Источники проблем
— Типичная история появления стартапа: вам и вашему другу пришла в голову гениальная идея, вы обсудили её, собрали группу энтузиастов — команда мечты готова. Проблемы наступают, когда стартап переходит от модели «все свои» к выстраиванию рабочих процессов и найму специалистов. В этот момент коллектив единомышленников расширяется и становится группой случайных людей, с разным пониманием того, какая информация конфиденциальна и как её сохранить.
При этом люди, которые приходят работать в стартапы, часто энтузиасты и авантюристы. Они быстро влюбляются в идею, но также часто меняют предмет интересов и уходят. Это создаёт текучесть кадров.
Типичные ошибки стартапов в ИБ
Лишние права
Часто при необходимости предоставить сотруднику доступ к ресурсу ему сразу выдают права администратора. Но чем больше у работника прав, тем больше пространства для ошибки и тем выше цена провала.
Отсутствие продуманной системы хранения информации
В целом это неполезно для любого бизнеса. Но в стартапе из-за той же текучести кадров вы однажды можете просто не найти контакты подрядчиков или описание каких-то характеристик программ. Скорее всего, оно где-то существует, но вот где именно? Когда-то «тайной» владел первый разработчик, но на этой должности уже дважды сменялись люди.
Забытые пароли
Человек, который заводит где-нибудь новый аккаунт для нужд компании, не задумывается о том, что со временем он уйдёт. А когда уходит, забирает с собой важную информацию.
Общие пароли
При высокой текучке привлекательно выглядит идея использовать общие аккаунты. Но чем больше людей знают пароль, тем больше шансов, что он утечёт.
Пароли в облачных сервисах
Ещё одна ошибка, связанная с паролями, — хранить их в каком-нибудь файле в Google Docs, да ещё и доступном по ссылке. Видимое преимущество — очень удобно передавать нужную информацию всем сотрудникам. Вот только документы в облаке Google, которые распространяются по ссылке, индексируются поисковиками. Иначе говоря, файл со всеми вашими паролями может попасть в чужие руки.
Отсутствие двухфакторной аутентификации
Двухфакторная аутентификация на рабочих аккаунтах позволяет защитить важные данные от различных способов кражи мошенниками.
Универсальные советы по профилактике киберугроз
- Основной принцип, которым нужно руководствоваться в вопросе предоставления доступа к ресурсам — принцип минимальных привилегий. Сотрудник должен иметь набор доступов, минимально необходимый для решения рабочих задач.
- Необходимо точно понимать, где и как хранится важная для вашей компании информация и кто имеет к ней доступ. Исходя из этого, нужно выработать общий алгоритм, по которому вы взаимодействуете с новыми сотрудниками, и чётко прописать, какие учётные записи необходимо заводить каждому сотруднику, а какие нужны только для определённых ролей.
- Предотвратить опасность помогает развитие в корпоративной культуре понимания основ информационной безопасности, оформленные в инструкции: какие должны быть пароли, на что обращать внимание в письмах, не качайте непроверенные файлы, к кому обратиться, если компьютер ведёт себя странно и т. д.
- Разумно использовать механизмы двухфакторной аутентификации всюду, где только возможно.
- Необходимо приучить своих сотрудников блокировать технику, если они отходят от рабочего места. В маленьких компаниях, где «все свои», это делают крайне редко. Но ведь помимо работников в офисе могут находиться курьеры, клиенты, подрядчики или соискатели.
- Компьютеры и другие технические ресурсы должны быть защищены от вирусов, троянов и прочих вредоносных программ, а пароли от важных ресурсов храниться в надёжном менеджере паролей.
Ряд перечисленных задач можно решить с помощью Kaspersky Small Office Security. Это решение было разработано специально для небольших компаний. Оно защитит устройства ваших сотрудников от программ-вымогателей, поможет с шифрованием и резервным копированием важной информации. Также в лицензию Kaspersky Small Office Security входит диспетчер паролей.