Как бизнесу защитить данные. Правила информационной безопасности для компании

В этой статье расскажу о нескольких правилах, которые защитят от взломов и потери важной для компании информации. В том числе при приеме на работу и увольнении сотрудников.

Как бизнесу защитить данные. Правила информационной безопасности для компании

Нужно всегда помнить о риске, связанном с потенциальными взломами, ошибками и утечками информации. Такие действия могут привести к серьёзным потерям для компании. Особенно, когда речь идет о потерях баз данных, неисправности физических серверов, а также о незаконных действиях с конфиденциальной информацией.

Данные из размещённой на сервере базы могут быть скопированы и удалены, если не обеспечить должный уровень безопасности. Прямой доступ к серверному оборудованию открывает перед злоумышленниками большие возможности.

Угрозу для данных представляет сетевой обмен информацией (корпоративные порталы, банки, иные программы и пр.).

Безопасность крайне важна при сборе и хранении персональных и контактных данных. Сведения могут быть заблокированы, изменены, скопированы, переданы третьим лицам. Любой факт разглашения личной информации (умышленного или нет) повлечёт за собой крупные штрафы и репутационные издержки для компании. Потеря платёжных реквизитов пользователей, которые могут быть использованы злоумышленниками, может стать причиной потери средств. Это приведёт к крупным искам контрагентов.

Стоит помнить и о социальной инженерии, активно используемой в «хакерских» делах. Это манипулирование людьми, в том числе психологическое, с целью заставить их совершить определённые действия или сообщить конфиденциальную информацию.

Как обезопасить себя

В компании должна быть создана проработанная система безопасности. Именно такой подход обеспечит надёжную защиту данных.

Основные направления этой системы:

  • аутентификация пользователей (идентификация пользователя или устройства, позволяющая установить его право доступа к информации или функционалу);

Новый сотрудник получает необходимые доступы к рабочим системам, которые должны быть удалены при его увольнении. Некоторые корпоративные системы позволяют аутентификацию по номеру мобильного телефона и кода из SMS. Это создаёт проблемы, если уволившийся сотрудник продолжает использовать свой номер телефона.

Возможно непреднамеренное сохранение копии конфиденциальных данных компании на своих личных устройствах или в учётных записях электронной почты. А может быть и умышленное нанесение вреда бывшему работодателю, извлечение финансовой выгоды, передача сведений конкурентам.

  • парольная политика;

Выбираем надёжные пароли, не пересылаем друг другу в мессенджерах пароли/логины, регулярно меняем их и следим за тем, чтобы при увольнении сотрудник лишался доступа к ресурсам компании.

В компании не должно быть простых легко угадываемых паролей вроде 123456
В компании не должно быть простых легко угадываемых паролей вроде 123456

Есть разные варианты систематизации паролей, например менеджеры паролей вроде Passwork, где можно управлять доступами каждого сотрудника.

  • приём и увольнение сотрудников;

Стандартные процедуры приёма и увольнения сотрудников должны содержать в себе элементы системы безопасности.

При приёме не помешает информация о соискателе с предыдущих мест работы, которую обычно выясняют при собеседовании и из характеристик. Новые сотрудники должны быть ознакомлены с правилами по соблюдению информационной безопасности, соблюдать их, и знать, какие меры применяются к нарушителям.

  • инструктаж персонала;

Нередко сотрудники не соблюдают базовые правила сетевой безопасности: переходят по неизвестным ссылкам, ставят простейшие пароли и скачивают файлы непонятного происхождения. Поэтому можно говорить о необходимости введения регламента сетевой безопасности компании, с которым должен быть ознакомлен каждый работник.

  • разграничение прав пользователей;

Сотрудникам, которые с базой учётных данных не работают, доступ можно закрыть полностью. Это существенно снизит количество возможностей, при которых пользователи способны нанести вред. А если порча файла/кража данных была сделана сознательно, будет виден круг лиц, которые это могли совершить.

  • ограничение доступа людей с правами администратора;

Администрирование должно предполагать централизованную установку антивирусного ПО и работу с ним.

Техническую поддержку установленных программ 1С должны выполнять специалисты, в чьи функции входит работа над уровнем безопасности системы и обрабатываемых данных. Доступ к конфигуратору должны иметь только квалифицированные специалисты, в чьи непосредственные обязанности входит обслуживание программного обеспечения.

  • своевременное блокирование и удаление созданных учётных записей и проч.

Можно реализовать блокировку максимального количества потенциально опасных ресурсов, мониторинг действий пользователей.

При использовании функционала обмена данными из 1С с другими программами, важно удостовериться в надёжности и безопасности каналов передачи, а также добросовестности всех сторон, использующих информацию. Не будет лишним обговорить ответственность сторон в случае потерь ценных данных.

Разработка и использование системы безопасности при использовании учётных программ 1С в компании — важная необходимость.

Базы данных в учётных системах вроде 1С — объект особого внимания в вопросе безопасности. Пользователи сознательно/бессознательно могут легко навредить базе данных, или удалить (скопировать) файл полностью.

Существуют и более сложные технические решения по тестированию и обеспечению безопасности учётных систем 1С. Но они зависят от особенностей деятельности предприятия и подбираются индивидуально.

➡ Если вам нужно проверить слабые места системы безопасности, разграничить доступ пользователей в 1С и усилить защиту данных — вы можете бесплатно проконсультироваться у моих коллег-специалистов.

44
11
3 комментария

чем дальше тем меньше знания имеет такое понятие как анонимность и безопасность данных

1
Ответить

а еще не злить сильно персонал, чтоб кто то не решил украсть базу клиентов например, относиться ко всем по человечески 😁

Ответить

Ирина, супер, действительно важный пункт)

Ответить