Вхід

Рекомендации от Комитета Кибезбезопасности

02.04.2020

1. Уделите достаточно внимания работе ключевых людей в компании, особенно тех, кто имеет доступ к финансовым операциям и критическим данным. Вплоть до того, что отправьте к ним домой системного администратора для проверки настроек сети, домашних устройств, корпоративного VPN.
2. Пересмотрите существующие доступы сотрудников к данным и сервисам, запретите все, что не является «первой необходимостью», и предоставляйте доступ только в случае аргументированного запроса. Например:
- проведите инвентаризацию информационных систем (ИС), с которыми работают сотрудники
- для каждой ИС получите список пользователей и их прав доступа
- оцените каким пользователям и к каким системам нужен постоянный доступ, а к каким лучше открывать по мере необходимости (например, для подачи отчётности раз в неделю/месяц).         3. Проведите работу с сотрудниками по части безопасности их удалённого рабочего места. Многие привыкли к свободному режиму использования программного обеспечения и онлайн-сервисов из дома. Теперь же там находится периметр вашей компании, поэтому правила временно нужно изменить. Например можно:
- создать на личном устройстве отдельную учётную запись с минимально необходимыми правами (не администратора)
для этой учётной записи установить минимальный набор программ, необходимых для работы (все должны быть лицензионными и регулярно обновляться);
- не использовать личные “облачные” сервисы (Google Cloud, Dropbox и т.п.) для передачи важной информации, только корпоративные “облака” и мессенджеры
Обратитесь к экспертам, которые помогут вам советом и опытом при таких изменениях в работе. 4. На сегодняшний день есть большая потребность в:
- помощи с переводом бизнес-процессов в режим удаленного офиса;
- быстрой оценке рисков во время перевода и после него, а также управлении ними на данный момент и в долгосрочной перспективе.
5. Проводите сотрудникам тренинги по личной кибергигиене. Объясните на примерах для чего использовать сложные пароли, двухфакторную аутентификацию (одноразовые временные пароли), обновлять программы, использовать защищенные коммуникации (безопасно обмениваться секретной информацией), делать резервные копии и т.д.