»;
• Комплексное обслуживание компьютеров, оргтехники, СКС, систем видеонаблюдения
• Мониторинг и обслуживание серверов и сети
• Сопровождение корпоративных ИТ-сервисов. Обеспечим бесперебойную работу электронной почты, 1С, доступа в Интернет.
• Защита информации и обеспечение непрерывности работы ИТ
• Услуги ЦТО ККМ
• Ввод в эксплуатацию новых магазинов и релокация действующих
• Аутсорсинг офисной печати
• Обслуживание банкоматов и платежных терминалов

Почему мы должны выбрать вашу компанию в качестве поставщика ИТ услуг?

• Мы обеспечиваем все сервисы наших Клиентов по всей России. Предлагаем качество и единые стандарты для всех офисов наших клиентов. Единая точка доступа для всех обращений и единая ценовая политика.
• Сервис печати MPS. Мы настраиваем сбор данных о печати, делаем анализ и предложения для клиентов, проводим ТО и автоматически обрабатываем заявки на обеспечение расходными материалами.
• Единый центр мониторинга и технической поддержки. Наш контактный центр и ИТ эксперты помогут в любой точке России.
• Широкий спектр решений, поставка запасных частей и расходных материалов. Наши центры поставок запасных частей и расходных материалов позволяют быстро выполнять самые сложные заказы, задачи, переезды инфраструктур и рабочих мест
• Единый счет по всем филиалам в головной офис. Мы предоставляем нашим клиентам единый счет и биллинг по всем объектам и сервисам аутсорсинга
• Предложения и инновации. Мы постоянно анализируем существующие проблемы и потребности наших клиентов и предлагаем им инновации и изменения в ИТ инфраструктуре и сервисах

Остались вопросы?

Если у Вас остались вопросы, то Вы можете задать их лично руководителю департамента по работе с клиентами.

Источник: it-usluga.ru

Защита от утечек данных в бизнесе: как предотвратить и как бороться

Утечка данных в бизнесе может грозить многомиллионными потерями. Менеджер ушел, прихватив с собой базу данных покупателей — готовьтесь к оттоку клиентов: возможно, он просто переманит их к конкурентам. Другой компании стали известны внутренние разработки — возможно, они первые выпустят крутой продукт по ним и соберут всю прибыль.

Давайте разберемся, как не допустить потерь. Рассказываем, как защититься от утечки данных и что делать, если она все-таки произошла.

Почему защита от утечек данных важна

Когда мы готовили статью, столкнулись с тем, что представители малого бизнеса не понимают, зачем им нужна защита от утечек данных. «Кому мы вообще нужны? С сотрудниками заключаем договор, а на почту и CRM устанавливаем пароли» — одно из распространенных мнений.

Это — то самое русское «авось». Надежда, что небольшая компания с прибылью около 100 000 рублей в месяц никому не нужна и никто не будет воровать у нее какие-то данные. А когда надежда испаряется и данные все-таки крадут, что-то делать уже поздно.

Приведем один из распространенных сценариев, по которому у вас могут украсть данные. Злоумышленники взламывают CRM и получают доступ к базе данных клиентов. Потом делают сайт точь-в-точь как у вас и регистрируют похожий адрес электронной почты. А затем рассылают клиентам предложение, от которого нельзя отказаться: например, письмо с уведомлением о скидках в 60%.

Ваши клиенты переходят на сайт и оплачивают товары, думая, что покупают их у вас. Злоумышленники получают прибыль, клиенты теряют деньги, вы тонете под волной негатива. Это называется фишингом, но вам от этого не легче.

Еще один возможный сценарий — размещение ссылки на вредоносный сайт. Так же, как и в предыдущем случае, злоумышленники взламывают CRM и получают email ваших клиентов. А потом рассылают им письма со ссылкой на вредоносный сайт, который крадет пароли пользователей. Злоумышленники получат пароли и смогут, например, украсть деньги с электронных кошельков людей. А вы получите тонну негатива, потому что письмо будет якобы от вас.

Пройдемся по статистике. Cybersecurity Ventures в ежегодном официальном отчете указали, что каждые 14 секунд во всем мире происходят атаки хакеров. К 2021 году они будут происходить каждые 11 секунд, а общий ущерб от киберпреступности достигнет 6 триллионов долларов в год. А специалисты компании InfoWatch рассказали, что только за прошлый год в сеть утекло более 14 млрд конфиденциальных записей. При этом в России число утечек возросло на 40% по сравнению с прошлым годом, тогда как во всем мире только на 10%.

В прошлом году в России было много скандальных утечек — в сеть «уплывали» базы данных 30 млн автовладельцев, 20 млн налоговых деклараций, 9 млн абонентов «Билайна». И если вы не хотите, чтобы очередная хакерская атака или человеческое недомыслие коснулись вас, читайте дальше. Если продолжаете уповать на «авось», посмотрите хотя бы информацию о том, что делать в случае утечки данных.

Как предотвратить утечку коммерческих данных

Профилактика — наше все. Грамотная защита от утечек данных поможет предупредить негативные последствия, которые могут серьезно повлиять на ваших клиентов и репутацию.

Предотвращаем внутренние утечки данных

Внутренняя утечка данных — это когда ваши же сотрудники сливают информацию конкурентам или забирают с собой базы клиентов или другие данные, когда увольняются. Есть несколько способов защиты от таких недобросовестных работников.

Используйте NDA. Так называют договор о неразглашении коммерческой тайны. Сначала нужно ввести режим защиты коммерческой тайны и четко прописать, что относится к таким сведениям. А затем подписать с каждым сотрудником NDA и обязательно получить подписи работников на документах, относящихся к коммерческой тайне.

А в договоре прописать ответственность работников за нарушение. Это чуть умерит пыл предприимчивых дельцов — никто не захочет таскаться по судам и выплачивать 1–2 миллиона рублей компенсации за то, что скинет какие-то данные «на сторону».

Установите DLP-систему. Это технически сложное автоматизированное решение — специальное программное обеспечение, отслеживающее попытки передачи информации посторонним. На корпоративный сервер и все устройства в офисе устанавливают программу, которая в режиме реального времени проверяет все операции и блокирует подозрительные. Например, если сотрудник попытается отправить таблицу Excel с контактами клиентов с корпоративной почты на личную. DLP-система остановит отправку и сразу уведомит о нарушении того, кто ответственен за защиту от утечек данных.

Единственный недостаток DLP-системы — то, что ее невозможно установить на все личные устройства сотрудников. Они смогут сфотографировать что-то на смартфон или записать разговор на диктофон.

Разграничивайте доступ. Один из самых простых способов обезопасить ценную информацию — разграничивать доступ к данным и давать сотрудникам только то, что им нужно для работы. Например, передавать менеджеру не всю базу, а только контакты клиентов, которых он ведет. Или настроить уровни доступа к документации — это можно сделать в CRM-системе.

Наблюдайте за сотрудниками. Это можно сравнить с DLP-системами, но на самом деле решение работает по-другому. Вы просто устанавливаете в офисе видеонаблюдение и прослушивающие устройства, а на ПК — программы для контроля всего, чем занимается сотрудник. Например, ПО для записи всего происходящего на экране.

А потом можно самому просматривать и прослушивать записи, чтобы узнать о факте утечки. Это долго и дорого, но подобное решение можно использовать в качестве одного из этапов защиты. Сотрудникам будет психологически некомфортно красть данные, если они знают, что за ними наблюдают.

Дайте мотивацию. Еще один простой способ защитить коммерческие данные компании — мотивировать сотрудников на нормальную работу. Не важно чем: зарплатой, премиями, комфортными условиями труда, перспективной карьерного роста. Если сотрудники будут полностью отдаваться работе в вашей компании, у них не возникнет мысли навредить ей. Построить такую команду мечты очень сложно, но возможно.

Эти способы защиты сработают лучше, если использовать их комплексно. Например, создать нормальные условия для сотрудников, подписывать с ними NDA и дополнительно установить DLP-систему.

Предотвращаем внешнюю утечку

Внешние утечки — это когда кто-то извне ворует информацию, не связываясь с вашими сотрудниками. Например, взламывает почту или получает доступ к CRM, ворует документы из офиса. С этим тоже можно и нужно бороться.

Устанавливайте сложные пароли. Это — самое простое решение, которое часто игнорируют. И делают пароли типа «12345». Их подберет даже школьник, который играючи попытается получить доступ к почте, указанной на вашем сайте. Поэтому используйте генераторы паролей.

И храните их там, куда очень сложно добраться: лучший вариант — в вашей голове.

Используйте корпоративную почту. Бесплатные почтовые агенты — не зло, но они не подходят для работы с важными коммерческими данными. Их легко взломают, особенно если этим займется хороший специалист. Купите домен и заведите корпоративную почту, арендуйте почтовый сервер у провайдера или используйте платные агенты.

Включите двухфакторную аутентификацию. Двухфакторная аутентификация — это когда чтобы зайти в систему, надо указывать не только пароль, но и другой способ идентификации, например одноразовый код из смс, уведомление на экране смартфона, отпечаток пальца. Такую защиту можно установить на почту и в некоторые CRM-системы и сервисы. Это серьезно усложнит жизнь любителям красть коммерческие данные.

Установите антивирус. Еще одно простейшее решение, которое часто игнорируют. Не скупитесь на хороший антивирус — установите его на все ПК в офисе. Он перехватит вирусы, которые «подсматривают» пароли или крадут ценные данные напрямую.

Уничтожайте документы. Безвозвратно удаляйте уже ненужные документы с серверов. А если работаете и с бумажными документами, содержащими ценные сведения, не поскупитесь на шредер. Если просто выкинуть их в мусорку, любой сможет достать их из ближайшего мусорного бака. А особо упорные — еще и из мусоровоза.

Используйте СКУД. Так называют системы контроля и управления доступом на предприятиях. Они защитят офис или производство от проникновения посторонних людей. Одно из самых простых и незатратных решений — установить шлагбаум на проходной и выдать сотрудникам именные пропуска. А еще установить видеонаблюдение: и на проходной, и на всей территории предприятия.

Подумайте о средствах сетевой защиты. Рассказывать о них можно много и долго. Если коротко, они нужны тем, кто хранит важные сведения онлайн. Среди таких есть системы контроля трафика, WAF, межсетевые экраны. У них общая цель — обеспечить легкий обмен информацией внутри компании, но полностью защитить ее от любых проникновений извне.

Используйте IRM. Это — контейнеризация каждого документа, содержащего ценные для вас сведения. Работает это так: к каждому документу привязывается информация о ключах шифрования и доступе. Даже если его украдут (например, на флешке), не смогут прочитать на своем устройстве. Внедрение такого решения обойдется дорого, но оно того стоит, если у вас на руках очень важная информация.

Сделайте шифрование дисков на ноутбуках и планшетах работников (FDE). Без специальных ключей доступа пользоваться устройством будет невозможно — даже если его украдут, все данные будут надежно защищены. Полное шифрование файловой системы особенно актуально для ноутбуков – это позволяет защитить данные от случайной кражи: например, если сотрудник забудет рабочий ноутбук в кафе или аэропорту. Подобными решениями пользуются крупнейшие корпорации типа NASA.

Вы уже догадались, что лучше использовать комплексные решения? Чтобы защита от утечек данных работала, просто установить надежный пароль недостаточно.

Что делать, если утечка уже произошла

Фактически вы ничего не сможете сделать — данные уже в руках у злоумышленников. Если вы пытались как-то их защитить, можно, например, подать на бывшего сотрудника в суд. При грамотно составленных документах и хорошем юристе вы выиграете дело и, возможно, даже сможете взыскать ущерб. Это — лучший для вас сценарий при внутренней утечке данных.
Если произошла внешняя утечка или не можете найти виновного — в принципе не знаете, к кому попали данные — остается только смириться. Конечно, можно попытаться что-то сделать: запустить в СМИ утку о том, что украденные данные бесполезны, объявить награду за поиск похитителя или предложить ему вернуть информацию за хорошее вознаграждение. Но далеко не факт, что хоть что-то из этого сработает. А кроме того, обычно все это — игры птиц крупного полета: компаний с многомиллионным ежемесячным оборотом. Малому бизнесу чаще проще смириться, чем тратить нереальные деньги на то, чтобы вернуть данные и не допустить их распространения и использования.

Что о защите коммерческих данных говорят предприниматели