Как организовать защиту данных
Защита корпоративной информации является частью общей системы информационной безопасности компании. Если ранее защита данных серверов была прерогативой лишь крупного бизнеса, то сегодня это актуально и для стартапов, и для небольших IT-компаний. Речь идет о необходимости ограничить доступ третьих лиц к пользовательским данным и внутренней информации о деятельности сотрудников. Так как подобные данные могут несанкционированно использоваться во вред репутации бизнеса.
Как организовать защиту данных и обеспечить их конфиденциальность с ограниченным доступом? Для этого есть несколько способов.
Для чего нужно защищать корпоративные и пользовательские данные?
Как можно заметить, мы разделили данные на две категории: корпоративные и пользовательские. Первый тип подразумевает информацию о структуре работы бизнеса, бухгалтерии, целях, инструментах работы, корпоративных правах, запатентованных технологиях и прочем. А вот пользовательские данные содержат персональную информацию о сотрудниках и клиентах: контактные данные, возраст, ФИО, место проживания, семейное положение, а также скан-копии паспорта и других личных документов.
Защита данных необходима для того, чтобы обеспечить конфиденциальность всех категорий информации. Так как их утечка пагубно повлияет на отдельно взятых работников и на бизнес-процессы внутри компании.
Пять инструментов защиты данных в компании
В работе над обеспечением конфиденциальности данных важно учитывать экономическую целесообразность. Для начала нужно заложить так называемый “фундамент”. Для этого составляется внутренняя политика в отношении корпоративной информации. Там необходимо прописать требования о том, что сотрудники не имеют права оглашать третьим лицам любую информацию, касающуюся рабочего процесса. Чаще всего утечка начинается не с серверов и дисковых хранилищ, а из уст самих сотрудников. Друзья, члены семьи, родственники и просто знакомые не должны знать о структуре работы компании. Для этого в политике защиты данных указывается ответственность каждого сотрудника за разглашение корпоративных данных. Штрафы могут достигать 5-10-кратного размера заработной платы.
Но это лишь фундамент. Следующим этапом предпочтительно перевести общение и взаимодействие сотрудников в отдельную CRM-систему. Это делается для того, чтобы исключить использование личных аккаунтов и мессенджеров для решения деловых вопросов. Так как есть риск похищения данных из домашних устройств в периоды, когда сотрудник находится дома или в общественных местах.
Доступ к корпоративной почте и мессенджерам должен быть только с рабочих устройств, которые подключены к защищенной сети. Предпочтительно, если на работе будет использоваться VPN с выделенным сервером. Это позволит защитить сеть и улучшить ее мониторинг.
Следующими инструментами принято считать аппаратную и программную защиту серверов базы данных, а также хранилищ корпоративных компьютеров. Речь идет об использовании антивирусного программного обеспечения и таких систем, как HPE Cloud Volumes Backup. Последнее решение предназначено для мгновенного переноса данных из локального хранилища в облако без платы за исходящий трафик. Соответственно, нужно позаботиться о наличии дополнительных хранилищ для резервного копирования данных на случай выхода из строя основных серверов. Важная корпоративная информация может храниться и на рабочих компьютерах управляющих менеджеров и руководителей, что требует интеграции в облачную систему.
В эту же категорию инструментов можно отнести актуальные способы защиты от корпоративных атак. При передаче данных наиболее уязвимое место - это “белый” IP-адрес. Их поиск осуществляют заинтересованные лица, перебирая все востребованные протоколы (SSH, RDP, FTP, HTTP, SMTP). Знание злоумышленниками корпоративных логинов и других данных позволяет путем перебора пароля получить доступ к нужной информации, почте, мессенджерам и так далее.
Причем персональные данные сотрудников могут продаваться в открытом доступе. Бывают случаи, когда происходит утечка базы всего персонала. Это серьезная угроза, которая чревата судебными разбирательствами, судебными исками и компенсацией ущерба.
Для защиты используются специальные сетевые экраны, защищенные протоколы, Virtual Private Network. Также необходимо программным способом блокировать развлекательные сайты и ресурсы, не соответствующие тематике работы. Например, чтобы сотрудники не могли с рабочего компьютера открыть YouTube, новостные сайты или скачать какой-то музыкальный клип с подозрительного сайта без проверки на вирусы. Ведь при таких действиях можно скачать троян или другой вид вируса, способный “воровать” данные из устройства.
Средством защиты корпоративных данных являются и такие инструменты как:
- Фильтрация входящего и исходящего трафика;
- IPS-системы (обнаружения и предотвращения вторжений);
- Программный файрвол и многое другое.
Это нужно для того, чтобы собирать, анализировать данные о работе сотрудников и посещаемых ими сайтов. Использовать для этого можно такие веб-инструменты, как Kerio Control, UserGate, CheckPoint, Sophos UTM и некоторые другие. Конечно, не каждая компания способна приобрести такой программно-аппаратный комплекс. Но в конечном итоге это оправдано (рано или поздно к этому приходят даже небольшие стартапы).
Заключительным способом организации защиты данных в компании является физическое ограничение доступа к хранилищу. При наличии серверной комнаты целесообразно установить в ней СКУД (систему контролируемого управляемого доступа). Речь идет о кодовых или прочих видах замков, ключи или пароль от которых будет только у руководителей и системного администратора. Также для защиты данных в офисе рекомендовано устанавливать видеонаблюдение с отсутствием недосягаемых зон. Это позволит при необходимости быстро определить потерю данных изнутри помещения.
Вывод
Итого, для защиты персональных и корпоративных данных внутри компании следует применять следующие инструменты:
- Внедрение политики конфиденциальности корпоративных данных с фиксированной материальной ответственностью сотрудников при разглашении.
- Обмен данными и сообщениями только с корпоративных аккаунтов, с использованием рабочего интерфейса (например, CRM-системы).
- Внедрение программных решений для защиты информации на дисковых хранилищах и облаках (например, HPE Cloud Volumes Backup).
- Внедрение аппаратных решений для защиты данных в корпоративной сети.
- Физическое ограничение доступа к хранилищам и серверам.
Подобные методы позволяют избежать утечки данных (включая электронных документов) в компании, независимо от навыков злоумышленников. При таком комплексном подходе нарочно похитить данные не получится ни через взлом сети, ни через фишинговые ссылки, ни через физическое похищение хранилищ из серверной комнаты.