Защита ИТ-инфраструктуры: виды, способы, аутсорсинг
Крупные компании знают, как важна информационная безопасность и прилагают много усилий, чтобы предотвратить несанкционированный доступ к счетам и базам данных, промышленный шпионаж, кражу интеллектуальной собственности. Но представители среднего и малого бизнеса часто недооценивают эту проблему, думая, что их секреты вряд ли кому-то интересны. И это большая ошибка.
Целевые атаки на IT-систему конкретной компании бывают не так уж часто. Но ежедневно сотни компаний страдают от других угроз: компьютерных вирусов, отказа техники из-за действий неопытных пользователей, случайного удаления файлов, путаницы в важных данных и т.д. Все это может затормозить рабочие процессы, привести к срыву обязательств и утрате доверия клиентов. Есть и прямые финансовые угрозы. Ни одна компания не застрахована от получения вредоносного ПО, которое открывает злоумышленнику доступ к локальной сети, бухгалтерским программам, банковским счетам. Часто такое ПО рассылается в безобидных с виду е-мейлах со ссылкой или прикрепленным файлом.
Между тем, чтобы избежать этих опасностей, не нужно больших затрат. Достаточно установки антивирусной защиты и соблюдения определенных процедур. При заключении договора на обслуживание ИТ-инфраструктуры услуги по обеспечению информационной безопасности входят в стандартный пакет.
Что включает информационная безопасность
Формирование безопасной ИТ-среды в корпоративной сети ведется по четырем направлениям:
- Разграничение прав доступа — одна из первых задач в организации защиты данных. Важно, чтобы каждый сотрудник имел доступ только к тем сведениям, которые необходимы ему для работы. Это снизит риск утечек – например, передачи базы поставщиков или покупателей конкурентам, а также поможет разобраться в спорных ситуациях, определить круг ответственных лиц, избежать ошибок и путаницы. Часто малый бизнес недооценивает такую проблему, ошибочно считая, что компании с небольшим штатом сотрудников это ни к чему.
- Сохранность важных данных — информация, которая представляет ценность для компании, должна надежно храниться на серверах или облачных хранилищах с защитой от несанкционированного доступа. Также важно настроить резервное копирование, чтобы бухгалтерская и управленческая документация не была утеряна из-за возможных сбоев в работе оборудования, случайного или намеренного удаления файлов и т.д.
- Работоспособность ИТ-инфраструктуры — это направление включает защиту от компьютерных вирусов и других факторов, способных затормозить или нарушить работу оборудования и программного обеспечения. Одним из таких факторов могут стать некорректные действия самих пользователей, поэтому важно развивать компьютерную грамотность среди сотрудников компании-клиента.
- Контроль над финансами — предотвращение несанкционированного доступа к банковским счетам, финансовым операциям и т.д. Несмотря на то что здесь небрежное отношение может привести к прямым финансовым потерям, многие надеются, что безопасность обеспечит банк и не уделяют этому вопросу должного внимания. Банки действительно обеспечивают надежную защиту со своей стороны, но они не в силах защитить от взлома локальную сеть компании. Здесь уместно сравнение с защитой жилья: производитель может создать надежную дверь и замок, но если вы сами потеряете ключи, это не поможет.
Финансовая ИТ-безопасность
Работа с финансовыми инструментами и, в частности, с системой клиент-банк требует особых мер безопасности. Стоит выделить для этого отдельный ПК (можно использовать ноутбук), который не будет использоваться для других рабочих задач. Выход в глобальную и локальную сеть с данного ПК лучше закрыть, оставив лишь доступ к сервису банковского обслуживания.
Если рабочие процессы требуют взаимодействия с внешними контрагентами именно с этого ПК, организацию безопасности такого взаимодействия лучше поручить профессионалам. Для своих клиентов мы находим индивидуальные решения с учетом рабочих процессов компании. Передавая защиту ИТ-инфраструктуры на аутсорсинг специалистам БОАС, можно рассчитывать на вдумчивый подход, а при необходимости — на разработку уникального ПО специально под бизнес-модель клиента.
Не стоит пренебрегать и общеизвестными правилами безопасности: у каждого сотрудника, использующего систему клиент-банк, должен быть свой собственный ключ. Физический носитель ключа необходимо извлекать из ПК сразу по окончанию сеанса.
Общие методы защиты ИТ-инфраструктуры
Существует ряд мероприятий по обеспечению ИТ-безопасности, которые нужны любой компании, независимо от вида деятельности. Они универсальны, то есть работают сразу по нескольким направлениям: способствуют защите финансов, сохранности важных данных, предотвращению доступа посторонних лиц в корпоративную сеть и т.д. Перечислим важнейшие из них:
- Ограничение пользовательских прав — у рядовых сотрудников не должно быть прав администратора, позволяющих самостоятельно удалять или устанавливать ПО. Во-первых, это способствует антивирусной защите, ведь большинство вирусов не может активироваться, проникнув через аккаунт с ограниченным доступом. А во-вторых, пользователь не сможет случайно или умышленно нанести глобальный вред ИТ-системе.
- Антивирусная защита — установку и регулярное обновление антивирусных программ можно сравнить с прививками от распространенных и опасных заболеваний. Это стандартные меры, которые нужны «по умолчанию», до возникновения проблем. Для повышенной безопасности можно установить еще один антивирус на шлюзе, выпускающем трафик в глобальную сеть.
- Отключение встроенных учетных записей — на ПК и другом оборудовании, операционная система которого предполагает работу нескольких пользователей, есть встроенные учетные записи «Администратор» и «Гость», но ради безопасности их стоит отключить.
Если «Гость» обладает небольшим набором прав, то привилегии «Администратора» превышают права любого из пользователей. Если к этой учетной записи получит доступ стороннее лицо или злоумышленник (например, путем подбора паролей), последствия будут катастрофическими. - Безопасное хранение данных — ценная информация не должна храниться на рабочих станциях (ПК сотрудников). Компании необходим файловый сервер, где такие данные будут систематизироваться и храниться с ограничением доступа.
- Отдельного внимания стоят данные, с которыми по роду деятельности работают многие сотрудники. Они должны находиться в специально созданной базе с гибкой настройкой прав доступа. Например, если менеджеру не требуется полный список покупателей, достаточно открыть ему доступ к тем контрагентам, с которыми он непосредственно работает. Это снижает риск «офисных войн» и краж клиентской базы.
- Резервное копирование — еще один момент, о котором часто вспоминают только после возникновения проблем. Настройка автоматического резервного копирования с хранением копий на сервере позволит в любой момент восстановить утерянные данные. Если компания самостоятельно занимается этой задачей, важно, чтобы администратор вовремя реагировал на сообщения программы об ошибках и неудачном копировании.
- Безопасное подключение сервера к Интернету — если речь о терминальном сервере и рабочие процессы требуют подключения его к сети, важно настроить работу через VPN и двухфакторную авторизацию. При этом стоит позаботиться о том, чтобы пользователи не смогли установить легкие для взлома пароли (и это касается не только доступа на сервер). В случаях, когда подключение через VPN невозможно, опытный ИТ-специалист может организовать связь через нестандартный порт с защитой от взлома методом подбора пароля.
- Наблюдение за работой ИТ-инфраструктуры — контроль показателей загрузки процессора, свободного объема оперативной памяти и др. Это необходимо для того чтобы предотвратить нецелевое использование ИТ-мощностей сотрудниками компании или сторонними лицами. Например, злоумышленники могут искать доступ к чужим ПК не только с целью воровства денег и ценной информации, но и для того чтобы использовать их в генерировании криптовалюты, запуске DOS-атак и т.д. Поэтому нетипичная загрузка процессора или другая подозрительная активность должна быть вовремя замечена, чтобы найти и устранить уязвимость.
- Регулярное обновление ПО — рутинная процедура, польза которой очевидна, тем не менее, часто игнорируется собственниками малого бизнеса. Логика проста: зачем обновлять то, что и так работает? Но, во-первых, это позволяет устройствам работать быстрее, а во-вторых, в обновленных версиях устраняются обнаруженные уязвимости. Наконец, массовая установка обновлений, когда ПО окончательно выходит из строя, может вызвать неполадки и сбои, которых легко избежать, если делать все в плановом порядке.
Отдельно стоит сказать о повышении компьютерной грамотности сотрудников. Ведь любые технические ухищрения будут неэффективны, если взлом произойдет методом социальной инженерии. Например, сотрудник может сам отправить логин и пароль злоумышленнику, заполнив форму в письме от «службы поддержки» — это старая мошенническая схема, но она по-прежнему работает.
Кроме того, персонал, ознакомленный с азами компьютерной грамотности, легче воспринимает такие неудобства, как необходимость запомнить сложный пароль, запрет на использование браузеров на определенных ПК, учетные записи с урезанными правами и т.д. Понимая, что эти ограничения приняты ради безопасности, сотрудники будут относиться к ним спокойнее.
Принимая на обслуживание ИТ-инфраструктуру наших клиентов, специалисты БОАС проводят аудит безопасности, проверяя выполнение этих пунктов и других необходимых мер. Для того чтобы обеспечить конфиденциальность и сохранность данных компании не нужно больших затрат — как правило, достаточно внимательности и соблюдения рекомендаций.