Чек-лист для бизнеса: как уберечь данные компании и клиентов от мошенников

Если бизнес не защищает данные, база клиентов или конфиденциальная информация партнёров может оказаться в открытом доступе или попасть в руки конкурентов. Чтобы снизить риски и не потерять наработанные годами данные, руководителю и сотрудникам нужно соблюдать правила безопасности.

Когда вы работаете в онлайн-офисе, информация должна автоматически защищаться провайдером. Например, Яндекс 360 предоставляет организациям закрытый контур, использует механику Спамообороны для защиты от мошеннических писем и соответствует требованиям 152-ФЗ и приказа №21 ФСТЭК по УЗ-2. Но сотрудники могут работать и в других программах, поэтому важно помнить о главных правилах безопасности.

Разделите права доступа к файлам

Если доступ ко всем файлам компании есть у каждого сотрудника, кто-то может случайно удалить или изменить их, а также получить доступ к той информации, к которой не должен. Поэтому каждому отделу или специалисту нужно оставить только тот набор доступов, которые обязательны для его работы.

Бухгалтерам в первую очередь нужны доступы к финансовым документам и отчётам, юристам — к договорам, а менеджерам — к базе клиентов. Если у специалиста меняются должностные обязанности, можно обновить доступы — открыть к другим файлам и закрыть к тем, которые стали ненужными.

Если файлы хранятся в облаке, например в Яндекс Диске, можно выбирать уровни доступа: закрыть папку, чтобы никто не мог просматривать её содержимое, установить режим просмотра или открыть полный доступ к редактированию. А при увольнении — отключить сотруднику сразу все доступы.

По возможности настройте централизованное управление доступами — когда оно сосредоточено в отдельном подразделении или у ответственного сотрудника. Так только назначенный человек сможет настраивать все рабочие устройства.

Ограничьте интернет-площадки, которые могут посещать сотрудники с рабочих устройств

Можно запретить посещать конкретные сайты. Например, ограничить доступ к площадкам с незащищённым соединением, к форумам, к платформам с фильмами и сериалами, а также к площадкам с небезопасным контентом.

Если компания пользуется Яндекс Браузером для организаций, можно самостоятельно задать список разрешённых и не разрешённых для посещения сайтов.

Составьте политику информационной безопасности и зафиксируйте, как вести себя с информацией

Правила о том, как сотрудникам работать с данными, файлами, техникой и программами, хранятся в политике информационной безопасности. Вот некоторые инструкции, которые стоит учесть в политике.

Проверять вложения от неизвестных пользователей во входящих

Сотрудники ежедневно получают десятки входящих сообщений по почте, в мессенджерах и социальных сетях компании. В их потоке можно не отличить клиента от мошенника и случайно загрузить на компьютер вирусный файл. 

Чтобы этого не произошло, рассказывайте сотрудникам, как себя вести с такими письмами:

1. Прежде чем открывать вложение, проверять электронный адрес отправителя.
2. В случае сомнений обратиться в службу информационной безопасности компании или напрямую к руководителю.

Снизить количество писем от мошенников помогает блокировка спама. У некоторых почтовых сервисов для этого есть встроенные механизмы. Например, в Почте работает Спамооборона: за фильтрацию отвечают алгоритмы и нейросети, которые анализируют около 10 тысяч факторов — от адреса отправителя до структуры письма и вложений. Дополнительно письма проходят проверку с помощью встроенного антивируса.

Читайте также: «Картиночный спам» и фейковые встречи: как трансформируется почтовый спам и какие механизмы внедряет Яндекс 360 для защиты

Создавать уникальные пароли

Пропишите, что каждому сотруднику нужно придумать длинные сложные и уникальные пароли для всех рабочих аккаунтов. Можно использовать сервисы для генерации паролей: они создают комбинации из разных символов, которые сложнее подобрать перебором.

Важно, чтобы логины и пароли не повторялись и у коллег внутри команды. Тогда, даже если мошенники методом социальной инженерии получат доступ к сервису одного человека, остальные данные останутся недоступными.

Соблюдать порядок резервного копирования файлов

Составьте регламент резервного копирования. Определите и пропишите в нём, каким файлам и с какой частотой создавать резервную копию, например:

• раз в год — архивировать все файлы компании;
• раз в месяц — договоры с клиентами, бухгалтерскую документацию;
• раз в неделю — сохранять файл с клиентской базой.

Настройте резервное копирование для критических данных, тогда бизнес не потеряет информацию при возможном непредвиденном случае. 

Блокировать экран, когда сотрудник уходит с рабочего места

Сотрудникам и руководству нужно выработать привычку: не отходить от компьютера, пока не заблокируете экран. Тогда в ваше отсутствие никто не сможет получить доступ к корпоративной почте, перепискам, документам и данным клиентов. Информация будет под защитой, а другие пользователи не получат доступ к устройству.

Просто описать требования недостаточно, важно грамотно их внедрить: объяснить персоналу, для чего нужны все перечисленные в политике варианты действий, проводить проверки и напоминать о правилах безопасности в разных ситуациях.

Правила можно собрать в одном месте и поделиться со всеми. Например, разместить информацию на странице в Яндекс Вики. Можно составить чек-лист, а для наглядности добавить схемы и рисунки. Чем подробнее будут описаны правила, тем меньше вопросов возникнет.

Читайте также: Как организовать базу знаний, чтобы она не превращалась в склад данных

Определите, кто управляет установкой и настройкой ПО

Неважно, установлены программы на корпоративный сервер или на локальные компьютеры, откройте сотрудникам доступы только к необходимым функциям и настройкам. 

Лучше, когда устанавливать обновления и управлять настройками ПО может только один отдел или специалист. Но если в компании принято, что каждый сотрудник устанавливает свой набор программ самостоятельно, расскажите, что искать программу в поисковике и сразу загружать установочный файл не лучшая идея. Нужно выбрать проверенную компанию и перейти на официальный сайт. Там можно найти все нужные и безопасные ссылки.

Например, Яндекс Трекер можно подключить по инструкции в Справке. И там же можно найти ссылки для скачивания мобильного приложения. Если вам кто-то отправляет сообщение с файлом YandexTracker.apk или другими похожими названиями, есть большая вероятность, что это мошенники.

Следите за обновлениями ПО

Часто мошенники находят лазейки именно в устаревшем программном обеспечении. В нём больше уязвимых точек, которые можно использовать для внедрения в систему и запуска вредоносных программ.

Руководитель или системный администратор компании должен следить за устройствами сотрудников:

• включить автоматические обновления ПО, где это возможно;
• если у ПО нет автообновления, следить за выходом новых версий и вовремя устанавливать их на всех устройствах в системе.

Важно также обновлять роутеры, которые подключены к корпоративной системе. Тогда в их прошивке не будет слабых мест и уязвимостей, через которые можно запустить вирус.

Чек-лист: как обезопасить бизнес и защитить данные

• Разграничивайте права доступа для разных команд.
• Прежде чем открывать вложение в Почте, проверяйте электронный адрес отправителя.
• Следите за обновлениями ПО и вовремя обновляйте системы.
• Не покидайте рабочее место, пока не заблокировали компьютер.

Все эти пункты важно описать в политике ИБ и внедрить её в работу сотрудников. Так у каждого специалиста под рукой будут важные правила безопасности, регламенты и инструкции для защиты корпоративной информации.