Пост написан приглашенным автором, доктором Гаем Бункером, старшим вице-президентом Clearswift по продуктам. 

Информационная безопасность в компании, по мнению многих, – это защита от хакеров и киберпреступников, взламывающих сеть фирмы для кражи данных. Чтобы сравнить этот стереотип с реальным положением вещей, мы в Clearswift провели исследование, которое всесторонне оценивает случившиеся инциденты в сфере безопасности. Обнаружилось, что за последний год инциденты случались в 83% опрошенных компаний, но, вопреки вышесказанному, 58% случаев относились к угрозам, исходившим изнутри компании – от сотрудников, бывших сотрудников и доверенных партнеров. В общем, простых людей вроде нас с вами.

Неудивительно, что 72% организаций с трудом поспевают за изменениями в мире безопасности, которые возникают из-за новых способов ведения бизнеса и общения людей. Одно из ключевых изменений в бизнес-практиках и бизнес-рисках – это популярность концепции «принеси свое устройство» (Bring Your Own Device – BYOD).

Три главные угрозы, исходящие от BYOD сегодня:

1. использование сотрудниками своих USB-флешек;
2. случайные человеческие ошибки;
3. отправка рабочей почты с личных почтовых аккаунтов и устройств. 

Конечно, нечестно возлагать полную ответственность за все инциденты на сотрудников, особенно если их поощряют (или даже не запрещают) «приносить свое устройство». Примерно треть (31%) организаций активно управляет политикой BYOD, 11% запрещают ее вовсе. Вторая категория, что интересно, встречается со внутренними угрозами вдвое чаще первой – 37% против 18% у тех, кто разработал политику BYOD. Неудивительно – ведь 53% опрошенных заявили, что сотрудники пользуются своими устройствами вне зависимости от того, разрешено им это или нет. Поэтому компаниям стоит возложить на себя административное бремя вместо того, чтобы исповедовать страусиную политику.

Что же дальше? Организациям нужно признать, что внутренние угрозы не менее важны, чем внешние, и учитывать их в планировании мер IT-безопасности. Для BYOD нужна детально проработанная политика использования, и внедрять ее нужно срочно. Как работодателей, так и сотрудников нужно обучать тому, что такое BYOD и как снизить сопутствующие риски, дав возможность использовать личные устройства безопасно.

Если в вашей компании правила BYOD еще не разработаны, пока прислушайтесь к нашим рекомендациям:

1. Не ставьте под удар свою компанию и себя, используя личные устройства (даже флешки) без предварительной консультации с системным администратором.
2. Если нужно применить съемный носитель, выберите тот, что снабжен системой шифрования, – желательно одобренный компанией-работодателем.  Сегодня подобные безопасные флешки широко распространены и не очень дороги, лишняя тысяча рублей окупится спасенной репутацией компании.
3. Те же меры безопасности нужны по отношению к почте. Если вам позарез нужно отослать рабочий документ с личной почты (например, рабочая сломалась) – заведите для этого особый аккаунт и включите все настройки безопасности по максимуму. Например, подойдет Gmail со включенной двухфакторной аутентификацией.
4. Посылайте документы только в зашифрованном виде. Не прибегая к лишним сложностям, можно воспользоваться парольной защитой в файлах MS Office или запаковать документ в архив ZIP с надежным паролем.
5. . Конечно, посылать пароль в том же письме нельзя – сообщите пароль получателю по телефону.
6. Не заводите рабочий аккаунт на личном устройстве без консультации с системным администратором. Для безопасной работы с корпоративной почтой существуют специальные защищенные приложения.