Команда по оценке инсайдерских рисков. Кто в ней должен быть?
Эксперты уверены, что хотя внутренние инциденты безопасности, связанные с персоналом, случаются реже, чем внешние, урон от них многократно больше. По этой причине целесообразно в структуре компании иметь группу по оценке и изучению инсайдерских рисков, отмечает Райан Фрэнсис, ответственный редактор онлайнового журнала Chief Security Magazine (Febr. 27, 2017).
Автор публикации перечисляет, кем (и объясняет почему) должны комплектоваться такие группы внутри организации.
Представитель топ-менеджмента. Им может быть член совета директоров, гендиректор, замдиректора, акционер. Это нужно, чтобы, во-первых, «убедить» руководителей всех подразделений и направлений компании организовать у себя мониторинг инсайдерских рисков; во-вторых, определить строгие границы работы такой группы; в-третьих, связать ее работу со стратегическими целями, стоящими перед компанией.
Юрист. Определит соответствие внутреннего мониторинга местному и федеральному законодательствам. Юрист уточнит, что в работе персонала компании позволено контролировать: электронную переписку, посещение работниками веб-сайтов, пользование онлайновыми приложениями, что они выгружают из интернета и распечатывают. С другой стороны, к примеру, следить за личным онлайновым банкингом служащих чревато правовыми последствиями, если, не дай Бог, с его банковскими счетами случится что-то нехорошее.
Кадровик. Поможет документировать процесс мониторинга, проследить, не нарушаются ли права на личную жизнь (privacy). Участие кадровика необходимо хотя бы по той причине, что он/она располагает информацией о грядущих увольнениях (потенциальный риск), о финансовых или имущественных проблемах того или иного работника, что также заслуживает пристального внимания и расследования.
Системный администратор. Обеспечивает технологическую базу для мониторинга, помогает отслеживать и контролировать, кто и в каком объеме пользуется допуском к корпоративным базам данных.
Руководитель СБ. Он же должен и руководить командой.
Вопросы и области для внутреннего мониторинга:
Данные учетной записи (аккаунт) – имя пользователя и пароль, права и привилегии пользователя, допущенного в интернет и локальные сети (интранет)
Внешние аккаунты для клиентов, подрядчиков, консультантов, поставщиков и прочих партнеров, кому разрешен доступ в корпоративную сеть
Ограничения, установленные для использования в служебных целях личных компьютеров и мобильных устройств
Осведомленность персонала компании о политике и правилах безопасности
Система идентификации пользователей сети
Кадровые изменения – увольнения, приход новых сотрудников, перемещения по службе
|