Сотрудники работают из дома? Пересмотрите политику информационной безопасности компании

В связи с введением в Литве карантина из-за угрозы распространения коронавируса (COVID-19) правительство рекомендовало компаниям перевести сотрудников на дистанционный режим труда. Удаленная работа имеет множество преимуществ, но в то же время поднимает немало вопросов, особенно в сфере информационной безопасности. Готов ли к этому бизнес, ведь утечка данных может привести к серьезным финансовым и репутационным потерям?

Андрюс Кяуне, специалист по оценке рисков информационной безопасности компании Penkių kontinentų komunikacijų centras, предоставляющей комплекс аутсорсинговых IT-услуг ProfIT, говорит, что все зависит от политики информационной безопасности каждой конкретной организации.

«Руководители компаний, прежде чем перевести сотрудников на удаленный режим, должны им объяснить, что информационная безопасность в условиях дистанционной работы состоит из трех компонентов: регламента, технических возможностей и осведомленности о безопасности. Это взаимосвязанные звенья одной цепи. Надежность всей цепи зависит от надежности ее самого слабого звена», — говорит Андрюс Кяуне.

Проще всего организовать работу вне офиса тем компаниям, которые пользуются облачными услугами.  В этом случае вся информация хранится на виртуальном сервере (облаке) и при наличии Интернета может быть доступна в любое время суток из любого места планеты.

Если компания хранит информацию на корпоративном сервере и имеет строгую политику контроля доступа, перевести сотрудников на удаленный режим работы непросто. Нужно обеспечить работников необходимыми средствами технического оснащения.

Разработка стратегии перевода компании на дистанционный режим труда должна начинаться с анализа политики информационной безопасности и оценки рисков.

Оценка рисков информационной безопасности состоит из проверки следующих компонентов:

• оборудования, используемого для работы (компьютер, планшет и т.д.);
• информационной системы для хранения и обработки данных;
• технологий для обеспечения связи и безопасности (VPN, межсетевой экран, двухуровневая аутентификация), которые идентифицируют пользователей или осуществляют контроль доступа к информации;
• документации с описанием политики информационной безопасности, подразумевающей комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия в целях защиты информационных ресурсов.

При анализе важно учитывать три важных свойства, которые стали прочным фундаментом информационной безопасности:

1. целостность информации (устойчивость к случайному или преднамеренному разрушению, несанкционированному изменению);
2. конфиденциальность (предотвращение раскрытия информации неавторизованными пользователями);
3. доступность (гарантия получения требуемой информации пользователем).

Оценка рисков позволяет сделать функционирование информационных систем экономически эффективным, актуальным и способным реагировать на угрозы. Может показаться, что в чрезвычайной ситуации уже поздно заботиться об информационной безопасности, однако аудит может быть проведен даже в режиме карантина, так как для его осуществления нет необходимости в прямом контакте с клиентами. Результаты анализа рисков информационной безопасности можно обсудить в режиме видеоконференции.

Специалисты ProfIT предоставляют комплексные услуги по оценке рисков информационной безопасности, операционный и технологический аудит, подготовка политики информационной безопасности, обучение персонала и т.д.