Готов ли ваш стартап к запуску?

Как запустить свой проект и избежать киберугроз:

• Конфиденциальность финансовой отчетности. Как ограничить доступ к важным документам:

Важные документы можно хранить локально или в облаке. Главное не забывать, во-первых, о шифровании, а во-вторых о правильной настройке прав доступа. В противном случае утечка информации может произойти в любой момент.

• Стартапы – это, как правило, не стандартный офис: часть сотрудников работает удаленно. Как организовать данный процесс, с точки зрения информационной безопасности:

Убедитесь, что часть вашей команды использует проверенный VPN и работа с внутренней информацией не осуществляется через подключение к любому хотспоту. Помните, что бесплатный сыр бывает только в мышеловке, особенно, если речь идет о ваших данных.

• Выбираете железо и софт. Как не прогореть на Windows XP и «сэкономленных» деньгах на хорошем железе, например, с «Куфара»:

В ситуации, когда бэкапы не помещаются на офисный сервер, а поставить современный офисный пакет на Windows XP не представляется возможным, правильным решением будет обратиться к инвестору и объяснить: лучше заплатить деньги сейчас, чем потом – тратить лишние нервы и оплачивать дополнительные человеко-часы. Главное – избежать утечку данных из-за ненадежного железа и неподконтрольных вам облачных сервисов.

• Стартап не может себе позволить полноценный бухгалтерский штат, поэтому привлекают аутсорсинг. И в один «прекрасный» момент, аутсорс-бухгалтер переслал письмо из налоговой, в котором говорится о необходимости срочно погасить задолженность. Что делать, если сумма не маленькая, срок оплаты – сегодня, а для удобства в письме приложен PDF-файл:

С налоговиками, конечно, ссориться не стоит, но это вполне может оказаться письмо со встроенным вредоносным скриптом. Позвоните в налоговую или свяжитесь с бухгалтером, медленно отойдите от компьютера и пригласите специалистов по информационной безопасности. Не открывайте вложение, не переходите по ссылке пока не убедитесь, что человек прислал вам это письмо сам и по реальной необходимости.

• Убедились, что обеспечить информационную безопасность надо. Как выбрать способ ее обеспечения:

Есть несколько предложений:

• наплевать на предрассудки и поставить платный удаленно управляемый антивирус на все, а если понадобиться, то и на кофе машину;
• после подсчетов затрат, бухгалтер заявил, что разумнее и дешевле провести тренинг и научить сотрудников распознавать угрозы;
• поступили предложения штрафовать сотрудников, которые по собственной глупости столкнулись с киберугрозами. Пусть учатся на своих ошибках за свой счет;
• поставить защиту только на компьютеры, а для этого вполне достаточно бесплатного антивируса.

Каждый вариант выглядит заманчиво, особенно если не влечет дополнительных финансовых вложений со стороны руководства и инвесторов. Только помните: безопасности много не бывает, когда речь идет о сохранности данных и денег. Дизайнер, бухгалтер, уборщица или курьер не станут специалистами по ИБ после посещения тренингов. Да им и не надо. Каждый должен заниматься своим делом. Для молодого стартапа дешевле и эффективнее установить комплексное защитное ПО, чем после ряда проб и ошибок, долго и дорого бороться с киберугрозами.

• Рабочие гаджеты под надежной защитой, но что делать с личными смартфонами и ноутбуками сотрудников: 

Часто сотрудникам запрещают использовать собственные ноутбуки, но на смартфоны такого ограничения нет. В некоторых офисах вводят тотальный запрет на использование личных гаджетов. В современном мире оставить людей без мобильных телефонов на 7-9 часов – на грани фантастики. Можно сделать проще: ограничьте доступ к ресурсам компании только при успешной проверке наличия на компьютере защитного ПО. Ограничьте права доступа для разных устройств и обеспечьте безопасность офисной сети.

• Сотрудники начинают покидать вашу компанию. Первым сдался SММ-щик (специалист по продвижению в социальных сетях). Как пожелать ему удачи и ничего не потерять:

С одной стороны сложностей нет: пусть передаст логины и пароли, а вы его освободите от администрирования страниц в «ВК» и «Фейсбуке». С другой стороны, можно оставить его в социальных сетях на случай, если от него что-то понадобиться. Но! Правильным решение будет поменять пароли везде, а не только в социальных сетях. Бывший сотрудник больше не часть вашей команды, а значит доступа к внутренним ресурсам быть не должно.

• Парольная политика – штука тонкая. Готовы поспорить, что пароли длиной не менее 24 символов, содержащие цифры, как минимум одну заглавную букву, знаки препинания, спецсимвол, заклятие, древнюю руну и глубокий философский смысл, готов использовать далеко не каждый сотрудник. Да и такие сложные пароли сотрудник точно не запомнит. Скорее всего запишет на листочке бумаги и наклеит на монитор, или создаст Word-документ, который так и будет называться – «Пароли».

Что делать: выбирайте умеренно длинные и сложные пароли. Да, вводить их тоже утомительно, но это снижает риски. Кроме того, существуют менеджеры паролей. И не забывайте о двухфакторной аутентификации.

• В вашем офисе кто-то забыл USB-флешку. Такое бывает часто, флешки маленькие, и вы наверняка сами их теряли. Коллеги говорят, что она тут уже лежит целую неделю. И если хозяин не объявиться еще недели три, обязательно найдут ей применение. Что делать и причем тут ИБ:

Первым делом отдайте флешку системному администратору. Неизвестная флешка может оказаться устройством USB Killer, которое спалило бы компьютер сразу же после подключения. Могло быть и проще: на флешке оказались вредоносные файлы. Как итог: работа парализована. Поэтому запомните, а лучше запишите: неизвестные накопители сперва изучаются в изолированной среде.

• Старый друг, лучше новых… Впереди 2020 год, а многие сотрудники до сих пор используют «древний» Microsoft Office. Вы решительно настроены вступить в новый год с современным ПО и накатить апдейты на Windows, но уже с порога понимаете, старый «офис» будут оборонять до конца. Что делать:

Новый софт – это деньги, но без них нельзя. Обязательно установите апдейты ОС и приложений, а личные ноутбуки без установленных критических обновлений исключите из общей сети. Так будет лучше. Ведь даже небольшое промедление может привести к серьезным последствиям. Обновление ОС и софта – это не только новые функциональные возможности, но и исправление уязвимостей.

Рекомендуем:

• Пройдите тест и узнайте, как обстоят дела с информационной безопасностью в вашем стартапе
• Приобретите до конца недели подписку на Office 365 в «ЮКОЛА-ИНФО» по супер-выгодному предложению (спойлер: защита в подарок)
• Обзаведитесь приличным антивирусом и проведите небольшую лекцию среди своих сотрудников (а можете просто прислать им эту статью)
• Организуйте резервное копирование 

Источник новости: www.kaspersky.ru

Приятной работы!