1. Проверяйте роли и полномочия учётных записей
Власть пользователей над системой не должна быть безграничной. Сотрудникам достаточно иметь доступ к рабочим программам. А установку софта и контроль над системными файлами лучше оставить за ИТ‑специалистами. Так вы обезопасите себя от ситуаций, когда сотрудник запускает вредоносный файл от имени администратора и позволяет ему делать всё без ограничений: заражать вирусами, собирать информацию, шпионить или использовать компьютер для майнинга криптовалют.
Но разграничить права в системе мало. Учётные записи нужно время от времени проверять и актуализировать. Например, следить за тем, чтобы новые работники не получили доступ с расширенными правами. Менять настройки, когда выявляются уязвимые места. И проверять аккаунты сотрудников, которые больше не работают в компании, — они должны быть деактивированы или удалены.
Периодически обращайтесь к профессионалам для аудита информационной безопасности в вашей компании. Так регулярно делает большинство крупных организаций, например банков. Взгляд на систему со стороны помогает понять, что ваши ИТ‑специалисты могли упустить при внесении очередных изменений или настроек. Лучше вовремя понять уязвимые места в безопасности, чем потом разбираться с ущербом.
2. Следите за безопасностью паролей
Некоторые компании предписывают сотрудникам менять пароли каждые 90 дней. Но иногда это может снизить уровень безопасности. Во‑первых, новый код доступа часто записывают в блокнот, заметки телефона или оставляют стикер с паролем на мониторе. Во‑вторых, часто пользователи меняют лишь последнюю цифру или всё время чередуют два привычных пароля. Код доступа обязательно нужно изменить, если он был скомпрометирован, например, оказался в слитой базе. В остальных случаях часто менять пароль необязательно.
Лучше совершенствуйте требования к безопасности паролей: они должны быть длинными и сложными, содержать разные типы данных (буквы, цифры, знаки). Кроме того, включайте проверку истории пароля, чтобы избежать чередования одинаковых комбинаций. Будет лучше дополнить пароль многофакторной аутентификацией, например, считыванием отпечатка пальца или сканированием лица Face ID.
3. Актуализируйте ИТ‑инструкции
Некоторые из ИТ‑задач сотрудники в состоянии решить сами. Чтобы пользователи не обращались к сисадминам по любой мелочи, компании разрабатывают wiki‑инструкции с пояснениями: как настроить почтовые клиенты, подключиться к VPN, воспользоваться офисным принтером и так далее. Лучше всего такие гайды работают в формате видеоролика с пошаговым процессом глазами пользователя. Сотрудники будут делать всё правильно, а сисадмины не погибнут от свалившейся работы, если вы будете следить за регулярным обновлением этих инструкций. Особенно когда у вас в компании появляются новые бизнес‑процессы или устройства.
Кроме того, актуализируйте инструкции с правилами поведения при возникновении проблем и сбоев. Сотрудники должны понимать, когда не стоит пытаться починить всё самостоятельно, и знать, куда бежать, если работа компьютера серьёзно нарушена. Следите за тем, чтобы в шпаргалках по ИТ всегда были актуальные имена и контакты ответственных сисадминов. Проще всего это делать в электронном виде — так вам не придётся каждый раз выдавать команде новые распечатки.
4. Проверяйте лицензии рабочего софта
Вирусы, ограничение полезных функций, слив ваших данных — некоторые возможные последствия использования пиратских программ из интернета. Вы сэкономите деньги на покупке софта, но ежедневно будете рисковать своим бизнесом. Оплатить лицензионную программу намного выгоднее, чем чинить всю ИТ‑систему офиса или компенсировать ущерб клиентам, чьи персональные данные утекли в Сеть из‑за вас.
Следите, чтобы ваши сотрудники не скачивали непроверенный софт из интернета, а вместо этого говорили вам, каких программ им не хватает для решения рабочих задач. Не забывайте проверять срок действия лицензии и при необходимости её продлевать, чтобы работа компании не встала в самый неподходящий момент.
Надёжный и привычный всем бизнес‑софт поможет избежать многих проблем. Важно, чтобы механизмы киберзащиты были интегрированы в продукт изначально. Тогда будет удобно работать и не придётся идти на компромиссы в вопросах цифровой безопасности.
Пакет программ Microsoft Office 365 включает целый ряд интеллектуальных средств кибербезопасности. Например, защиту учётных записей и процедур входа от компрометации с помощью встроенной модели оценки рисков, беспарольную или многофакторную аутентификацию, для которой не нужно приобретать дополнительные лицензии. Также сервис обеспечивает динамический контроль доступа с оценкой рисков и учётом широкого спектра условий. Кроме того, Office 365 содержит встроенные средства автоматизации и аналитики данных, а ещё позволяет контролировать устройства и защищать данные от утечки.
Познакомиться с Office 365 поближе
5. Напоминайте сотрудникам о важности кибербезопасности
Цифровые угрозы становятся всё более опасными, поэтому в любой компании нужно проводить регулярные ИТ‑ликбезы. Устраивайте для всей команды уроки по кибербезопасности или делайте периодическую рассылку на почту. Объясняйте сотрудникам, что нельзя оставлять компьютер разблокированным, когда они отлучаются выпить кофе, или давать коллегам работать под их учётной записью. Расскажите о том, как опасно хранить важные рабочие файлы на личном телефоне. Приводите примеры кибератак на другие компании с использованием методов социальной инженерии и фишинга.
Превентивные меры — это одна из стратегий защиты, которая позволяет минимизировать риски. Говорите с сотрудниками об ИТ‑угрозах, ведь самое слабое звено в системе — человеческий фактор. Будьте осторожны с флешками: не переносите файлы с домашнего на рабочий компьютер, просите партнёров и коллег использовать файлообменники, а не носители. Никогда не используйте найденные в офисе или где‑то ещё флешки: на них могут быть вирусные программы.
Ваши сотрудники должны понимать, почему нельзя кидать друг другу рабочие файлы в социальных сетях или делать что‑то в обход ИТ‑систем компании. Настройте обратную связь: узнавайте, насколько ваша команда довольна инструментами для работы с цифровыми данными. Если сотрудникам тяжело, постарайтесь оптимизировать бизнес‑процессы.
6. Своевременно обновляйте ПО
В большинстве случаев вместе с лицензионным софтом вы получаете бесплатные обновления. В новых версиях разработчики исправляют баги, делают интерфейсы более удобными, а ещё — устраняют пробелы в безопасности и перекрывают пути для возможных утечек информации.
Для обновления софта требуется время и перезагрузка компьютера. Из‑за наплыва работы ваши сотрудники могут недооценивать важность обновления и месяцами нажимать «Напомните позже» во всплывающем окне. Держите руку на пульсе и не допускайте таких ситуаций: устаревшее ПО всегда делает ваши бизнес‑процессы более уязвимыми. Для надёжности вводите окончательную дату, после которой перезагрузка и установка обновлений произойдут принудительно.
Контролировать цифровую безопасность в офисе удобно с помощью Office 365 от Microsoft. Он позволяет автоматически оповещать сотрудников, когда пора поменять пароль. В пакет входят не только привычные программы Word, Excel, PowerPoint и почта Outlook, но и софт для безопасных звонков, корпоративный мессенджер, программа для обмена файлами по защищённой сети. С экосистемой от Microsoft вашим сотрудникам не придётся искать обходные пути и скачивать ненадёжные программы из интернета.
Что ещё входит в Office 365