Последние недели новостные ленты мира сотрясают детали очередной утечки данных из офшорных компаний, раскрывающей счета, богатства, суммы переводов и имена владельцев.
Увы, талантливые люди талантливы далеко не во всем, и, если кто-то умеет хорошо управлять деньгами, не факт, что он сумеет защитить конфиденциальность ваших активов. Причина тому – сфокусированность на основной задаче, возрастная специфика (хорошим юристам, финансистам, как правило, за пятьдесят, и в ИТ они часто не разбираются), делегирование непрофильных задач и наем на исполнительский уровень не осведомленного о данных проблемах персонала. В лучшем же случае – набор не практических, а формальных требований к защите.
Поэтому вам придется позаботиться об этом самим, а лучше всего – поручить контроль за кибербезопасностью партнеров собственной службе безопасности. Сделайте такой подход к ИБ стандартом, выполнять который для компании, управляющей вашими активами, будет так же обязательно, как и соблюдать норму прибыли.
Какие ошибки с высокой степенью вероятности совершат ваши партнеры и как вы можете это предотвратить?
1. Установят простые пароли к информационным системам и устройствам.
Задайте жесткие правила к парольной политике ваших трасти. Должны быть сложные пароли, содержащие 10–16 символов, заглавные и строчные буквы, специальные символы (то, что расположено вторым регистром на цифровой клавиатуре). Пароли необходимо менять регулярно (не реже раза в месяц), ни в коем случае не сохранять на устройствах, не хранить записанными в электронном виде.
2. Выкачают резервные копии в icloud или другие облака производителей устройств.
Активная маркетинговая и экосистемная политика вендоров привела к тому, что облако данных производителя мобильного устройства – самое простое место, куда бездумно копируются файлы, данные переписок, скриншоты, фото и т. д. Но именно эти источники легче всего взломать (пароль к icloud часто делают очень простым) и получить их содержимое. Запретите вашим партнерам синхронизировать устройства в облака производителя, как и в принципе делать резервные копии куда-то, кроме защищенного ЦОД через корпоративную сеть.
3. Перешлют важные данные через обычные мессенджеры.
Установите стандартом использования для партнеров платные шифрованные мессенджеры (например, threema), уберите синхронизацию контактов, не сохраняйте в адресной книге имена клиентов впрямую, не кодированно, не разрешайте открывать мобильные мессенджеры на рабочих компьютерах вне мобильных устройств.
4. Откроют секретные документы или данные об активах в незащищенных публичных сетях.
Установите стандартом для мобильных устройств ваших партнеров включение технологий VPN (платных) по умолчанию со стартом устройства, запретите им использовать публичный wi-fi (только интернет мобильного оператора).
5. Позволят сотрудникам иметь с их персональных устройств доступ к вашим данным и перепискам.
Не экономьте на оснащении ваших партнеров, сделайте так, чтобы каждый сотрудник, имеющий доступ к данным о ваших активах, имел бы корпоративное рабочее устройство (ноутбук и смартфон) – зашифрованное, с установленным антивирусом (платным, регулярно обновляющимся), системой DLP (защита от утечек данных), VPN, а также средствами MDM, позволяющими оперативно найти и удалить данные с устройства.
О чем еще вам следует позаботиться вместе с вашим партнером?
Регулярная проверка персонала на благонадежность (полиграф), лояльность (тайный покупатель данных якобы от имени СМИ, мониторинг социальных сетей).
Постоянное повышение киберграмотности персонала без исключений, от управляющих вашими финансами старших партнеров до секретарей и ассистентов компании.
Мониторинг службой ИБ или вашими корпоративными ИБ-поставщиками темных сегментов сети на предмет потенциальных утечек от ваших партнеров.
Автор Евгений Питолин
Источник forbes.kz