Обзоры

Как обезопасить свою кампанию от кражи клиентской базы со стороны сотрудников

КАК ОБЕЗОПАСИТЬ СВОЮ КОМПАНИЮ ОТ КРАЖИ КЛИЕНТСКОЙ БАЗЫ СО СТОРОНЫ СОТРУДНИКОВ

Информационная безопасность корпоративных информационных систем в наше время является очень важной составляющей ведения бизнеса. Все компании стремятся использовать передовые информационные технологии для достижения успеха в своей деятельности. Клиентская база компании – это основной ее актив и работа с этим активом должна вестись системно. Хищение клиентских баз происходит достаточно часто не только в России, но и во всем мире. Для работодателя утечка клиентской базы может иметь очень неприятные последствия. Наиболее существенным является переход клиентов к конкуренту, особенно если базу забирает с собой бывший сотрудник, уходящий на аналогичную должность. Существуют различные варианты, позволяющие предотвратить утечку конфиденциальной информации. Какие инструменты руководители компаний могут внедрить, чтобы защитить клиентскую базу, какую могут выбрать оптимальную технологию, обеспечивающую защиту информации от утечек? О существующих механизмах защиты информации, об отечественных DLP-решениях и их достоинствах расскажет Ваш «ЮСТ.АС»!

ОТ ОБЩЕГО К ЧАСТНОМУ

Для работы организации обычно создается корпоративная информационная система (КИС), которая включает в себя информационные центры, базы данных и системы связи.

Под клиентской базой мы обычно понимаем текущих клиентов, клиентов конкурентов, а также бывших клиентов. Как же защитить эту информацию? Защита информации - это важная деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на нее. Надо сказать, что опыт эксплуатации различных КИС показывает, что проблема обеспечения информационной безопасности (ИБ) окончательно не решена. ИБ — это безопасность серверов и рабочих станций, управление правами доступа к информации и безопасность корпоративных бизнес-приложений, безопасность web-ресурсов и безопасность корпоративных порталов, электронной почты и использования мобильных устройств, контроль за носителями информации и многое другое. Имеющиеся на рынке средства защиты информации очень различаются друг от друга по решаемым ими задачам и достигаемому результату. Утечки корпоративных секретов случаются и по элементарной халатности, невнимательности сотрудников. Хуже, если происходит утечка корпоративной информации из-за кражи.

Здесь необходимо предпринимать действия по внедрению мер ИБ. При выборе средств защиты следует выстроить надежную модульную систему безопасности, закрытую от рисков вторжения извне и позволяющую осуществить контроль за потоком информации внутри компании. Несмотря на то, что в компаниях большинство баз данных имеют широкие возможности выдачи полномочий различным пользователям и группам, чаще всего доступ дается всем и ко всем данным сразу, а в небольших компаниях сотрудники зачастую вообще используют один и тот же логин и пароль. Поэтому для того чтобы защитить клиентскую базу от кражи со стороны сотрудников в первую очередь нужно определиться, какие именно данные о клиентах Вы хотите защитить, где эти данные фактически находятся. Также разделить доступ к корпоративным системам между сотрудниками, которым необходим доступ к тем или иным данным. Также необходимо проверить облачные ресурсы, на которых хранятся файлы, используемые в работе с клиентами и подрядчиками, удалить лишнюю информацию. Вы можете лишить своих сотрудников технической возможности копирования данных. Чтобы сотрудник не смог копировать данные с компьютера, Вы можете заблокировать USB-порт, убрать CD-ROM, а также ограничить доступ к социальным сетям и почтовым сервисам.

Следующим шагом является документальное фиксирование того, что базы данных клиентов являются коммерческой тайной, установление запрета на их разглашение. Делается это путем введения режима коммерческой тайны в компании. Должны быть разработаны необходимые руководящие и нормативно-методические документы, перечни охраняемых сведений, меры ответственности лиц за нарушение порядка работы с конфиденциальной информацией.

ИСПОЛЬЗОВАНИЕ DLP-СИСТЕМ

В связи с недостаточным количеством или отсутствием квалифицированного персонала, в режиме экономии финансовых средств на внедрение комплексной системы по обеспечению ИБ, компании малого и среднего бизнеса зачастую не справляются с основными угрозами без специального программного обеспечения. Для защиты данных в процессе хранения от посторонних лиц необходимо шифровать данные, размещенные на жестких дисках, дисковых массивах и в хранилищах. Использовать системы, блокирующие порты персонального компьютера. В зависимости от прав доступа пользователя, такие системы могут запретить использование внешних накопителей информации. Также необходимо разграничивать уровни полномочий пользователей, предоставив им доступ только к конкретным программам. Осуществлять отключение сетевого доступа для бывших сотрудников. Это предполагает исключение возможности входа в сеть бывших сотрудников. Надо по возможности отказываться от использования беспроводных сетей, как более уязвимых по сравнению с проводными. Теперь поговорим о возможности внедрения DLP-систем. На текущий момент на рынке систем информационной безопасности представлено довольно много DLP-решений, позволяющих определять и предотвращать утечку конфиденциальной информации по различным каналам.

DLP-система – это система предотвращения утечек данных. Это целый комплекс программных или программно-аппаратных средств, предотвращающий утечки конфиденциальной информации за пределы Вашей организации. Такие системы позволяют, например, запретить копирование файлов на внешние накопители или подать сигнал при попытке выгрузить список клиентов на облачный диск. Конечно, ее внедрение потребует инвестиций и работы по настройке, но она точно позволит контролировать доступ к данным и запретить их копирование или пересылку. При этом сложившиеся процессы не будут нарушены, а IT-инфраструктуру не придётся перестраивать. DLP-системы обладают функциями скрытого сбора информации и мониторинга действий сотрудников. Например, это контроль работы агентов, защита от выключения и удаления, контроль целостности агента, маскировка агента в системе, работа агента при загрузке Windows в безопасном режиме, контроль политики агента и другое.

Советуем не забывать, руководителям компаний, проводить правовые мероприятия по созданию нормативно-правовой базы информационной безопасности.

Если наша статья помогла Вам разобраться в слабых звеньях информационной безопасности и вариантах предотвращения утечки конфиденциальной информации за пределы компании, пожалуйста, поделитесь ею с друзьями. Пусть она поможет и им, нам будет очень приятно!

Всегда с заботой о Вас,

Ваш «ЮСТ.АС»