Некоторые бизнесмены думают, что займутся проблемой защиты информации позже, другие считают, что именно их компании злоумышленники будут обходить стороной. Между тем, стоит осознавать, насколько важным является интеллектуальный капитал компании. Тогда очевидным станет то, что необходима защита конфиденциальных данных предприятия.
На чём должна сосредоточить внимание молодая компания, чтобы не стать жертвой кибер-преступлений, небрежности, злобы сотрудников или непредвиденных катастроф?
Уже в самом начале деятельности компании следует разработать и документировать политику безопасности. Список правил должен четко определять права и обязанности работника в месте работы, каждый сотрудник должен быть ознакомлен с этим документом. Благодаря наличию таких условий работник не сможет сказать, что возможное упущение произошло из-за незнания.
Регламент не должен быть всеобъемлющим, должен быть адаптирован к профилю деятельности компании, необходимо также, чтобы он учитывал основные риски, связанные с деятельностью предприятия. Он должен быть четким и лаконичным – чтобы каждый, кто его подписывает, полностью понял его содержание.
Набор правил должен включать следующие вопросы:
Допустимое использование
Цели, для которых могут использоваться IT-ресурсы компании, в том числе доступ в интернет, должны быть четко определены. Лица, занятые в компании, должны, например, знать, что они могут отправлять личные сообщения или выполнять частные телефонные разговоры – если да, то с какими ограничениями.
Работодатель определяет, будет ли ограничено время, в течение которого ресурсы компании могут быть использованы в личных целях, или ограничен доступ к некоторым веб-страниц, могут ли сотрудники подключаться к корпоративной сети личные устройства, в каких случаях следует применять пароль, есть ли какие-либо ограничения на тип содержимого, которое может передаваться по электронной почте или по факсу, либо публиковаться в сети.
Стоит помнить о том, что использование личных устройств сотрудников для выполнения ими профессиональных обязанностей, а также распространение модели BYOD (Bring Your Own Device – принеси свое собственное устройство), охватило уже многие компании, поэтому стартапы должны учитывать возможности и угрозы, которые связаны с новыми тенденциями.
При этом следует помнить о том, что если Вы попытаетесь слишком строго ограничивать действия сотрудников, то это может привести к их неудовлетворенности, и даже к отказу от работы. Например, если мы введем запрет на использование социальных сетей мы можем ожидать того, что лица, занятые в компании, будут искать способы обойти запрет – и это может привести к появлению новых факторов риска.
Также маленькая компания должна определить, каковы будут последствия нарушения политики безопасности работника.
Безопасность данных компании
Устав компании должен сосредоточиться на трех основных аспектах: конфиденциальности, целостности и доступности данных. Мы должны определить стратегию защиты основных (в том числе важных или секретных) данных и ресурсов от несанкционированного доступа, потери и повреждения.
Чрезвычайно важным является также обеспечение непрерывного доступа к корпоративным ресурсам в соответствии с потребностями сотрудников компании. Компания, начинающаяся свою деятельность, должна провести обучение сотрудников – в ходе такой встречи люди, работающие в компании, могут узнать о том, каковы правила использования данных.
Не менее важным является также анализ доступных на рынке технологий для быстрого восстановления инфраструктуры и доступа к данным в случае аварийной ситуации.
Благодаря разработке и документированию набора правил безопасности в самом начале деятельности предприятия можно будет создать надежную защиту корпоративных данных. Конечно, не стоит откладывать составление регламента на потом, чтобы предотвратить ситуации, в которых ценные корпоративные ресурсы будут подвергаться опасности.
