Десять рекомендаций по информационной безопасности SMB

Старший вице-президент «Лаборатории Касперского» по информационным технологиям делится ценными советами в области обеспечения кибербезопасности малого бизнеса.

Бизнес всегда был уделом лишь тех, кто готов к преодолению сложностей, но век информационных технологий добавил новых забот. Проще говоря, теперь при ведении дел нельзя забывать о кибербезопасности.

Однако внедрение новых технологий и обеспечение информационной защиты упираются в финансы (как, впрочем, почти все в бизнесе). Ваша задача — наилучшим образом распределить свои ресурсы: защитные меры должны быть эффективны, но расходы на них не должны быть разорительными. Я предлагаю вашему вниманию десять рекомендаций по тому, как лучше построить систему информационной безопасности малого бизнеса без чрезмерных затрат.

  1. Установите четкую политику ИТ-безопасности. Общепринятые нормы (на ум сразу приходит заповедь «Не укради») важны, однако руководствоваться только ими нельзя. Важно иметь четкую политику безопасности, с которой будут ознакомлены все сотрудники компании — от владельца до курьера. Чтобы все имели четкое представление о принятых в компании правилах обо всем, что касается информационной безопасности: от паролей до конфиденциальности клиентских данных, от применяемых технологий защиты до принципов классификации информации. Да, на выработку политики может уйти определенное количество ресурсов, однако в Интернете можно найти множество полезных источников информации — например, на сайтах Infosec Institute и SANS Institute. По сути, вы можете приспособить любую готовую базовую политику под нужды собственного бизнеса. Останется лишь убедиться в том, что все сотрудники ознакомились с ней и подписали соответствующую бумагу. Ну и не забывайте регулярно пересматривать применяемую политику (не менее нескольких раз в год).
  2. Обезопасьте свои данные. И мы говорим не только о защите от киберпреступников (хотя это, разумеется, важно). Не стоит пренебрегать и такими мерами, как регулярное резервное копирование важной информации. Если вам сложно обеспечить безопасность данных по финансовым или техническим причинам, то эту задачу можно переложить на плечи надежной сторонней компании.
  3. Мыслите шире. Вам может казаться, что ваш небольшой бизнес — не самая привлекательная мишень для киберпреступников. Слишком мелкая, чтобы заинтересовать кого-то. Попробуйте взглянуть на это с другой стороны: ведь вы можете и не являться конечной целью злоумышленников. Одна из основных причин привлекательности малого бизнеса в качестве мишени в том, что он может послужить плацдармом для атаки на клиентов и партнеров. Разумеется, преступники не упустят возможности по дороге обчистить еще и СМБ-компании, особенно если у них не все в порядке с кибербезопасностью!
  4. Будьте в курсе. Не стоит забывать о старой пословице «Предупрежден — значит вооружен». Я рекомендую вам периодически заглядывать на сайты, где регулярно рассказывают о новых киберугрозах для бизнеса. Например, на наш блог Kaspersky Business. Мы стараемся не только предупреждать, но и рассказывать об эффективных методах защиты.
  5. Используйте комплексное защитное ПО. Необходимо оснастить им все оборудование: серверы, персональные компьютеры и прочие подключенные к Интернету устройства. Поддерживайте защитное ПО в актуальном состоянии, вовремя обновляйте. На этом экономить нельзя. В нашем арсенале есть надежные решения, разработанные специально для среднего и малого бизнеса. Например, это Kaspersky Small Office Security, защищающее различные устройства от вредоносных программ, фишинга и других распространенных интернет-угроз. Кроме того, в него встроены дополнительные технологии, позволяющие обеспечивать безопасность банковских транзакций.
  6. Защитите все устройства паролями. Ваша политика информационной безопасности должна опираться на обязательное использование надежных паролей. Кроме того, необходимо ограничить срок их действия, чтобы заставить пользователей менять пароли не реже чем раз в 90 дней.
  7. Избавляйтесь от данных, которые не можете сохранить. Если в процессе работы вы как-то используете данные банковских карт, но при этом не располагаете надежными механизмами их хранения, уничтожайте эту информацию после обработки.
  8. Соблюдайте особую осторожность в обращении с персональными данными. Если вам приходится хранить персональные данные сотрудников, следите за тем, чтобы они всегда были надежно защищены, а главное — ограничьте круг людей, имеющих доступ к ним. Не забывайте о своевременном резервном копировании. Если данные хранятся на физических носителях, то они должны быть помещены в надежный сейф. Да и за оборудованием, на котором такие данные хранятся в электронном виде, также следует тщательно следить, чтобы его не похитили с целью последующего взлома.
  9. Доверьтесь специалистам. Если вашему бизнесу не хватает ресурсов на то, чтобы справиться с IT-задачей, привлекайте помощь сторонних компаний (желательно крупных). Подумайте, какие услуги лучше отдать на аутсорсинг. Как насчет физической безопасности? Я рекомендую найти для этого подрядчика, предоставляющего услугу дистанционного мониторинга системы сигнализации. А что скажете о применении резервного копирования данных на сторонние хранилища? В любом случае ищите сервисы, которые специализируются на работе с малым бизнесом.
  10. Следите за осведомленностью сотрудников. Причем начните с себя. Если вы имеете четкое представление о том, что может угрожать информационной безопасности вашей компании и как этим угрозам можно противодействовать, то сможете четко донести эту информацию и до остальных сотрудников. Возможно, имеет смысл воспользоваться услугами тренеров, которые могли бы повысить осведомленность ваших сотрудников по вопросам кибербезопасности.

 

Короче говоря, внедрив грамотную политику безопасности и строго ей следуя, вы ничего не теряете, а приобретаете много. Помните — защита вашей компании прочна настолько, насколько надежны и осведомлены ваши люди.

Советы