16 февраля 2022, 1:04

Культура безопасности компании: зачем нужно объединять технологии и людей

Пандемия, новые требования бизнеса и меняющаяся рабочая среда внесли свои коррективы в привычную рутину. Большой процент сотрудников перешел на удаленный формат работы.

Это означает, что теперь за пределами безопасной локальной рабочей среды генерируется больше данных, чем когда-либо прежде. Поэтому обеспечение безопасного доступа пользователей к данным имеет ключевое значение.

В больших компаниях, где много сотрудников и мало ИБ-специалистов, вероятность утечки данных очень высокая. Вдобавок, понятие "конфиденциальные данные‎"‎ размытое, и для разных сотрудников ценность документов будет отличаться. Поэтому правильно настроенная защита от утечки данных и устойчивая корпоративная культура безопасности стали одними из главных задач для компаний.

Чобы защититься от утечки данных, многие компании используют DLP (Data Leak Prevention). Однако это решение не всегда корректно работает: автоматизированные инструменты DLP могут принимать конфиденциальные данные за публичные, и наоборот. Это замедляет и усложняет работу пользователей, ведь иногда DLP-решение не позволяет отправить рабочий файл даже коллеге. Выход: подкрепить автоматизированный подход пользовательской классификацией данных от Boldon James.

Важность комбинированных технологий

Основным принципом безопасности остается обеспечение автоматической защиты. Оно определяет, измеряет и отмечает статус данных, а также поддерживает все это с помощью безопасных и авторизованных хранилищ. Но, вдобавок к этому, сами сотрудники должны знать, что они защищают и понимать, как нужно взаимодействовать с уязвимыми и конфиденциальными данными.

Сочетание DLP с пользовательской классификацией данных — это стандарт безопасности. Классификация данных не только помогает организациям защитить важную информацию, но и учит пользователей правильно обращаться с разным уровнем конфиденциальности.

Объединив людей, процессы и технологии, CISO могут выполнить все ключевые требования к защите данных и контролю. А хорошая технология защиты данных в паре с пользовательским опытом дает значительные преимущества.

Роль сотрудников в обеспечении безопасности данных

У двух организаций нет одинаковых требований к использованию данных. Для CISO важно, чтобы политики в отношении данных в рамках всего бизнеса были полностью понятны. Это позволяет обеспечить единый подход к классификации данных и контролю за их использованием.

Однако именно создатели и пользователи владеют необходимыми знаниями, которые облегчают классификацию данных для последующего доступа и использования. Разумеется, сотрудники должны быть знакомы с политикой конфиденциальности своей организации. Но никто, кроме них, не сможет определить ценность того или иного документа. Ведь, скажем, для ИБ-специалиста чертежи не кажутся конфиденциальной информацией, в то время как инженер рассматривает их на уровне top secret. Инструменты классификации данных, например Boldon James, дают пользователям возможность лично поставить метку, которая определяет уровень секретности документа. Такой подход легко устраняет риск утечки данных, ведь теперь конфиденциальный документ точно не попадет не в те руки.

Защита данных после пандемии

На базовом уровне защита корпоративных данных должна обеспечивать понимание какие данные и где хранятся, и, соответственно, какие уровни контроля безопасности необходимы в конкретном случае.

Классификация данных позволяет пользователю самостоятельно определять уровень конфиденциальности информации, но в дозволенных рамках. Это вовлекает его в процесс принятия решения о классификации данных, повышает осведомленность и улучшает общее состояние безопасности компании.

В разных компаниях конфиденциальные данные отличаются, поэтому подходы к их защите не могут быть едиными для всех. Только создатели файлов точно знают уровень их конфиденциальности, а значит, могут помочь в их правильной классификации. Решение компании Boldon James позволяет пользователям самостоятельно определять важность данных и, таким образом, сделать свой вклад в их защиту от утечки.

Да, автоматизация помогает значительно повысить операционную эффективность и сделать процессы более гибкими после пандемии. Однако не стоит забывать, что сотрудники занимают важную позицию для бизнеса в обеспечении строгой политики конфиденциальности данных. Поэтому для создания крепкой культуры безопасности организации нужно также работать непосредственно с пользователями.

Обучение безопасности и защите данных должно проводиться в масштабах всей компании и существовать на работоспособном и устойчивом уровне.

Выводы

Обеспечение оптимальной операционной эффективности, управление данными и их классификация — новые постоянные бизнес-задачи. Бездействие грозит полным провалом: если вы не позаботились о безопасности данных своей организации, будьте готовы к серьезным финансовым потерям. Пост-карантинные реалии диктуют свои правила, где руководители должны быть избирательными и находить идеальную комбинацию технологий и человеческого фактора.

Благодаря обучению, автоматизации, а также интегрированному использованию технологий, ориентированных на пользователя, руководители смогут создать надежную культуру безопасности для своей организации.

Автор - руководитель департамента Б1, компании BAKOTECH.


Оцените публикацию:
  • 1 оценка
Другие аналитические статьи