Як захистити себе від загрози Insider?
Найбільші загрози безпеці інформаційних ресурсів організації поки що зсередини! Цей факт може вас здивувати. Менеджери і працівники, які контролюють і контролюють співробітників, повинні, однак, знати.
Витрати, понесені Понеманом у зв'язку з порушенням захисту даних, проведеним у 2016 році, показали, що понад 64% походять від людей з інсайдерськими знаннями. Це дивно.
У чому історія? Виявилося, що працівники, відповідальні за порушення інформаційної безпеки, мають різні розміри і форми. Деякі з них – працівники, які були обдурені, щоб розкрити конфіденційну інформацію, а інші просто роблять ці помилки. Деякі просто ненавидять свою роботу, інші – просто злісні вандали або злодії.
Скільки шкоди може зробити innoId? Атака, навіть якщо вона невинна, може завдати величезної шкоди інфраструктурі організації. Це може бути настільки ж великим і руйнівним, якщо воно викликане найскладнішими кіберзлочинцями.
Що ви можете зробити?
По-перше, запитайте себе, чи є у вас офіційний план інформаційної безпеки. Ви маєте намір контролювати будь-які внутрішні загрози, якщо ви це зробите. У вас є серйозні проблеми, якщо у вас немає офіційного плану інформаційної безпеки – головним чином тому, що проблема інформаційної безпеки ледь зайнята у вашому бізнесі, якщо вона взагалі існує.
Працевлаштування та нагляд за працівниками, які матимуть доступ до критичних ресурсів, вже є частиною вашої рутини, якщо у вас є комплексний інформаційний план.
В іншому випадку, ви, мабуть, навіть не маєте переліку критичних активів, які були класифіковані як важливі. У вас недостатньо знань про те, яка інформація потрібна для захисту від загроз зсередини.
Нижче наведено кілька пропозицій, які допоможуть вам освоїти проблему:
1. Створити офіційний план безпеки на основі правил.
2. Встановити право власності на кожний інформаційний ресурс.
3. Кожен актив має бути класифікований на рівні критичності.
4. Необхідно визначити бажаний рівень компетентності для надання інформації для кожного працівника.
5. Ретельно відстежуйте кожного співробітника з метою підвищення обізнаності щодо безпеки, перевіряйте роботодавців та запитуйте правильні питання.
6. Створіть жорсткі правила контролю доступу для кожного інформаційного ресурсу.
7. Вкажіть обов'язки та обов'язки кожного співробітника в організації щодо безпеки конфіденційної інформації.
8. Співробітники повинні підписати форму, яка підтверджує їх відповідальність за конфіденційність, цілісність і доступність системних ресурсів.
9. Створення програми безперервного навчання з питань поінформованості щодо безпеки для всіх працівників.
10. Розглядати інформацію як бізнес-процес
11. Підтримуйте всіх.
12. Застосувати уроки, отримані в результаті порушень безпеки
13. Розробка та зміцнення «культури безпеки».
Ми рекомендуємо вам дізнатися якомога більше інформації про надання інформації. Див. Глосарій комп'ютерної безпеки (www.computer-security-glossary.org). Асиметричне середовище загрози, в якому ми всі живемо і працюємо, означає, що рівень компетентності в галузі захисту інформаційних ресурсів є необхідним. Альтернативою є слабкість і чутливість.
Кіберзлочинці сканують і переслідують Інтернет у пошуках погано захищеної та пористої мережевої інфраструктури. Обов'язок довіреної особи полягає в тому, щоб проводити старанність з особистими даними, які зберігаються та обробляються, – і ви несете відповідальність за своїх співробітників.