[cmsmasters_row data_shortcode_id=”vgwts5vgu” data_padding_bottom_mobile_v=”0″ data_padding_top_mobile_v=”0″ data_padding_bottom_mobile_h=”0″ data_padding_top_mobile_h=”0″ data_padding_bottom_tablet=”0″ data_padding_top_tablet=”0″ data_padding_bottom_laptop=”0″ data_padding_top_laptop=”0″ data_padding_bottom_large=”0″ data_padding_top_large=”0″ data_padding_bottom=”50″ data_padding_top=”0″ data_bg_parallax_ratio=”0.5″ data_bg_size=”cover” data_bg_attachment=”scroll” data_bg_repeat=”no-repeat” data_bg_position=”top center” data_color=”default” data_bot_style=”default” data_top_style=”default” data_padding_right=”3″ data_padding_left=”3″ data_width=”boxed”][cmsmasters_column data_width=”1/1″ data_shortcode_id=”brbeg2s7z4″ data_animation_delay=”0″ data_border_style=”default” data_bg_size=”cover” data_bg_attachment=”scroll” data_bg_repeat=”no-repeat” data_bg_position=”top center”][cmsmasters_text shortcode_id=”ypu1eyic9f” animation_delay=”0″]
Около 43% кибератак, согласно статистике, нацелено на малый бизнес. В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.
Необходимо определить ключевые информационные активы и процессы, и уже для них рассматривать риски и меры по их смягчению.
О рисках, уникальных именно для вашей компании, никто кроме ваших бизнес-менеджеров рассказать не сможет.
В этой статье хотел бы рассказать о типовых рисках, которые встречаются во многих компаниях.
В целом риски делятся на несколько групп:
- Внутренний злоумышленник
- Взлом и несанкционированное вмешательство
- Человеческие ошибки
- Пожары, затопления, стихийные бедствия
- Технологические риски
- Физическая кража
- Действия проверяющих и силовых органов
Поговорим о них подробнее. В первой части – о внутреннем злоумышленнике.
Внутренние злоумышленники – это люди внутри организации: сотрудники, в том числе бывшие, подрядчики. У которых есть информация о данных и компьютерных системах, методах безопасности внутри организации.
У таких людей могут быть пароли, выданные им для выполнения своих обязанностей. А также им часто не надо взламывать внешнюю защиту сети.
Во многих случаях такой злоумышленник может захватить полный контроль над информацией в компании.
У вас могут быть установлены лучшие антивирусы, firewall и IDS системы (системы предотвращения вторжений).
Но кто-то из конкурентов заплатил вашему системному администратору. И он, пользуясь своими администраторскими полномочиями, смог скопировать любую конфиденциальную информацию или внести нежелательные изменения в данные.
По некоторым опросам, около 53% компаний сталкивались с внутренними злоумышленниками.
Причем у таких злоумышленников, как у классических шпионов из фильмов, бывают не только финансовые мотивы, но и мотивы мести.
Кто еще, кроме сотрудников с административными функциями, попадает в группу риска с точки зрения инфо безопасности?
- Разработчики корпоративного ПО: внесение бэкдоров, шпионских функций, воровство исходных кодов, воровство рабочих данных информационных систем;
- Пользователи, в информационных системах, имеющие права на внесение и корректировку финансовых данных: сумма счетов, изменение реквизитов контрагентов, смена назначения платежа, работа с клиент-банком и т.д. Что может быть зловредного? Оплата на чужой расчетный счет, предоставление неправомочной скидки, т.д.
- Пользователи, которые имеют доступ к клиентской базе, подписанным контрактам и их условиям, коммерческим и тендерным предложениям, маркетинговой стратегии, конструкторской документации, т.д.
Возможные меры по смягчению этой группы рисков:
- Выполнять независимое логирование и аудит действий привилегированных пользователей. Так же помогает внедрение систем типа PAM (Privileged Access Management – управление доступом привилегированных пользователей);
- Для критических данных разделять между разными людьми функцию ввода и функцию контроля, что введено правильно;
- При выдаче полномочий на информационные системы руководствоваться принципом “минимально необходимые”;
- Отслеживать вместе со службой HR, что после перевода сотрудника в другой отдел или его увольнения, в IT-системах проверяются и меняются полномочия таких сотрудников.
Как видим, для этой категории рисков крайне важна синергия департамента безопасности и службы HR, выстраивание мониторинга как психологического состояния сотрудников, так и дорожной карты предоставления/передачи полномочий.
О других типах рисков расскажем в следующих блогах.
[/cmsmasters_text][/cmsmasters_column][/cmsmasters_row]