Как перестать игнорировать вопросы сохранности данных и начать беспокоиться Как перестать игнорировать вопросы сохранности данных и начать беспокоиться

Как перестать игнорировать вопросы сохранности данных и начать беспокоиться

Советы по кибербезопасности от вице-президента McAfee, которые вряд ли снизят уровень вашей тревожности


Содержание за 30 секунд


Обеспечение кибербезопасности организации считается в основном технической проблемой, но человеческий фактор здесь не менее важен. Забота о сохранности данных — командный проект. В своей книге Эллисон Сэрра — вице-президент и директор McAfee по маркетингу, топ-менеджер в Intel Security Group, Hewlett Packard Enterprise, Alcatel-Lucent, Frontier Communications и Verizon — рассказывает о том, как научить сотрудников защищать стратегические ресурсы компании.


Основные тезисы


1. Вопросы кибербезопасности должны быть в зоне внимания руководства, их нужно как можно чаще обсуждать на самом высоком уровне в организации, регулярно проводить оценку рисков. И прежде всего потому, что во всем мире есть общая проблема — руководство, как показывает Эллисон Сэрра, крайне беспечно относится к информационной безопасности. По данным исследования британской аудиторской компании EY, приведенного в книге, 76% руководителей признали, что выделение дополнительных средств на кибербезопасность возможно только в случае взлома, который нанес реальный ущерб. По мнению большинства опрошенных, взлом без последствий не требует дополнительных расходов.

2. Для аккаунтов организации в соцсетях нужно разработать план безопасности. В 2017 году кто-то взломал аккаунт компании McAfee в соцсети, исписал страницу непристойностями и заменил логотип на неприличную картинку. По репутации организации был нанесен удар. Как назло, прямо накануне взлома руководители представили сотрудникам новые ценности компании, одна из которых — всеобъемлющая открытость и прозрачность. Страница была заблокирована, администрация соцсети начала проверять принадлежность аккаунта. Взлом произошел в воскресенье, до понедельника вместо аватаров у сотрудников висело непристойное изображение (таковы были настройки соцсети — ее представители запросили подтверждение, что пострадавшие от злоумышленников — действительно те, за кого себя выдают). В понедельник компания McAfee выпустила статью для сотрудников, рассказывающую о том, почему взлом стал возможен. Оказалось, что у одного из администраторов страницы, уже не работавшего в компании, был очень простой пароль на личной странице, его и использовали для входа в аккаунт компании в соцсети.

Говоря о поведении в корпоративных соцсетях, Эллисон Сэрра рекомендует разработать правила безопасности для админов и процедуру на случай взлома аккаунта, в том числе порядок взаимодействия с администрацией соцсети в экстренных случаях и сферу ее ответственности. Важно назначить ответственного за безопасность аккаунтов, он должен регулярно проверять доступы и актуальность списка администраторов. Ну и само собой, никто не отменял правило уникальных паролей для каждого аккаунта и обязательную двухфакторную идентификацию.

3. Неравнодушие и бдительность сотрудников — основа кибербезопасности. Получили странное сообщение на рабочую почту? Вам позвонил сотрудник полиции, знающий ваши персональные данные? Подумайте о том, что это могут быть мошенники, и примите меры: спросите коллег, действительно ли они отправляли вам письмо; прервите разговор, чтобы проверить факты. Помните о том, что вы могли стать жертвой фишинга, в том числе и адресного. При подозрении на фишинг срочно сообщите об этом ИТ-отделу. И, как бы банально это ни звучало, — не сохраняйте пароли от рабочих аккаунтов на личных устройствах. Сэрра согласна, что придумывать пароли непросто, но вынуждена напоминать, что это — основа кибербезопасности. Автор книги рассказывает, что выбрала строчку из детской песенки «Джек и Джилл идут на горку», взяла первые буквы каждого слова, для надежности добавила цифры и составила из них пароль. Сайт проверки паролей утверждает, что для того, чтобы взломать его, компьютеру понадобится около трех миллионов лет.

4. Ваша организация может быть асом кибербезопасности, но компании действуют в сложных экосистемах. Любая уязвимость ваших партнеров как на уровне компании, так и в сфере личной цифровой гигиены сотрудников может стоить вам слишком дорого. Проверьте уровень кибербезопасности систем ваших партнеров и третьих лиц, вовлеченных в ваши рабочие процессы. Задача вашего директора по информационной безопасности — задать партнерам правильные вопросы. Желательно это делать в начале сотрудничества.


Цитаты


Все, кто читают эту книгу, являются либо частью проблемы кибербезопасности, либо частью ее решения.
Большинство людей не сознает всех последствий своих действий в том, что касается кибербезопасности и защиты данных компании.
При разработке любого нового продукта или услуги четко и осознанно определяйте свои требования в том, что касается данных, придерживаясь самых высоких из них, будь то законодательные нормы или этические стандарты.


Зачем мне читать эту книгу


В книге масса увлекательных историй о взломах, хакерских атаках и утечках данных. Рассказ о звонке «шерифа из соседнего штата» напоминает о звонке «оперуполномоченного из Бирюлева» или «сотрудницы соцзащиты». Однако о том, насколько беспечно мы относимся к вопросам кибербезопасности, книга Сэрра напомнит не только рядовым сотрудникам организаций: достоинство этого текста в том, что к такому же заключению придут и опытные разработчики, и специалисты по кибербезопасности.


Сэрра Э. Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании. М.: Альпина ПРО, 2022.