10 основ кибер-безопасности, о которых должен знать каждый сотрудник организации.

Как бы ни хотела компания защитить свою конфиденциальную информацию, реальность такова, что обычно сотрудники несут большую часть ответственности. Самым слабым звеном в данной цепи, как правило, является человек: он ищет более легкие пути, его проще обмануть, а иногда он не предпринимает тех мер предосторожности, которые должен был бы сделать. Именно поэтому крайне важно, чтобы сотрудники знали, что необходимо делать, чтобы обеспечивать безопасность корпоративных данных и систем.

10 основ кибер-безопасности, о которых должен знать каждый сотрудник предприятия

1. Подтверждайте личность каждого, кто запрашивает информацию
Особенно это полезно для администраторов, сотрудников колл-центра или специалистов технической поддержки, менеджеров по работе с персоналом, а также других специалистов, чья работа требует обработки персональной информации. Хакеры пользуются наивностью и добросовестностью этих сотрудников, чтобы получить информацию самым простым и наиболее очевидным способом: запросить ее. Для этого злоумышленники выдают себя за поставщиков, клиентов или других сотрудников компании, которые имеют вполне законные основания для запроса данной информации.
Очень важно, чтобы сотрудники знали эти приемы, и прежде чем предоставлять информацию, они были уверены в том, что человек на другом конце телефона или электронной почты является именно тем, за кого он себя выдает.

2. Всегда держать пароли в безопасном месте
Если мы беспокоимся о своих персональных паролях, которыми мы пользуемся в своей повседневной жизни, то нам надо быть крайне осторожными и в отношении тех паролей, которые мы используем для доступа к корпоративной информации. Во-первых, следуйте рекомендациям по созданию безопасных паролей : не используйте одинаковый пароль для различных аккаунтов, не используйте те пароли, которые содержат очевидную персональную информацию (день рождения, номер телефона, имя щенка, любимая футбольная команда и пр.). Кроме этого, убедитесь в том, что пароль содержит цифры и буквы, причем еще лучше, если буквы будут сочетать заглавные и прописные.
Также важно, чтобы сотрудники не оставляли код доступа к корпоративной Wi-Fi записанным на бумажке (например, на стикере, который наклеен на мониторе). Наконец, возвращаясь к первому пункту, никогда не сообщайте Ваш пароль кому-либо, кто просит его у Вас по телефону или электронной почте, даже если человек утверждает, что он работает в отделе технической поддержки Вашей компании или в компании, которая предоставляет данный сервис.
3. Храните информацию в надежном месте
Хранение информации, связанной с Вашим бизнесом или клиентами, на жестком диске Вашего компьютера – это, в общем-то, не самая хорошая идея. Компьютеры склонны к авариям и подвержены атакам, что может привести к потере ценной информации. Ноутбуки также подвержены кражи или потере. Лучше всего сказать сотрудникам, чтобы они хранили файлы на серверах компании (если таковые есть) или в корпоративном облачном сервисе.

Если они все же должны хранить что-то на своем жестком диске, важно, чтобы они делали резервные копии с такой периодичностью, чтобы в случае проблемы можно было восстановить файл.

4. Резервные копии – ничто, если их можно потерять
Опять же, данный совет может показаться очевидным, но такое случается чаще, чем Вы думаете. Если сотрудники используют ноутбук и делают копии на USB, важно, чтобы они не хранили эту «флэшку» вместе с ноутбуком. Просто представьте, что Вы потеряли или у Вас украли Ваш рюкзак, в котором находились ноутбук и резервная «флэшка» — в этом случае Вы потеряли и резервные копии файлов.

5. Будьте внимательны при хранении и обмене информации через Интернет
Если компания не может хранить информацию у себя внутри, то лучше всего воспользоваться безопасным облачным сервисом для хранения оригиналов или копий. В целом, провайдеры облачных сервисов лучше готовы к кибер-атакам и другим инцидентам, чем малые или средние предприятия.
Впрочем, существуют определенные риски, связанные с использованием онлайн-средств, подобные тому, что мы уже упоминали выше. Безопасность и конфиденциальность хранящихся данных зависит от пароля, используемого сотрудником, а потому важно, чтобы сотрудники не предоставляли эти пароли тем, кто может иметь недобрые намерения. Кроме того, не следует хранить документы на персональных аккаунтах, а доступ к облачному сервису должен быть ограничен для незащищенных компьютеров, через небезопасные соединения и пр.

6. Будьте осторожны с письмами от незнакомцев
Одним из основных инструментов, который используется кибер-преступниками для проникновения в организацию с целью кражи информации, является электронная почта. Если Ваши сотрудники имеют корпоративный адрес почты, первое, что Вам необходимо сделать, — это убедиться в том, что они не используют его в личных целях (например, публичные форумы, публичные веб-сайты и пр.). Для электронной почты очень легко попасть в список спамеров, а это будет означать, что на него будут приходить письма, которые не только будут раздражать, но и представлять определенную опасность.
В общем, лучший совет, который Вы можете дать Вашим сотрудникам относительно электронной почты: никогда не отвечать на письмо, которое пришло от неизвестного или подозрительного отправителя. Также они не должны открывать или скачивать любые вложения в письмах от этих отправителей, т.к. они могут содержать вредоносные программы, которые могут повредить не только компьютер, но и всю сеть компании.
7. Не устанавливайте программы из неизвестных источников
Повторимся снова, сотрудники должны доверять только тому, что они знают. Вполне нормально, когда компании с помощью управления правами в операционной системе ограничивают сотрудников в установке тех или иных программ на свои компьютеры. Однако, если они способны запускать новое ПО на своих компьютерах, то Вы должны потребовать от них, чтобы они не скачивали программы с подозрительных веб-страниц. На самом деле, они даже не должны посещать их, т.к. веб-браузер также представляет собой точку входа для кибер-преступников.

8. Будьте осторожны с социальными сетями
Относительно новый (а потому не до конца известный) риск представляют собой социальные сети. Если сотрудник в рабочее время посещает Facebook или Twitter в личных целях, то это представляет собой опасность для компании, потому что как минимум это негативно влияет на его производительность. Особую опасность представляют селфи, сделанные на предприятиях с критической инфраструктурой, после чего они были опубликованы, например, в Instagram.

9. Используйте хороший антивирус
Прежде чем использовать любой компьютер или мобильное устройство, первое, что Вам следует сделать, — это установить хороший антивирус. Если это важно для домашних пользователей, то для корпоративных пользователей он приобретает огромное значение. Решение безопасности, которое специально разработано для предприятий, защищает компьютеры и данные компании в различных обстоятельствах, даже когда сотрудники совершают ошибку.

10. Самый простой способ не всегда самый безопасный
Это правило не столько для сотрудников предприятий, сколько для самих работодателей: если Вы делаете что-то слишком сложно для своих сотрудников, то они будут искать способ обойти Ваши меры безопасности. Все, что мы говорили выше, вполне очевидные вещи, но важно не переусердствовать.

Если Вы просите своих сотрудников менять пароль каждую неделю, то будьте готовы к тому, что кто-то из сотрудников будет записывать его на бумажку и прикреплять к своему монитору. Если доступ к программе/сервису/инструменту, который сотрудники используют ежедневно в своей работе, становится слишком сложным в целях безопасности, то они будут использовать что-то другое (или, что хуже всего, будут использовать то, чем они пользуются в своих личных целях). Если сотрудники не знают, как сохранить файлы таким способом, как Вы этого просите, то они будут использовать другой способ, который в конечном итоге может оказаться не таким безопасным.

Источник: https://www.securitylab.ru/blog/company/PandaSecurityRus/275518.php