1. Проверяйте роли и полномочия учётных записей
Власть пользователей над системой не должна быть безграничной. Сотрудникам достаточно иметь доступ к рабочим программам. А установку софта и контроль над системными файлами лучше оставить за ИТ‑специалистами. Так вы обезопасите себя от ситуаций, когда сотрудник запускает вредоносный файл от имени администратора и позволяет ему делать всё без ограничений: заражать вирусами, собирать информацию, шпионить или использовать компьютер для майнинга криптовалют.
Но разграничить права в системе мало. Учётные записи нужно время от времени проверять и актуализировать. Например, следить за тем, чтобы новые работники не получили доступ с расширенными правами. Менять настройки, когда выявляются уязвимые места. И проверять аккаунты сотрудников, которые больше не работают в компании, — они должны быть деактивированы или удалены.
Александр Буравлёв
Технический директор компании «Аквариус».
Периодически обращайтесь к профессионалам для аудита информационной безопасности в вашей компании. Так регулярно делает большинство крупных организаций, например банков. Взгляд на систему со стороны помогает понять, что ваши ИТ‑специалисты могли упустить при внесении очередных изменений или настроек. Лучше вовремя понять уязвимые места в безопасности, чем потом разбираться с ущербом.
2. Следите за безопасностью паролей
Некоторые компании предписывают сотрудникам менять пароли каждые 90 дней. Но иногда это может снизить уровень безопасности. Во‑первых, новый код доступа часто записывают в блокнот, заметки телефона или оставляют стикер с паролем на мониторе. Во‑вторых, часто пользователи меняют лишь последнюю цифру или всё время чередуют два привычных пароля. Код доступа обязательно нужно изменить, если он был скомпрометирован, например, оказался в слитой базе. В остальных случаях часто менять пароль необязательно.
Лучше совершенствуйте требования к безопасности паролей: они должны быть длинными и сложными, содержать разные типы данных (буквы, цифры, знаки). Кроме того, включайте проверку истории пароля, чтобы избежать чередования одинаковых комбинаций. Будет лучше дополнить пароль многофакторной аутентификацией, например, считыванием отпечатка пальца или сканированием лица Face ID.
3. Актуализируйте ИТ‑инструкции
Некоторые из ИТ‑задач сотрудники в состоянии решить сами. Чтобы пользователи не обращались к сисадминам по любой мелочи, компании разрабатывают wiki‑инструкции с пояснениями: как настроить почтовые клиенты, подключиться к VPN, воспользоваться офисным принтером и так далее. Лучше всего такие гайды работают в формате видеоролика с пошаговым процессом глазами пользователя. Сотрудники будут делать всё правильно, а сисадмины не погибнут от свалившейся работы, если вы будете следить за регулярным обновлением этих инструкций. Особенно когда у вас в компании появляются новые бизнес‑процессы или устройства.
Кроме того, актуализируйте инструкции с правилами поведения при возникновении проблем и сбоев. Сотрудники должны понимать, когда не стоит пытаться починить всё самостоятельно, и знать, куда бежать, если работа компьютера серьёзно нарушена. Следите за тем, чтобы в шпаргалках по ИТ всегда были актуальные имена и контакты ответственных сисадминов. Проще всего это делать в электронном виде — так вам не придётся каждый раз выдавать команде новые распечатки.
4. Проверяйте лицензии рабочего софта
Вирусы, ограничение полезных функций, слив ваших данных — некоторые возможные последствия использования пиратских программ из интернета. Вы сэкономите деньги на покупке софта, но ежедневно будете рисковать своим бизнесом. Оплатить лицензионную программу намного выгоднее, чем чинить всю ИТ‑систему офиса или компенсировать ущерб клиентам, чьи персональные данные утекли в Сеть из‑за вас.
Следите, чтобы ваши сотрудники не скачивали непроверенный софт из интернета, а вместо этого говорили вам, каких программ им не хватает для решения рабочих задач. Не забывайте проверять срок действия лицензии и при необходимости её продлевать, чтобы работа компании не встала в самый неподходящий момент.
Надёжный и привычный всем бизнес‑софт поможет избежать многих проблем. Важно, чтобы механизмы киберзащиты были интегрированы в продукт изначально. Тогда будет удобно работать и не придётся идти на компромиссы в вопросах цифровой безопасности.
Пакет программ Microsoft Office 365 включает целый ряд интеллектуальных средств кибербезопасности. Например, защиту учётных записей и процедур входа от компрометации с помощью встроенной модели оценки рисков, беспарольную или многофакторную аутентификацию, для которой не нужно приобретать дополнительные лицензии. Также сервис обеспечивает динамический контроль доступа с оценкой рисков и учётом широкого спектра условий. Кроме того, Office 365 содержит встроенные средства автоматизации и аналитики данных, а ещё позволяет контролировать устройства и защищать данные от утечки.
Познакомиться с Office 365 поближе
5. Напоминайте сотрудникам о важности кибербезопасности
Комментариев нет:
Отправить комментарий