12 самых частых нарушений информационной безопасности

1. Запись пароля доступа на мониторе, компьютере и на других близко расположенных предметах

Наиболее распространенное нарушение, по мнению экспертов, в этом замечен каждый пятый сотрудник.

Памятка: Не записывайте пароль в доступных местах, не называйте пароли вслух.

2. Оставленный без присмотра компьютер

Все самые дорогостоящие средства защиты информации не помогут, если кто-то посторонний может просто воспользоваться таким компьютером с открытым доступом к информации компании.

Памятка: Требуйте от сотрудников каждый раз отлучаясь с рабочего места нажимать сочетание клавиш Win+L.

3. Открытие e-mail и других фишинговых сообщений

Доверие и любопытство заложено в самой природе человека. Пришедшее на почту письмо с интригующим заголовком заставляет даже разумных и ответственных людей делать глупость – открыть файл, пришедший из непроверенного источника.

Помните, что открытие писем от незнакомцев может привести к заражению компьютера вредоносной программой. По всему миру тратятся млрд. долларов на устранение повреждений, причиненных фишинговыми атаками.

Памятка: Не открывайте письма от непроверенных адресатов.

4. Простые пароли, редкая смена пароля

Часто в качестве пароля сотрудники используют простые наборы подряд идущих цифр или букв. Не соблюдается режим регулярной смены паролей. Однако экспертами установлено, что регулярная смена используемых паролей повышает надежность защиты на 30%.

Памятка: Выбирайте пароли, которые трудно подобрать; только сложные комбинации цифр и букв; регулярно меняйте пароли.

5. Потеря переносных персональных устройств

Переносные компьютеры могут хранить в своей памяти большие секреты компании. В силу своих небольших размеров они весьма уязвимы для потери, воровства и других противоправных действий.

Памятка: Проявляйте осторожность при обращении с переносными персональными устройствами, рассматривайте их как хранилище важных документов и предусмотрите использование программного обеспечения по контролю над доступом. Также есть ряд программных решений, позволяющих исключить утечку конфиденциальной информации при утере устройства.

6. Излишняя болтливость

Часто разговоры на служебные темы с использованием конфиденциальной информации происходят вне служебных помещений (в столовой, лифте, в спортивном зале и т.п.), где они могут быть легко услышаны посторонними людьми.

Избегайте обсуждения служебных вопросов вне служебных помещений, при обсуждении конфиденциальных вопросов убедитесь, что вас никто не подслушивает.

Памятка: Пресекайте такие случаи, пропишите в договоре о неразглашении коммерческой тайны штрафные санкции в случае выявления факта утечки конфиденциальной информации.

7. Подключение без защиты

Весьма опасны подключения к внешним сетям через модемы минуя средства защиты (Firewall и другие общие меры безопасности). Тем самым создаются предпосылки для проникновения злоумышленников в корпоративную компьютерную сеть компании.

Памятка: Прежде чем подключиться к внешним сетям обратитесь к специалисту по защите информации для решения всех вопросов по защите информационных ресурсов компании.

8. Сокрытие фактов нарушения информационной безопасности

Вы можете плохо знать общую политику информационной безопасности, но важно четко знать, что можно, а что нельзя.

Нужно незамедлительно сообщать руководству обо всех фактах нарушения политики информационной безопасности, которые стали вам известны.

Памятка: Помните, что успех компании зависят от быстроты действий по предотвращению инцидентов безопасности. Требуйте от сотрудников незамедлительно сообщать такие факты при их выявлении.

9. Запоздалая реакция на изменение среды

В общем и прикладном программном обеспечении регулярно обнаруживаются уязвимости, способные привести к инцидентам безопасности.

Памятка: Важно не откладывать соответствующие модернизации программного обеспечения на потом, поскольку это может нанести компании серьезные убытки.

10. Личная ответственность сотрудников

Большинство инцидентов безопасности (до 95%) возникают из-за действий собственных сотрудников компании, ее партнеров и подрядчиков.

Памятка: следует помнить, что любая информация, попавшая в чужие руки, может быть использована не по назначению и способна нанести ущерб ее репутации. Все члены нашего коллектива, а также наши партнеры, должны понять важность обеспечения безопасности при обращении с информацией, которая им доверена.

11. Подключение к сети предприятия посторонних носителей информации

Большинство инцидентов безопасности возникают из-за необдуманных действий собственных сотрудников компании. Категорически запрещается приносить на рабочее место и работать на компьютерах, включенных в сеть компании, любые личные накопители информации (диски, флэшки и подобное).

Памятка: Все члены коллектива, а также партнеры должны обеспечить защиту от вредоносного ПО. Следует пользоваться исключительно носителями, принадлежащими компании и прошедшими проверку на безопасность.

12. Использование «левого» ПО

Часто предприниматели экономят на лицензионном ПО и работают на пиратском. Закон принят давно и с каждым днем шансы на его активизацию нарастают. Этим может и воспользоваться недобросовестные конкуренты.

Памятка: Следует знать, что сегодня разработаны множество способов получения прав владения и использования ПО на легальной основе и за разумные деньги.

С нарушениями, не связанными с человеческим фактором, поможет справиться DLP-система – программное решение, которое нацелено не только на предотвращение утечек конфиденциальной информации, но и на контроль лояльности сотрудников.

Современная DLP SecureTower от Falcongaze, например, осуществляет полный контроль всех каналов коммуникации (облачные хранилища, телефония, электронная почта, посещённые сайты, сетевые и локальные принтеры и др.), а также проводит комплексный анализ по нескольким аспектам:

- контентный анализ;

- статистический анализ;

- анализ связей между сотрудниками;

- анализ по цифровым отпечаткам;

- поиск замаскированных данных и др.

SecureTower предоставляет полную картину рабочего дня сотрудников, а также автоматический контроль всех действий и нарушений, предоставляя гибкую систему отчётности в том числе через граф-анализатор. Видео и аудиомониторинг также включён в функционал системы, программа может подключиться к компьютеру, наблюдать за экраном, а также сделать запись с экрана и микрофона компьютера.

DLP-система SecureTower

  • Защита от утечек данных
  • Контроль эффективности и лояльности персонала
  • Выявление потенциально опасных сотрудников (анализ рисков)
  • Ведение архива бизнес-коммуникаций