Как построить эффективную систему информационной безопасности: 10 рекомендаций Check Point

Как построить эффективную систему информационной безопасности: 10 рекомендаций Check Point

Сегодня, когда разработка вредоносного программного обеспечения превратилась в настоящую индустрию и даже неопытные хакеры совершают изощренные кибератаки, необходимо обеспечить надежную работу системы информационной безопасности компании. Она должна защищать так же эффективно, как система охранной сигнализации.

К сожалению, далеко не во всех компаниях знают, что делать, чтобы построить систему информационной безопасности. Многие руководители полагают, что для обеспечения безопасной работы в интернете достаточно заблокировать для сотрудников посещение подозрительных сайтов и обязать их никому не сообщать пароли. Такое пренебрежение основными правилами безопасности приводит к неприятностям. Например, в 2014 году киберпреступники похитили идентификационные данные более 500 миллионов пользователей.  

 

Обычный рабочий день предприятия

Каждую 1 минуту с одного из хостов пытаются зайти на подозрительный сайт

Каждые 3 минуты бот обменивается информацией со свои командным центром

Каждые 9 минут используется небезопасное приложение

Каждые 10 минут загружается известный вредоносный код

Каждые 27 минут загружается неизвестный вредоносный код

Каждые 49 минут за пределы компании пересылаются конфиденциальные данные

 

 

Компания Check Point Software, ведущий поставщик решений и технологий для защиты от кибератак, подготовила десять рекомендаций, которые помогут сделать систему информационной безопасности эффективной.

1. Не бойтесь внедрять инновации, но помните о безопасности

Система информационной безопасности не должна препятствовать развитию бизнеса и внедрению инноваций, а, напротив, должна способствовать этому. Например, именно из соображений безопасности многие компании пока не применяют модель BYOD (Bring Your Own Device, когда сотрудники используют для рабочих целей личные устройства), хотя она избавляет от затрат на покупку и обслуживание мобильных устройств и упрощает работу сотрудникам. В частности, такие компании опасаются, что мобильное устройство с важной информацией может быть утеряно или украдено, а при увольнении сотрудника у компании не будет технических возможностей для удаления оставшихся на его смартфоне или планшете корпоративных данных — и в результате может произойти утечка конфиденциальной информации. Принимая решения о внедрении инноваций, необходимо провести тщательный аудит возможных рисков безопасности. Это избавит от неприятных побочных последствий применения новых информационных технологий и даст уверенность, что инновация не приведет к образованию брешей в системе информационной безопасности предприятия.

2. Не теряйте бдительность и будьте готовы к отражению новых угроз

Систему информационной безопасности нужно постоянно проверять и улучшать. К сожалению, многие компании после внедрения системы безопасности уверены, что теперь проблема защиты от киберпреступников решена раз и навсегда. При этом они не учитывают, что постоянно возникают все новые и более опасные киберугрозы. Check Point советует регулярно проводить анализ используемой в компании системы безопасности и определять, насколько эффективно она защищает от новых угроз, и привлекать специалистов для выявления ее слабых мест.

3. Уделите основное внимание защите самых ценных ресурсов

Необходимо сосредоточиться на защите самой ценной информации и не растрачивать ресурсы, пытаясь обеспечить безопасность всех данных компании. Следует определить те участки ИТ-инфраструктуры компании, на которые в первую очередь могут быть нацелены действия киберпреступников, и обеспечить защиту именно им. Определяя ущерб от возможной кибератаки, нужно учитывать не только прямые убытки от кражи корпоративных данных, но и урон имиджу компании (ведь об инциденте наверняка станет известно) и штрафы за невыполнение требований законодательства.

4. Разработайте план восстановления бизнеса

Всегда нужно быть готовым к худшему сценарию и помнить, что чем больше организация и сложнее ее структура, тем больше рисков для безопасности. Компания должна разработать план восстановления бизнеса на случай различных чрезвычайных событий, включая не только аварии или природные катаклизмы, но и массовые вирусные атаки или саботаж. Следует привлечь сторонних экспертов для выявления потенциальных угроз безопасности и тщательно подготовить меры по защите от этих рисков, что позволит свести к минимуму ущерб от атак киберпреступников. Также важно донести до всех сотрудников, которые обеспечивают безопасность, инструкции к  действию в случае инцидентов и четко разграничить их сферы ответственности.

5. Обучайте сотрудников

Необходимо обучать персонал компании основам информационной безопасности. Согласно исследованиям, большинство инцидентов безопасности связаны с человеческим фактором, причем значительная часть таких случаев вызвана действиями рядовых пользователей. Например, среди частых причин возникновения утечек информации — потеря мобильного устройства и отправка письма с конфиденциальной информацией по неправильному адресу. Объясните сотрудникам, что попытка зайти на подозрительный сайт или открыть сомнительное вложение электронного письма в большинстве случаев приведет к заражению компьютера и последующей кибератаке на компанию с самыми непредсказуемыми результатами.

6. Не ограничивайтесь требованиями законодательства

Для эффективной безопасности недостаточно только выполнять требования законодательства и регулирующих органов. Следует помнить, что законодательные нормы и правила определяют лишь минимальный набор требований к информационной безопасности и ориентированы на хорошо известные угрозы, поэтому нельзя строить систему информационной безопасности компании только исходя из требований законодательства.  Разумеется, эти требования обязательны для выполнения, но несмотря на их регулярное обновление, они не способны охватить все разнообразие существующих угроз.

7. Сделайте информационную безопасность частью корпоративной культуры

Информационная безопасность должна стать корпоративным стандартом, который соблюдают все сотрудники компании. Для этого надо разработать четкую политику безопасности, которая будет понятна сотрудникам и поэтому ее будет легко реализовать. Чем больше сотрудников привлечены к разработке и применению на практике корпоративной политики защиты информационных ресурсов, тем меньше риск, что в системе информационной безопасности компании останутся несовершенства, которыми смогут воспользоваться киберпреступники.

8. Заручитесь поддержкой руководства

Информационная безопасность должна стать приоритетом для всего руководства компании, а для этого руководители должны хорошо понимать потенциальные потери от киберпреступлений. Также рекомендуется регулярно информировать руководство о текущем состоянии информационной безопасности в компании, разработать ключевые показатели эффективности службы безопасности (KPI) и формы отчетности, которые помогут оценить эффективность вложенных средств и обосновать инвестиции в развитие системы информационной безопасности в будущем.

9. Обеспечьте оперативное информирование

Крайне важно своевременно доводить до сведения всех заинтересованных лиц инициативы по обеспечению информационной безопасности и объяснить их необходимость. Все сотрудники, от которых зависит информационная безопасность компании, должны знать о новейших угрозах и об инвестициях вашей компании в обеспечение всесторонней защиты.

10. Привлекайте аутсорсинг, если своих ресурсов мало

Аутсорсинг оправдан тогда, когда у вашей компании не хватает ресурсов или экспертных знаний для внедрения системы информационной безопасности. Однако если вы решили обратиться к провайдеру безопасности, то требуйте от него следования вашей политике безопасности и подписания соглашения об уровне сервиса (SLA), в котором четко определены критерии доступности систем и показатели их восстановления. Также при использовании услуг провайдера облачных сервисов для хранения, обработки и управления данными следует перед подписанием контракта внимательно изучить его политику безопасности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru