Новости

Человек – основная угроза информационной безопасности
04.04.2018


Человек – основная угроза информационной безопасности

С каждым годом информационные технологии оказывают все большее влияние как на экономику, так и на повседневную жизнь людей. Автоматизация процессов является главной задачей как правительства, так и компаний, работающих на рынке. Автоматизация позволяет повысить производительность, сократить время выполнения процесса, снизить стоимость, увеличить точность и стабильность выполняемых операций и исключает влияние человеческого фактора при выполнении операций.

Наряду со стремительным развитием информационных систем возникает вопрос защиты данных, которые в большинстве случаев являются конфиденциальными.

Разработки в области информационной безопасности призваны защитить данные от несанкционированного доступа, кибер-атак и других угроз, сопровождающихся утечкой и потерей информации. При этом помимо конфиденциальности должны обеспечиваться максимальная степень целостности и доступности информации, что существенно усложняет решение вопроса.

В зону высокого риска попадают компании при:

- отсутствии службы и политики безопасности;

- текучке кадров;

- неконтролируемом использовании сотрудниками удаленного доступа к рабочему компьютеру, мессенджеров, электронной почты и социальных сетей;

- неконтролируемом документообороте;

- регулярном отсутствии сотрудников в офисе (командировки, встречи, выставки, семинары, конференции и т.д.).

По оценке экспертов, в области информационной безопасности, около половины инцидентов в сфере защиты данных связано с человеческим фактором. Наиболее распространенные - ошибки, халатность персонала и личная мотивация с корыстным умыслом. Особое внимание стоит уделить непреднамеренным действиям, так как они непредсказуемы и трудно поддаются контролю и прогнозированию.

Можно применить новейшие технологии, выпустить бесчисленное количество приказов и регламентирующих положений, но, если процессы обеспечения информационной безопасности не будут интегрированы в общие производственные бизнес-процессы компании, все это перестанет функционировать, а технологии и документы будут пылиться на полке. Бизнес-процессы по защите информации не должны оказывать существенного воздействия на текущие процессы, но при этом обязаны не допускать их неисполнения. Очень важно помнить, что с развитием информационных технологий количество угроз продолжает расти, но тем не менее главным источником этих угроз, является человек. Человек же и противодействует им в случае их возникновения. Как и во все времена бдительность и скрупулезное выполнение своих обязанностей, включая правила компьютерной гигиены на своем рабочем месте существенно увеличивают шансы организации противостоять внешним угрозам и атакам.

Таким образом можно выделить следующие базовые этапы решения задачи обеспечения информационной безопасности:

- определить цель проведения работ по защите информации (обеспечение соответствия требованиям регулирующих органов, защита отдельных данных, требование руководства);

- не пытаться защитить всё от всех. Это невозможно. Лучше четко сфокусироваться на конкретной задаче и решить ее;

- учитывать особенности конечного пользователя. Запугать исполнителя механизмами защиты информации очень легко, но он неизбежно будет стараться упростить себе жизнь. Например, слишком длинный и сложный пароль, который часто меняется, будет записан на листке на мониторе;

- конструировать бизнес-процессы таким образом, чтобы они сами обеспечивали свою безопасность: вводить функцию проверяющего, без одобрения которого не произойдет ни одна операция, лишить привилегированных прав руководителей подразделений, чтобы исключить возможность принятия решения одним человеком и т.п.;

- применять технические средства защиты только если есть четкое понимание какие задачи будут решаться и какие конкретные угрозы будут предотвращать;

- провести обучение всех сотрудников, включая удаленных, по вопросам обеспечения безопасности информации.

Разумеется, мы описали не все возможные принципы решения этой задачи. Каждый может добавить что-то от себя и из своего опыта. Но предложенные решения могут служить ориентиром при построении системы информационной безопасности в компании.

Руководящие документы позволяют организациям, обладающим лицензией на работы по защите информации самостоятельно проводить анализ угроз и рисков информационной безопасности, применяя различные технологии по защите информации. Глубокий и всесторонний анализ инфраструктуры, в которых функционируют системы, анализ процессов обработки данных, выявление актуальных и потенциальных угроз, поиск возможных векторов атак, повышение осведомленности персонала, а также формирование зрелости руководства в области ИБ, позволят найти пути и меры по компенсации угроз информационной безопасности и тем самым существенно повысить ее уровень.

 

Уголев Кирилл

Директор департамента по информационной безопасности

Active Telecom



← Назад к списку новостей