Когда шампанское выпито и тосты сказаны, так приятно махнуть рукой на корпоративные заботы и уйти на заслуженные новогодние каникулы. Однако «законсервировать» бизнес не удастся – к корпоративным ресурсам будут обращаться дежурный сотрудник, неуемный менеджер-трудоголик, линейный руководитель, побеспокоенный клиентом. 

Так что окончательно забыть про работу вряд ли получится. Хотя можно заметно снизить риск того, что кто-то испортит долгожданный отдых. Что нужно сделать перед новогодними каникулами ответственному за информационную безопасность?

1. Убедитесь, что перед уходом на каникулы сотрудники не «расшарили» информацию.

Уходя на каникулы, многие трудоголики стараются обеспечить себя всеми необходимыми доступами и информацией, на случай, если придется что-то сделать удаленно. И расшаривают полезные базы и документы на личные аккаунты. Проблема в том, что публичное облако и бесплатная личная почта, равно как флешки, – небезопасный способ хранения. О «временном» хранилище быстро забывают, и конфиденциальная информация может годами «болтаться» в облаках. К тому же часто пользователи не закрывают к ним публичный доступ и не заботятся о шифровании информации. 

Размещение корпоративной информации в публичных сервисах должно быть запрещено в компании. Об этом правиле стоит напомнить коллективу перед праздниками. 

2. Обеспечьте безопасный способ связи, если сотруднику придется обращаться к корпоративной информации через непроверенные Wi-Fi-точки.

Части сотрудников приходится ехать в отпуск с корпоративным ноутбуком. И нужно заранее озадачиться тем, чтобы им не пришлось беспокоиться о безопасности интернет-соединения. Для этих целей придуман VPN. IТ-служба должна быть готова его наладить, тогда сотрудник сможет работать вне офиса, не подвергая данные опасности. 

3. Проконтролируйте, чтобы из-под учетной записи сотрудника никто не входил в его аккаунт.

Это можно сделать разными способами. Во-первых, IT-отдел на время отдыха может заблокировать учетные записи сотрудников в Active Directory. Но тогда будет закрыт и санкционированный доступ.  

Другой более реальный вариант – заранее настроить двухфакторную аутентификацию, когда помимо логина/пароля система запрашивает у пользователя что-нибудь еще, например, код из sms. «Двухфакторку» можно «прикрутить» практически на все современные сервисы, в том числе CRM. Таким образом можно быть более уверенным, что в аккаунт входит именно его владелец. 

Если же за сотрудника работает «дежурный», которому нужен временный доступ, в CRM-систему вносится номер этого замещающего сотрудника. Случись что, по логам можно будет установить, кто набедокурил. 

Если в компании стоит DLP-система, ее можно настроить так, чтобы она делала снимки с веб-камеры при каждой авторизации в аккаунте. Тогда даже если сотрудник в обход правил оставил свой логин/пароль коллеге, этот факт будет зафиксирован с фотографической точностью. 

4. Убедитесь в безопасности удаленных подключений.

Удаленный доступ – часто необходимость. Но факт в том, что это один из самых опасных каналов утечки информации, тем более что им пользуются продвинутые пользователи. Если нет возможности полностью отключить эту опцию, настройте политики безопасности, если еще этого не сделали. 

Например, DLP «СёрчИнформ КИБ» позволяет управлять действиями пользователей при активном RDP-подключении:   

• задавать разные правила для ПК пользователя и удаленной машины – например, запретить копирование с одной стороны или вставку с другой;
• делать теневую копию всех файлов, которыми идет обмен в RDP;
• запрещать любое перемещение файлов через RDP-подключение.

Так же специалисты по безопасности смогут ограничивать действия сотрудников, которые используют Vmware/VirtualBox для доступа к виртуальным средам (машинам, ресурсам, приложениям). КИБ заблокирует флешки и другие съемные девайсы, если пользователь попытается подключить их к виртуальному хранилищу.

Это не исчерпывающие рекомендации, но пусть они натолкнут вас на мысли, что еще нужно успеть сделать в эти уже почти нерабочие будни, чтобы отдохнуть за каникулы на 100%.