Для защиты бизнеса требуется план
Автор Говард Болдуин (Howard Baldwin)
Чтобы обеспечить безопасность среднего бизнеса в современных условиях, требуется решить две, иногда противоречащие друг другу, задачи: надежно защитить корпоративную сеть и данные и при этом сохранить возможность удобного доступа для авторизованных сотрудников и других лиц. Необходимо также правильно распорядиться инвестициями, чтобы обеспечить достаточный уровень защиты, но при этом избежать расходования средств, которые можно вложить в стратегически важные технологии.
Краткое содержание
Определите, какие данные являются самыми важными, и сосредоточьтесь на их защите.
Храните критически важные данные на отдельных серверах.
Предоставляйте доступ только к данным, которые требуются для работы, и убедитесь, что доступ изменяется при увольнении или повышении сотрудников.
Прежде всего, ознакомьтесь с ключевыми аспектами обсуждения и внедрения технологий и политик безопасности. Разработав всесторонний план обеспечения безопасности информации, вы получите логический и стратегический подход к управлению безопасностью в компании.
Мы не будем описывать все пункты, которые должен содержать план безопасности, однако опишем несколько основных полезных шагов.
1. Начните с оценки оборудования и программного обеспечения
Если бы вам пришлось обеспечивать защиту только одного устройства в компании, что бы вы выбрали: сервер с бухгалтерской информацией, сервер электронной почты или сервер электронной коммерции? Все зависит от того, что является самым важным для вашей компании. Если основная часть работы выполняется через интернет, прежде всего необходимо защитить сервер электронной коммерции.
При создании плана безопасности сначала уделите внимание защите ИТ-ресурсов, которые оказывают самое большое влияние на вашу работу, а затем назначьте приоритеты остальных элементов. «Но не следует думать только об устройствах», — предупреждает Тим Кеанини (Tim Keanini), технический директор компании nCircle (Сан-Франциско), которая занимается предоставлением решений в области безопасности. Он советует также заботиться о бизнес-процессе, то есть о потоке информации, а не только ее местонахождении.
Это означает, что к обсуждению вопросов обеспечения безопасности вам придется привлечь своих торговых партнеров. Например, если для осуществления поставок требуется регулярно получать сведения о новых поступлениях от поставщиков, необходимо рассмотреть два аспекта: надежность подключения к сети и меры по защите информации, предпринимаемые поставщиками.
Если вам требуется помощь в оценке угроз ИТ-безопасности вашей компании, воспользуйтесь средством Microsoft Security Assessment Tool, предназначенным для компаний со штатом до 1000 человек.
2. Разработайте применимые политики
Для снижения расходов на безопасность сосредоточьтесь на том, что вероятно, а не на том, что возможно. Гораздо вероятнее, что сотрудник будет хранить пароль на листочке бумаги, а не то, что вашу сеть собирается атаковать группа злоумышленников. (У средних компаний есть одно преимущество: вероятность стать мишенью для атаки у них меньше, чем у крупных известных компаний.)
Следовательно, требуется создать рациональные политики, а руководители должны потратить время и объяснить сотрудникам причины внедрения этих политик. Вот несколько рекомендаций по разработке политики:
Следите, чтобы сотрудники регулярно обновляли системы Windows и Office и деловые приложения с помощью последних обновлений, бюллетеней по безопасности и средств корпорации «Майкрософт». См. данную статью для получения списка советов по обеспечению безопасности для сотрудников, а также страницу веб-узла «Майкрософт» по вопросам безопасности для загрузки обновлений программного обеспечения.
Требуйте от сотрудников использования надежных паролей (которые содержат цифры, буквы и символы), но не заставляйте менять их каждые две недели: достаточно изменения раз в 45—90 дней.
Используйте в своей политике концепцию безопасности на основе ролей путем предоставления доступа на базе рабочих обязанностей.
Четко укажите в документации с описанием политики последствия несоблюдения правил и следите за выполнением соответствующих действий при возникновении таких ситуаций.
Регулярно проверяйте политики и сообщайте сотрудниками об изменениях.
При смене работы сотрудниками проверяйте и изменяйте соответствующим образом их права доступа.
При уходе сотрудников из компании удаляйте их пароли из системы.
Помните, что сотрудники представляют главную угрозу безопасности — при этом зачастую из-за отсутствия необходимого обучения, а не из-за стремления причинить вред. (Дополнительные сведения по этой теме см. в данной статье.)
Разработайте политику обеспечения безопасности мобильными сотрудниками, которые работают в пути или за пределами компании. См. дополнительную информацию на шаге 5 ниже.
«И наконец, убедитесь, что политика предусматривает план действий при возникновении проблем и определяет лицо, ответственное за принятие решений», — советует Марк Маттис (Mark Mattis), глава компании Ascentium, которая находится в Бельвю (Вашингтон) и является сертифицированным партнером корпорации «Майкрософт» со статусом Microsoft Gold Certified Partner.
3. Приобретите несколько серверов для защиты данных
Определив приоритеты и политики компании, подумайте о защите. Один из способов защиты важной информации — сегментировать ее и разместить на отдельных серверах, разделенных внутренним межсетевым экраном. Кроме того, отделите общедоступный веб-сервер от внутренней сети.
Если вы начали свою деятельность как предприятие малого бизнеса, то, возможно, не подумали о последствиях предоставления сотрудникам доступа к нескольким серверам. Но сейчас бизнес увеличился, и пришло время подумать об этом. «Торговым сотрудникам и службе поддержки не требуется доступ к серверам с бухгалтерской информацией», — объясняет Джефф Джонс (Jeff Jones), директор подразделения безопасности и технологий корпорации «Майкрософт».
4. Выберите подходящие системы для защиты различных устройств
Корпорация «Майкрософт» повысила уровень безопасности своих продуктов и, кроме того, разработала линейку продуктов для обеспечения безопасности бизнеса, направленных на защиту всей сети и систем. Microsoft Forefront — это семейство продуктов, которые защищают клиентские компьютеры, серверные приложения и границы сети и обеспечивают возможность централизованного управления и масштабирования для охвата тысяч пользователей. (Загрузите эту таблицу данных для получения более подробной информации о продукте Microsoft Forefront.)
В наше время на рынке технологий безопасности появляется все больший выбор специализированных продуктов, однако эксперты считают, что самыми простыми в управлении являются интегрированные системы безопасности, такие как Microsoft Forefront.
При выборе технологий безопасности помните о том, что определенные устройства требуют определенных средств:
Для настольных и переносных компьютеров требуются антивирусные программы, средства защиты от программ-шпионов и межсетевые экраны (см. Microsoft Forefront Client Security).
Для серверов электронной почты требуется антивирусная программа, такая как Microsoft Antigen, в составе Forefront.
Для серверов и сети требуются межсетевые экраны и системы обнаружения проникновения (сервер Microsoft ISA Server, также доступный в составе Forefront, содержит эти функции).
5. Разработайте стратегию защиты мобильных пользователей
При все большем числе сотрудников, взаимодействующих и работающих в пути, очень важно иметь стратегию обеспечения безопасности при мобильной работе, которая защищает как от простой человеческой ошибки, так и от вирусов, хулиганов и злоумышленников. Гари Чен (Gary Chen), аналитик, специализирующийся на компаниях среднего размера в Yankee Group (Бостон), рекомендует использовать для удаленного доступа технологию виртуальной частной сети (VPN), так как она включает шифрование и проверку подлинности.
Г-н Чен рекомендует приобрести мобильные устройства с функцией «самоуничтожения». Если такое устройство утеряно, сервер, к которому оно должно подключаться, может отправить сигнал блокировки ОС. После этого с устройства нельзя будет получить данные, и оно не сможет получить доступ к главному компьютеру.
Говард Болдуин (Howard Baldwin), Саннивейл (Калифорния), соавтор веб-узла Microsoft Midsize Business Center. Его статьи были опубликованы в CIO, Optimize и InfoWorld.
