| +33 голоса |
|
Утечка данных болезненна для любой компании. Вопрос не только в возможных прямых финансовых потерях, но также в негативном влиянии на репутацию, на отношения с контрагентами и т. д. Поэтому одной из приоритетных задач информационной безопасности является минимизация подобных рисков.
Утечка данных сама по себе возможна в результате ряда причин: хакерской атаки, кражи или потери устройства с данными, преднамеренных зловредных действий пользователей, а также безответственного отношения либо ошибок совершенных теми же пользователями.
И как показывает практика, около 80% — это как раз два последних случая, связанных с человеческим фактором. Преднамеренный «слив», случайная отправка на ошибочный имейл, другие инциденты вытекающие из незнания правил работы с персональными данными и конфиденциальной информацией. Нельзя недооценивать и фактор хакерских атак — с каждым днем их количество и сложность только растут.
Классической ошибкой является расчет на то, что лишь внедрив какую-то определенную технологию, можно остановить утечки данных. Или что выделенный сотрудник (или даже отдел) информационной безопасности может справиться с этой задачей. Что же делать и с чего начать?
Для начала бизнес должен определить, какими типами чувствительных данных оперирует в рамках своей деятельности (конфиденциальные, служебные, персональные и т.д.) и кто из персонала компании, для выполнения своих служебных задач, должен иметь к ним доступ.
Следующим шагом требуется регламентировать правила работы с такими типами данными (назначение уровня конфиденциальности, правил хранения и передачи и т. д.). После этого на самом деле наиболее сложное: пользователей с доступом к перечисленным типам данных необходимо проинформировать о правилах работы с ними, обучить обязательным процедурам (классификация данных, работа с ними на каждом этапе жизненного цикла) и внедрить контроль выполнения этих процедур со стороны информационной безопасности.
Ключевой момент здесь — если определенный пользователь создает файл, включает туда известную ему конфиденциальную информацию, то именно этот пользователь как владелец файла обязан поставить соответствующую отметку об уровне конфиденциальности (реализовать такой подход возможно к примеру с помощью решений для пользовательской классификации данных).
Информационная безопасность же должна контролировать корректность классификации данных, назначенной пользователями. И в зависимости от указанного уровня конфиденциальности данных, обеспечивать сервис их защиты (в т.ч. с помощью Data Loss Prevention технологий, шифрования, разграничения доступов и т.д.).
Такой подход позволяет качественно обучить пользователей процедурам работы с конфиденциальными данными, а далее фактически вовлечь пользователей в процесс их защиты. Как следствие вероятность ошибки пользователя минимизируется, возможность злоупотребления становится более сложной и рискованной, а эффективность работы внедренных технологий защиты данных резко увеличивается.
Естественно, это не весь путь, который необходимо пройти бизнесу для эффективной защиты данных, а скорее его начало. Системная работа с пользователями, повышение устойчивости и безопасности ИТ-инфраструктуры, внедрение механизмов мониторинга и реагирования на инциденты — далеко не полный перечень необходимых мер.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +33 голоса |
|
