На сегодняшний день, когда компании сталкиваются с экономическими трудностями, они, в первую очередь, начинают сокращать свои затраты, в том числе и на информационную безопасность. Однако активная конкурентная борьба на рынке и низкая лояльность сотрудников приводят к увеличению рисков информационной безопасности.
Множество российских компаний на сегодняшний день только формируют процессы управления информационной безопасностью и на этом этапе сталкиваются с типовыми проблемами, которые вытекают из-за слабой эффективности существующих процессов.
Можно выделить следующие проблемы информационной безопасности на российских предприятиях:
- использование небезопасных конфигураций программного и аппаратного обеспечения;
- использование стандартных паролей в системе;
- большое количество возможностей у пользователей информационных систем;
- не выполняются соответствующие требования по защите персональных данных;
- низкая осведомленность пользователей о существующих угрозах информационной безопасности;
- возможное использование учетных записей сокращенных сотрудников для различных махинаций;
- отсутствуют меры, позволяющие вести разбор инцидентов информационной безопасности.
Любой современный склад нуждается в такой удобной технологии, как беспроводная сеть. Складские решения с применением беспроводных сетей помогут улучшить производительность сотрудников склада, уменьшить частоту ошибок при ручном вводе и максимально автоматизировать учет. Но произведенные при настройке и развертывании сети ошибки, могут позволить внешним злоумышленникам беспрепятственно проникнуть в сеть. Самой грубой ошибкой на многих предприятиях является использование уязвимого протокола безопасности.[1]
Для обеспечения защиты беспроводной сети применяются специализированные протоколы. Эти протоколы будут обеспечивать доступ к сети только тем, кто действительно нуждается в доступе, а также передавать данные только в зашифрованном виде. Одним из первых широко распространенным в мире, да и в России, протоколом безопасности беспроводной сети считается протокол WEP. Но, несмотря на свое распространение, в протоколе были найдены серьезные недостатки, которые могут позволить недоброжелателям без особого труда заполучить пароли для доступа к сети. Данный протокол стал широко использоваться из-за того что он легко настраивается и поддерживается почти всеми беспроводными устройствами.
Очень опасной и наиболее распространенной для безопасности уязвимостью является использование стандартных паролей, которые установлены по умолчанию. Частота этого явления обусловлена тем, что люди, которые устанавливают программное и аппаратное обеспечение обычно обеспокоены только тем, чтобы запустить и заставить систему работать, но при этом не отдают должное внимание информационной безопасности. Они просто не меняют пароли для системных учетных записей, которые обладают наибольшими возможностями в системе, и оставляют их стандартными, то есть такими, какими они были установлены изначально производителем. Самыми широко используемыми паролями являются «Administrator» и «Admin», они с легкостью угадываются злоумышленниками, заполучившим доступ к корпоративной сети.
Так как полностью защититься от всех атак недоброжелателей практически невозможно, необходимо иметь возможность разбора происшествий связанных с информационной безопасностью. Бывает что IТ-специалисты полностью отключают регистрацию действий пользователей, из-за того что она требует повышенного внимания, и на ряду с этим уменьшить нагрузку на систему. Это может привести к тому, что предприятие не сможет даже понять о том, что сеть была взломана, и конкуренты будут получать данные о его действиях и процессах более оперативно, чем руководство самого предприятия.
Наличие различных уязвимостей в системе обеспечения информационной безопасности обусловлено тем, что в ней отсутствует правильный процесс управления. Нужно знать, что необходимо для создания эффективной системы управления.
Во-первых, нужно получить поддержку со стороны руководства предприятия, которое должно понимать возможные последствия, если не будет уделять должное внимание информационной безопасности склада и соответственно выделить необходимые средства на решение данной задачи. Последствия могут быть разного вида: ущерб репутации компании, финансовые потери, проблемы с регулирующими органами.
Во-вторых, нужно провести систематизацию существующей информации. Это необходимо для того чтобы понять, какие данные являются наиболее критичными и значимыми для организации, а также узнать в каких системах они обрабатываются. Для каждого вида информации определяется ее критичность – как минимум по степени конфиденциальности. Компаниями принято выделять такие категории, как общедоступная информация, коммерческая тайна, персональные данные. Руководитель склада обязан уделять огромное внимание процессу систематизации информации, с которой работают его сотрудники, так как он отвечает за все бизнес-процессы. Компании будет легче сосредоточиться на самом главном, если будет понимания того, какой информации и каким системам требуется более серьезная защита.
В-третьих, нужно определить какие проблемы информационной безопасности существуют в компании. Для этого потребуется проведение комплексного аудита. Аудит заключается в том, что в обеспечении информационной безопасности задействованы три составляющих: люди, процессы и технологии, и в ходе аудита идет их проверка.
При проведении аудита процессов разбираются существующие документы по информационной безопасности и то, как действительно работают процессы управления информационной безопасностью на предприятии. В процессе технического аудита выявляются опасные и уязвимые места беспроводной сети, используемого компанией аппаратного и программного обеспечения, которые позволяют осуществлять злоумышленникам несанкционированный вход в систему и получать доступ к закрытым данным. Весьма эффективным является тестирование на возможность несанкционированного проникновения. В ходе этого тестирования осуществляется имитация действий реальных злоумышленников и их возможного поведения.
Также в процессе комплексного аудита проверяется, как сильно сами работники устойчивы к атакам злоумышленников, которые используют методы социальной инженерии. С сотрудниками организации связываются аудиторы, они звонят им по телефону, или пишут по электронной почте или в популярных социальных сетях и пытаются обманным способом узнать важную информацию (например, пароли для доступа к информационным системам). Итогом аудита является составление списка существующих проблем с указанием уровня риска и опасности, связанного с каждой из них. Наиболее объективно оценить уровни рисков можно за счет проведенной систематизации информации и пониманию того, в какой системе обрабатывается та или иная информация.[2]
Информационная безопасность считается достаточно затратной статьей бюджета, а сейчас каждый желает на затратах экономить. Но при этом руководитель не хочет терять прибыль из-за проблем с информационной безопасностью. Можно выделить следующие возможности для того чтобы решить эти проблемы.
Далеко не всегда проблему информационной безопасности удается решить за счет покупки дорогих средств защиты информации. Так, множество задач можно решить с помощью внедрения необходимых процессов управления информационной безопасностью. В первую очередь внимание следует уделить процессам информационной безопасности, связанным с управлением логическим доступом к информационным системам, управлением происшествий в информационной безопасности, обнаружением и устранением слабых мест и недостатков в программном обеспечении и обучением персонала. Так, например, если будут своевременно блокироваться учетные записи уволенных со склада работников, и активные пользователи в компании будут лишь обладать необходимыми возможностями в системах, то это позволит существенно сократить риск осуществления нежелательных и сторонних операций.
Необходимо правильно настроить уже существующие системы. Современное аппаратное и программное обеспечение включает в себя встроенные механизмы обеспечения информационной безопасности, а их настройка в соответствии с рекомендациями производителей поможет значительно увеличить уровень защиты. Уровень защищенности информации, обеспечиваемый встроенными механизмами информационной безопасности систем, должен периодически проверяться в ходе аудита информационной безопасности.
Сейчас очень много доступных бесплатных средств защиты информации, такие как антивирусы, сканеры уязвимостей, системы обнаружения вторжений и межсетевые экраны. Наиболее известные программные продукты давно на рынке и пользуются большим спросом во всем мире. Отсутствие гарантированной технической поддержки является их единственным недостатком, но это в должной мере восполняется огромным количеством профессиональных почтовых рассылок и форумов в интернете.
Организации привыкли доверять свои средства банкам, а обеспечение физической безопасности доверять различным охранным агентствам. Данный подход можно распространить и на информационную безопасность. Передача части функций информационной безопасности на аутсорсинг позволит организации уменьшить свои затраты на квалифицированных сотрудников. В данном случае главные процессы управления информационной безопасностью остаются полностью в организации и поддерживаются ответственными лицами: IТ-специалистами, руководителями отделов и сотрудниками отдела кадров. [3]
Ликвидация обнаруживаемых в ходе аудита недостатков позволит улучшить систему управления информационной безопасностью, поднять ее эффективность и, следовательно, позволит держать риски на оптимальном для успешного бизнеса уровне.
В целом, если предприятия будут отдавать должное внимание информационной защите склада, и последовательно решать возникающие проблемы, то это позволит поддерживать в оптимальном состоянии существующие процессы на складе, которые, в свою очередь, будут обеспечивать положительный результат.