Почему важно разделять доступы в компании?

Одна из ключевых уязвимостей, о которой задумываются не многие руководители: доступы сотрудников к данным.

Чаще всего проблемы возникают из-за человеческого фактора — незнания, халатности, невнимательности. Ваша задача и ваших айтишников обезопасить компанию от таких рисков.

Дело в том, что обычно доступы выдаются сотрудникам сумбурно. Какие-то непосредственно от начальства без уведомления IT-отдела, какие-то заводятся стихийно внутри департамента.

• Общие аккаунты для разных сотрудников

• SaaS-сервисы, которыми можно пользоваться онлайн без пароля

• Системы, для которых нужно входить по номеру телефона сотрудника

• Привязка к личным учетным записям

• Системы, которые запустили сотрудники по своей инициативе

• Фрилансеры и компании-подрядчики, которым выдан доступ к системам

Забытые аккаунты могут использоваться третьей стороной для кибератак и несанкционированного входа, или даже самими сотрудником для личной выгоды.

Утечка данных может происходить и по забывчивости. В любом случае, это долгосрочный риск для организации, потому что к данным имеет доступ кто угодно.

1 Классифицируйте данные — какую информацию нужно держать строго конфиденциальной и как быстро они устаревают

2 Пропишите должностные инструкции — чтобы понять, какому сотруднику можно выдать доступ

3 Выберите технические средства — софт, который будет сам сортировать информацию и предоставлять доступ, а также дополнительные средства для аутентификации и контроля

4 Обучите сотрудников политике безопасности — вместе с айтишником и представителем внутренней коммуникации, чтобы разработать доходчивую инструкцию по ИБ, простую и конкретную

Желательно проводить консультации регулярно, тем более, что приходят новые сотрудники или появляется новое ПО. За это могут отвечать айтишники — мы, например, консультируем как руководителей, так и работников по техническим вопросам.