Не раскрывайте свои секреты!

Не раскрывайте свои секреты!

Расширенная пропускная способность компьютерных сетей, возможность хранить, передавать и перемещать большие объемы информации - сейчас это доступно каждому. Однако с большими возможностями связаны и большие опасности.

В настоящее время наблюдается широкое распространение бесплатных или недорогих сайтов для хранения информации online, таких как Yahoo! Briefcase, который дает возможность пользователям бесплатно хранить до 30 Мбайт информации. Множество других сайтов предоставляют еще большие возможности. Например, Flip Drive предлагает целых 5 Гбайт на 30 дней.

Подобных сайтов так много, что очень трудно учесть их все, соответственно сложно (или даже невозможно) блокировать к ним доступ сотрудников компании. А следовало бы.

Многие из этих сайтов позволяют пользователям обмениваться файлами, что представляет собой явную угрозу конфиденциальной информации.

Так как люди могут переслать важную информацию одним лишь "кликом" мышки, менеджеры компаний должны большее внимание уделять защите конфиденциальной информации. Первый шаг - убедиться, что для каждого цифрового файла установлены соответствующие права доступа. Не каждый сотрудник компании должен иметь доступ к любому файлу. К сожалению, во многих организациях это правило не соблюдается, так как гораздо проще предоставить каждому сотруднику полные права доступа, чем выяснять, кому предоставить возможность доступа к тем или иным файлам, а кому нет. Однако в такой ситуации угроза кражи корпоративной информации сотрудниками компании возрастает в разы.

Пользователи должны иметь доступ только к тем файлам, которые им нужны для выполнения своей работы. Решить данную проблему помогут утилиты, которые позволяют быстро посмотреть настройки прав доступа для всех файлов в выбранной папке, показывают все "зашаренные" (открытые для доступа из Сети) ресурсы вашей локальной сети и их настройки безопасности или предоставляют списки пользователей, групп, информацию об используемых системных политиках и правах пользователей.

Однако блокирования сайтов, предоставляющих возможность хранения данных, и распределения прав доступа недостаточно для защиты данных компании, так как основную угрозу конфиденциальной информации представляют именно те сотрудники, которым как раз необходим для работы доступ к секретной информации. Эти сотрудники часто перемещают конфиденциальную информацию за пределы информационного пространства офиса, например путем пересылки соответствующих файлов по электронной почте на свой личный ящик (с целью поработать с данным материалом дома) или путем загрузки данных в корпоративный ноутбук (например, чтобы обеспечить себе доступ к информации в дороге). Таким образом, информация выходит из-под корпоративного контроля.

Если у сотрудника в момент конфликта с руководством оказывается такая важная информация, очень вероятно, что он возьмет ее с собой к новому работодателю - вашему конкуренту. Защитить документы можно путем перевода их в файлы Adobe.pdf и присвоения им пароля, запрещающего печать или изменение данных документов. Этот способ хорош для защиты небольшого количеств файлов, а для крупных компаний, которые стремятся к более жесткому контролю информации, может понадобиться ERM (Enterprise Rights Management) - система управления правами доступа к информации в рамках организации. ERM помогает обеспечивать "постоянную защиту" электронных документов, которая действует на протяжении всего существования файла. С момента возникновения документа пользователь может создать для него многоуровневую систему доступа, то есть появляется возможность создавать и изменять права доступа для разных пользователей или групп пользователей. Данные права могут касаться возможности печатать, копировать, изменять, устанавливать срок существования документа. Такого рода технология значительно расширяет возможности организации в осуществлении контроля над принадлежащей ей информацией.

Всегда следует устанавливать различные уровни безопасности для защиты информации, особенно касающейся профессиональной тайны. Никогда нельзя полагаться лишь на один продукт по безопасности. Следующие советы в совокупности могут гарантировать надежную защиту вашей информации.

1.Скажите своим сотрудником, что им не разрешается передавать кому бы то ни было информацию, принадлежащую компании. Включите соответствующий пункт в трудовой договор и в условия расторжения трудового договора. Подписывайте с сотрудниками соглашения о неразглашении. Обращение к вопросам профессиональной тайны в соглашениях и регулирующих документах компании представляется очевидным защитным механизмом, однако многие организации, к сожалению, не прибегают к подобным действиям.

2.Используйте базовую систему управления доступом. Пусть пользователи имеют доступ только к той информации, которая нужна им для работы. Если сотрудник предупреждает о своем намерении через две недели уволиться из компании, его права должны быть пересмотрены и по возможности ограничены.

3.Управляйте доступом сотрудников к переносным устройствам хранения информации, таким как CD- и DVD-диски и USB-накопители, или блокируйте к ним доступ.

4.Блокируйте доступ к сайтам-хранилищам информации.

5.Запретите использование чатов и программ мгновенного обмена сообщениями. Такие программы часто используются для того, чтобы обойти корпоративный мониторинг коммуникаций сотрудника. Пользователи, намеревающиеся сообщить секретную информацию конкуренту или своему пособнику, вероятно, воспользуются именно такой программой.

6.Используйте ERM, чтобы ограничить права доступа к корпоративным файлам и иметь возможность контролировать действия пользователя по отношению к конкретным файлам.

7.Немедленно аннулируйте права доступа и удаленного доступа к сети уволившегося сотрудника.

8.При увольнении сотрудника попросите его подписать документ, в котором утверждается, что вся информация и ПО, являющееся собственностью компании, удалены с его домашнего компьютера. Предъявление данного документа в суде во время процессов, связанных с защитой интеллектуальной собственности компании или кражей профессиональной тайны, может оказаться полезным.

Все перечисленное выше должно сочетаться со стандартной политикой безопасности, а именно:

• правила пользования корпоративной компьютерной системой (все сотрудники должны подписать данные правила и хранить их при себе);
• периодически изменяемые пароли;
• современные антивирусные программы;
• очистка жестких дисков списанных компьютеров;
• периодическое обновление всех операционных систем и приложений;
• системы предотвращения/обнаружения вторжений (данные системы должны довольно часто проверяться квалифицированным специалистом);
• периодическая оценка уровня безопасности сети, подразумевающая как использование соответствующих программ, предназначенных для проверки безопасности компьютеров, так и оценку уязвимости корпоративной сети сторонними организациями.