З розвитком технологій горезвісний людський фактор поки тільки посилюється. Що з цим робити?

Наш мінливий світ дає нам не тільки великі можливості, але і ставить перед нами нові виклики. Ми використовуємо і зберігаємо сотні застосунків на смартфонах, планшетах і комп’ютерах, які створюють глобальний “цифровий безлад”. А разом з тим ставлять під загрозу зберігання на них конфіденційних даних.

Свіжий рейтинг компанії Control Risk показав, що одним з найнебезпечніших чинників для бізнесу є саме “цифровий безлад”. А головною загрозою була і залишається людина. Горезвісний людський фактор тільки посилюється з розвитком нових технологій. З одного боку, технології допомагають людям швидше адаптуватися, надають нові формати організації роботи та нові підходи до управління. Але разом з тим життя і робота в середовищі, де все більше функцій зосереджено в смартфоні, вимагає зовсім іншої побудови систем безпеки корпорацій, коли важливо не просто реагувати на загрози, а й прогнозувати сценарії майбутнього. Це гонка на випередження в крутому гостросюжетному бойовику. І бізнесу вкрай важливо завжди приходити до фінішу першим.

Забезпечити компанії можливість виживати і успішно розвиватися в умовах “цифрового безладу” – ось головне завдання служб корпоративної безпеки сьогодні. А завдання керівника – побудувати прозору, ефективну і швидко реагуючу систему цифрової гігієни, незалежно від масштабів бізнесу.

Ось кілька практичних порад

Перше. У компанії повинні бути підрозділи, що забезпечують інформаційну, юридичну та фізичну безпеку. Вони повинні захищати бізнес від зовнішніх і внутрішніх загроз.

Зовнішніми загрозами для бізнесу є контролюючі держоргани, конкуренти, промислові шпигуни / шахраї, колишні співробітники і т.д. Загроза внутрішньої безпеки виходить від співробітників, які навмисно або випадково завдають шкоди компанії (від витоку конфіденційних відомостей до підриву іміджу в бізнес-колах). Навіть випадково загублений фраза, наприклад, співробітником бухгалтерії в певній ситуації може призвести до дуже небажаних наслідків.

Друге. Визначте, яка саме інформація є конфіденційною для вашого бізнесу, ваші юристи повинні це зафіксувати в регламенті. Співробітники повинні мати доступ тільки до тієї інформації, яка необхідна їм для виконання службових обов’язків. Важливі документи не повинні лежати на робочих столах або навіть в сейфах офісу, оскільки в разі зовнішньої атаки можуть потрапити не в ті руки. Тому я рекомендую: документи, особливо встановлюючі права на матеріальні активи, повинні зберігатися в надійному місці, наприклад у адвокатів.

Далі. Юридичний департамент повинен не тільки забезпечувати режим зберігання документів, але і їх актуалізацію. Краще, щоб цим займалася окрема людина, відповідальний за своєчасне оновлення інформації. Юристи також повинні постійно моніторити реєстри судових рішень, кримінальних проваджень і реєстр майнових прав.

Перевірка кандидатів перед прийомом на роботу, повноти та достовірності даних в резюме – теж функція юристів спільно з департаментом фізичної безпеки. При прийомі на роботу кожен співробітник повинен підписати зобов’язання про нерозголошення конфіденційної інформації. Не зайвим буде прописати в регламенті правила про робоче місце: знаю випадки, коли приміщення фінслужби відвідали “маски-шоу”, а у всіх співробітників на моніторах були папірці з паролями і логінами. Ще одна рекомендація – заборонити використання флеш-накопичувачів рядовими співробітниками, це зменшить ймовірність витоку інформації.

Також необхідно звернути увагу на порядок використання електронної корпоративної пошти. Перше правило – корпоративна пошта є власністю компанії. Був випадок: співробітник, перебуваючи на робочому місці, негативно висловився про держслужбовця на форумі. Через місяць компанія отримала позов про захист честі, гідності та ділової репутації з компенсацією на кілька мільйонів гривень.

Ви можете контрактом вимагати від співробітників використовувати на роботі виключно корпоративну пошту, однак не зможете постійно контролювати їх поведінку в соцмережах. Тому приділіть увагу інформаційній гігієні, проведіть тренінги з “жахливими сценаріями”. Наприклад, проаналізувавши фотографії з відпочинку, зловмисник може під виглядом реклами готелю надіслати шкідливий ПЗ. Також співробітники повинні розуміти, як реагувати в соцмережах, якщо компанія зазнала інформаційної атаки, коли і як треба включатися в захист, а коли краще не реагувати.

Не можна покладатися на клавішу Delete. Дистанційні дані – всього лише ілюзія.

Варто акцентувати увагу і на тому, що не можна покладатися на клавішу Delete. Дистанційні дані – всього лише ілюзія. Насправді велика частина “стертої” інформації все одно залишається в пам’яті комп’ютера. І при необхідності її завжди можна відновити.

Важливо пам’ятати – тільки злагоджена робота всіх співробітників допоможе створити інноваційну реально діючу та ефективну культуру безпеки і команду, яка здатна вирішувати складні завдання.