Информационная безопасность руководителей
Собственники компаний и высшее руководство зачастую обладают широким набором привилегированных прав доступа к критичным системам, в то же время для них почти всегда применяются послабления в части требований по информационной безопасности (отсутствие агента DLP, неограниченный доступ к сети Интернет и т.п.).
Заказать услуги по информационной безопасности руководителей
Зачем нужна информационная безопасность?
Руководители и собственники компании работают с информацией, имеющей стратегическое значение для положения организации на рынке.
Всё это объясняет пристальное внимание злоумышленников именно к высокопоставленным сотрудникам.
Высшее руководство всегда имеет специфические потребности в отношении внутренних и внешних информационных систем. Поэтому ответственным специалистам по ИБ (и лично руководителю ИБ) всегда стоит рассматривать связанные с ними элементы систем как часть особого контура безопасности, трезво оценивая риски и выбирая меры защиты.
Мы имеем опыт работы с инцидентами, связанными с руководителями компаний, как по линии компьютерных экспертиз для суда, так и в рядовых расследованиях. На основании имеющихся у нас данных можно перечислить следующие уязвимые направления для менеджмента:
- Ведение деловой переписки по незащищённым каналам связи;
- Отсутствие адекватного менеджмента паролей;
- Невнимательное отношение к устройствам, с помощью которых осуществляется доступ к критичным ресурсам (личные смартфоны, ноутбуки, планшеты);
- Низкий уровень понимания реальных угроз;
- Бессистемный подход к собственному цифровому следу, как в медиа-ресурсах, так и на личных страницах.
Зачастую для обеспечения приемлемого уровня ИБ не возникает необходимости в кардинальном изменении бизнес-процессов или личных привычек руководителей.
Как защититься собственнику/руководителю компании?
На основании сведений о популярных направлениях атак мы рекомендуем пять векторов развития личной безопасности:
- Установление защищённых каналов связи, осознанное использование популярных мессенджеров при использовании их в бизнес целях;
- Внедрение системы управления паролями (с использованием менеджера паролей или через классические правила менеджмента паролей);
- Контроль личных устройств (исследование их уровня защищённости, а также наличия нелегитимного ПО);
- Персональное обучение по вопросам информационной безопасности;
- Управление сведениями, ассоциированными с высшим руководством.
Безопасность личной переписки
В рамках этого направления оцениваются риски использования существующих каналов связи, выбор дополнительных мер их защиты, разделение переписки по каналам в зависимости от критичности передаваемых данных.
- Исследование уже используемых каналов, их характеристик, передаваемой по ним информации;
- Формирование рекомендаций по совершенствованию существующей модели связи.
Пример
Параллельные сессии доступа к мессенджерам сильно снижают общий уровень безопасности. Защищённое корпоративное устройство не поможет отразить атаку на домашний компьютер менеджера, в котором выполнены входы на сервисы для рабочего взаимодействия.
Дополнительной мерой безопасности могут служить общие правила деловой переписки. Зачастую взаимодействие между двумя руководителями не требует непосредственной передачи конфиденциальной информации, будет достаточно обезличенного обсуждения. Такие меры могут помочь сохранить коммерческую тайну даже в случае инцидента ИБ.
Менеджмент паролей
На выбор высшего руководства предлагается несколько способов безопасного хранения паролей.
В ходе работ:
- Контролируется отсутствие популярных нарушений (многократное использование одного и того же пароля, хранение паролей на бумажных носителях, низкое качество паролей);
- Контролируется реальная частота смены паролей;
- Исследуется применимость общих парольных политик для руководства.
По результатам работ на выбор предоставляется ряд средств управления аутентификационными данными, оптимальными по удобству использования и степени защищённости.
Важно!
Доступ к парольной информации в рамках проведения работ исключён.
Защита личных устройств
Прежде всего исследуются устройства, с которыми непосредственно контактирует руководитель (смартфоны, ноутбуки, рабочие и домашние ПК), в отдельных случаях анализируется сетевое оборудование, при помощи которого осуществляется доступ в сеть Интернет.
Цели контроля:
- Проверка актуальности версий системного и прикладного ПО;
- Поиск следов вредоносного, шпионского ПО;
- Анализ параметров встроенных и установленных средств защиты.
Возможные результаты контроля:
- Выявление вирусного ПО;
- Обнаружение слабых настроек систем защиты;
- Выявление слабых алгоритмов шифрования.
Персональное обучение
Без прямого взаимодействия с руководящим составом невозможно обеспечить их личную безопасность. Обучение направлено на объяснение основных рисков безопасности, а также подготовку к использованию предлагаемых средств защиты.
Цифровой портрет
Не стоит думать, что человек, не ведущий активную жизнь в социальных сетях, не оставляет цифрового следа.
Пример
Наличие полного совпадения по ФИО зачастую достаточно для того, чтобы предприниматель встретился с препятствиями, возникшими из-за неоднократно судимого тёзки. Подобные ситуации порождают неприятности не только в коммерческой сфере, но и, порой, даже на уровне государственных структур. В таких случаях необходимо приложить значительные усилия для создания выгодного цифрового портрета в сети.
Личная информационная безопасность руководителей
Эксперты Literafort в рамках услуги могут провести:
- Консультирование в рамках менеджмента паролей;
- Помощь в установлении доверенных каналов переписки;
- Персонализированный анализ и рекомендации по защите личных данных;
- Анализ личных устройств топ-менеджмента на наличие вредоносного ПО и других нелегитимных воздействий;
- Исследование цифрового следа, консультации в части создания более выгодного информационного портрета компании.
После оказания услуги вы получаете полную защиту личных данных руководителей от утечек и компрометации.
Боев Андрей Валерьевич
Аналитик по безопасности программного обеспечения
Профессиональный опыт в сфере информационной безопасности с 2009 года
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по информационной безопасности руководителей
Услуга | Стоимость |
---|---|
Консультация |
бесплатно |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.