2 июня 2015

Малые компании и стартапы: безопасный рост

Бизнес

Аксиомой для любого бизнеса является его существование ради прибыли, что бы тот ни производил или предлагал. В противном случае это не бизнес. Конечно, стартапы вынуждены туже затягивать пояса, и экономия на собственной безопасности часто кажется логичной. На самом деле нет, и мы говорили об этом столько раз, что ничто не мешает нам повторить это снова. Загвоздка в том, чтобы обосновать эти заявления.

Итак, давайте просто выложим все карты на стол.

День первый

Давайте рассмотрим два примера: первый — небольшой стартап, созданный, в лучшем случае, всего несколько месяцев назад, в то время как второй бизнес – это, скорее, малая компания, уже зарекомендовавшая себя в своей нише.

Представляется очевидным, что у второй, скорее всего, безопасность данных уже налажена, так как она ​​обладает несколько большими ресурсами, которые можно выделить на второстепенные нужды… Стоп, «второстепенной» мы только что безопасность назвали?

В действительности для многих людей меры безопасности на самом деле «вторичны».

Это распространённая, но врождённо ущербная позиция, своего рода «неуязвимость из неизвестности», о которой мы уже писали прежде. Небольшие компании не чувствуют необходимости защищаться, потому что они якобы слишком малы и незначительны, чтобы вызвать интерес у киберпреступников.

На первый взгляд этот подход может казаться логичным, но злоумышленников нисколько не заботят размеры и продажи их жертвы. Их волнуют только два вопроса: 1. Есть ли там какие-то деньги? 2. Трудно ли добраться до них? Комбинация ответов «да» и «нет» уже гарантирует готовящееся нападение.

Так что при выборе между устоявшейся небольшой компанией и стартапом именно банковский счет последнего преступники, скорее всего, посетят в первую очередь. Малая компания может иметь и большую сумму денег, но сквозь ее киберпериметр гораздо труднее проникнуть.

Искренне рекомендуем воспринимать кибербезопасность как нечто необходимое с самого первого дня, как офисное программное обеспечение и компьютерное оборудование, требующиеся для ведения бизнеса.

Входит и выходит

Хорошо, давайте предположим, что кибербезопасность действительно настроена как следует с самого начала в офисах и стартапа, и малой компании. Сеть, сервер (серверы) и конечные точки защищены, возможно, даже каким-то единым решением, а не при помощи рагу из ориентированных на домашнее использование антивирусов, принесённых самими работниками в их личных ноутбуках.

Но вот случается утечка данных — в виде, скажем, украденного или потерянного смартфона финансового директора компании, на котором не установлено решений безопасности, не было функции дистанционного удаления, потеря совершенно невосполнимая. Отлично! Теперь остается только надеяться, что «новые хозяева» лишь вернут заводские настройки, всё почистят и не станут продавать данные из памяти телефона кому-нибудь крайне заинтересованному в подрыве деятельности компании.

Защита конечных точек сегодня подразумевает не только установку защитных решений на ноутбуки или настольные ПК (если такая экзотика ещё в ходу). На самом деле теперь сам сотрудник со всей массой устройств и является той самой «конечной точкой» сейчас, и он может входить в защищённый периметр главного офиса и выходить из него много раз в день, не говоря уже о нерабочем времени. Защита всё равно должна действовать на всех смартфонах сотрудников, планшетах и ноутбуках, которые используются для работы, иначе конечная точка однажды станет точкой входа для злоумышленников.

wide

Чрезвычайно полезно, когда сотрудники информируют ИТ-специалистов своей компании (если таковые имеются, что не всегда случается в стартапах) обо всех своих устройствах, чтобы можно было на них установить клиенты корпоративных решений безопасности, которые защитят рабочие данные. Будет величайшим заблуждением считать, что они сами до этого додумаются без (настоятельных) запросов и заверений в том, что их конфиденциальности ничто не грозит.

Одолжите облачко

Использование сторонней инфраструктуры для хранения больших объемов данных – распространённая практика для компаний любого размера. Есть также ряд бесплатных наборов облачных сервисов для коллективной работы (возьмите те же Google Drive/Docs, например), и они чрезвычайно привлекательны для наиболее рачительных компаний, таких как стартапы.

Следует ли критически важные данные доверять сторонним решениям для хранения/коллективной работы без дополнительной защиты? Большинство этих ресурсов могут похвастать высоким уровнем защищённости, однако аспект безопасности облаков по-прежнему вызывает немало споров. Обеспечение дополнительного рубежа безопасности вроде шифрования данных не отнимет много усилий и может помочь избежать многих неприятностей, если что-то пойдёт не так.

Острые вопросы и простая схема

Мы уже писали прежде, что надёжная защита требует хорошей политики и понимания того, что требуется обезопасить. Сперва следует поставить надлежащие вопросы и дать на них ответы, на основании которых можно создать более или менее ясную схему непрерывного обеспечения безопасности.

#Безопасность начинается с правильных вопросов #protectmybiz

Есть три вопроса, которые быть поставлены в первую очередь:

  1. Где мои данные, то есть что именно нуждается в защите?
  2. То надо сделать для защиты моих данных, то есть, чтобы предотвратить потерю доступа, повреждение и/или утечку данных?
  3. Как убедиться в том, что данные остаются защищенными, то есть, как обеспечить пребывание данных в границах «защищенного пространства»?

А ещё надо задать два дополнительных вопроса:

  1. Что я знаю о киберугрозах, и достаточно ли этого?
  2. Насколько сложно киберпреступникам добраться до моего банковского счёта с помощью электронных коммуникаций?

Получив ответы, можно составлять схему обороны, то есть обеспечить необходимые средства безопасности. В конце концов, план будет выглядеть довольно простым. Скорее всего, это будет просто список функций, которыми должно обладать решение по безопасности, и шагов, предпринимаемых для того, чтобы убедиться в том, что план работает в вашей компании вне зависимости от наличия у вас отдельного ИТ-сотрудника.

Например, Kaspersky Small Office Security специально предназначен для предприятий малого бизнеса, которым требуются простые в использовании, зато эффективные средств защиты. Судите сами.