Информационная безопасность – это не точная наука вроде математики. Но опыт, скопленный поколениями ИБ-специалистов, позволяет существенно облегчить жизнь в работе с инцидентами. Чтобы не просто выявлять, но и предупреждать нарушения, важно обращать внимание на сигналы о потенциальной опасности. В этом материале мы собрали «коллективное знание» наших клиентов о том, на какие группы риска они обращают внимание и как определяют их в коллективе.
Группа риска | Угроза: на что может пойти сотрудник | Как обнаружить сотрудника группы риска |
Сотрудник недоволен зарплатой |
|
Обращайте внимание на обсуждение нехватки денег, низких доходов, чужих зарплат и премий. В DLP («СёрчИнформ КИБ») настройте словарь денежной тематики. Мотивированность на деньги в сочетании с высокими амбициями может быть важным признаком. В линейке «СёрчИнформ» такие факты умеет выявлять программа профилирования сотрудников ProfileCenter. В ней нужно обратить внимание на лидеров рейтинга «Мотивированные на деньги», амбиции 4-5 пунктов. |
Сотрудник в конфликте с руководством / недоволен задачами / коллегами |
|
В DLP ищите упоминания руководства (по именам, прозвищам, официальным и неофициальным названиям должностей – «босс», «шеф», «главный») + выражения из словаря мата. Важный признак – демотивированность, в ProfileCenter можно отследить ТОП-лист сотрудников в соответствующем рейтинге. |
Сотрудник стал работать менее эффективно / нарушает трудовую дисциплину |
|
Обращайте внимание на продуктивность сотрудников. В «СёрчИнформ КИБ» видно по отчетам эффективности и продуктивности, анализируйте переписки тех, у кого самые низкие показатели. Опасное сочетание демотивированности и выходящих за нормальные показатели амбициозности (высокие и низкие) – можно видеть в отчете по рейтингам в ProfileCenter. |
Сотрудник готовится к увольнению |
|
Контролируйте появление файлов резюме (показывает DCAP-система «СёрчИнформ FileAuditor»). Отслеживайте активность на сайтах вакансий, отправку резюме, общение с рекрутерами. Настройте словарь «поиск работы» в DLP. Обращайте внимание на снижение мотивированности – в ProfileCenter. |
У сотрудника собственный бизнес/ подработка |
|
Обращайте внимание на договоры, счета и т. п. документы с названием сторонних компаний – видно в FileAuditor. Отслеживайте использование сотрудниками email со сторонним почтовым доменом, а также использование в подписи названия других компаний. |
У сотрудника есть долги и опасные пристрастия (наркотики, алкоголизм, азартные игры) |
|
Любые признаки финансовых проблем, активный интерес к алкоголю, наркотикам и пр. – тревожный сигнал для ИБ. Также отслеживайте признаки шантажа и угроз сотрудникам, поступающих от внешних контактов. В DLP можно видеть по словарям соответствующих тематик. |
Сотрудник использует ПО, которое не требуется по работе (программы удаленного доступа, фоторедакторы и т. п.) |
|
Обращайте внимание на загрузку, запуск любого ПО, не относящегося к рабочей деятельности. Особенно программ удаленного доступа, программ по подбору паролей. В DLP видно по соответствующим отчетам. |
Сотрудник общается с уволенными коллегами |
|
Важно знать о контактах с бывшими сотрудниками. Информацию о коммуникациях удобно смотреть в карточках пользователей в DLP, а также по графу связей. Отслеживайте переписки с внешними контактами на рабочие темы по настроенным в DLP «алертам». |
Сотрудник ведет себя халатно |
|
Составляйте топ «случайных» нарушителей – в DLP можно собирать такую статистику нарушений. DLP отслеживайте пересылку спама коллегам. |
Сотрудник подвержен социальной инженерии | Переход по зараженным ссылкам, загрузка вирусов, передача информации, платежных данных, доступов к системам. | Обращайте внимание на риск «подверженность чужому влиянию» в профилях пользователей – это можно видеть в ProfileCenter. |
Сотрудник хранит или имеет доступ к документам, которые не нужны по прямым обязанностям |
|
Отслеживайте права доступа, хранение, операции с файлами, которые нужны сотрудникам по работе (анализ по контенту делают DCAP-системы, в частности «СёрчИнформ FileAuditor»). Следите за доступом сотрудников к базам данных и выгрузкам критичной информации. |
Сотрудник придерживается радикальных убеждений | Продвижение собственной идеологии или стремлении наказать тех, кто продвижению такой идеологии мешает. | Обращайте внимание на интерес и обсуждение сотрудниками религиозных, политических тем. В DLP настройте словари по терминологии, в отчетах о времени на сайтах отслеживайте регулярные посещения тематических сайтов, групп в соцсетях. |
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных