В связи с введением в Литве карантина из-за угрозы распространения коронавируса (COVID-19) правительство рекомендовало компаниям перевести сотрудников на дистанционный режим труда. Удаленная работа имеет множество преимуществ, но в то же время поднимает немало вопросов, особенно в сфере информационной безопасности.
В связи с введением в Литве карантина из-за угрозы распространения коронавируса (COVID-19) правительство рекомендовало компаниям перевести сотрудников на дистанционный режим труда. Удаленная работа имеет множество преимуществ, но в то же время поднимает немало вопросов, особенно в сфере информационной безопасности. Готов ли к этому бизнес, ведь утечка данных может привести к серьезным финансовым и репутационным потерям?
Андрюс Кяуне, специалист по оценке рисков информационной безопасности компании Penkių kontinentų komunikacijų centras, предоставляющей комплекс аутсорсинговых IT-услуг ProfIT, говорит, что все зависит от политики информационной безопасности каждой конкретной организации.
«Руководители компаний, прежде чем перевести сотрудников на удаленный режим, должны им объяснить, что информационная безопасность в условиях дистанционной работы состоит из трех компонентов: регламента, технических возможностей и осведомленности о безопасности. Это взаимосвязанные звенья одной цепи. Надежность всей цепи зависит от надежности ее самого слабого звена», — говорит Андрюс Кяуне.
Проще всего организовать работу вне офиса тем компаниям, которые пользуются облачными услугами. В этом случае вся информация хранится на виртуальном сервере (облаке) и при наличии Интернета может быть доступна в любое время суток из любого места планеты.
Если компания хранит информацию на корпоративном сервере и имеет строгую политику контроля доступа, перевести сотрудников на удаленный режим работы непросто. Нужно обеспечить работников необходимыми средствами технического оснащения.
Разработка стратегии перевода компании на дистанционный режим труда должна начинаться с анализа политики информационной безопасности и оценки рисков.
Оценка рисков информационной безопасности состоит из проверки следующих компонентов:
- оборудования, используемого для работы (компьютер, планшет и т.д.);
- информационной системы для хранения и обработки данных;
- технологий для обеспечения связи и безопасности (VPN, межсетевой экран, двухуровневая аутентификация), которые идентифицируют пользователей или осуществляют контроль доступа к информации;
- документации с описанием политики информационной безопасности, подразумевающей комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия в целях защиты информационных ресурсов.
При анализе важно учитывать три важных свойства, которые стали прочным фундаментом информационной безопасности:
- целостность информации (устойчивость к случайному или преднамеренному разрушению, несанкционированному изменению);
- конфиденциальность (предотвращение раскрытия информации неавторизованными пользователями);
- доступность (гарантия получения требуемой информации пользователем).
Оценка рисков позволяет сделать функционирование информационных систем экономически эффективным, актуальным и способным реагировать на угрозы. Может показаться, что в чрезвычайной ситуации уже поздно заботиться об информационной безопасности, однако аудит может быть проведен даже в режиме карантина, так как для его осуществления нет необходимости в прямом контакте с клиентами. Результаты анализа рисков информационной безопасности можно обсудить в режиме видеоконференции.
Специалисты ProfIT предоставляют комплексные услуги по оценке рисков информационной безопасности, операционный и технологический аудит, подготовка политики информационной безопасности, обучение персонала и т.д.