Личная информационная безопасность для руководителей и собственников компаний

Для чего нужна личная информационная безопасность?

Собственники бизнеса и руководящий состав компаний обладают максимально широкими правами в информационных системах и массой конфиденциальных сведений в переписке. Но как показывает практика, в аспекте обеспечения информационной безопасности руководство редко отличаются от простых сотрудников.

Это делает топ-менеджеров идеальной мишенью для злоумышленников.

Важно!

Использование прогрессивных подходов и обеспечение конкретных мер личной информационной безопасности позволяют радикально снизить вероятность успешной атаки на первых лиц компаний, и как следствие, на компанию в целом.

Наш опыт в проведении судебных компьютерных экспертиз, а также практика проведения исследований по результатам инцидентов информационной безопасности позволяют выделить 5 основных уязвимых областей в личной информационной безопасности руководителей:

• Электронная переписка (мессенджеры, электронная почта);
• Пароли (в публичных и внутренних сервисах);
• Небезопасные устройства/их неверная настройка (смартфоны, ноутбуки, домашний Wi-Fi и т.д.);
• Цифровой портрет личности (репутация в интернете);
• Понимание реальных угроз безопасности.

Важно!

Повышение уровня информационной безопасности возможно без отказа от привычных инструментов работы и значительного изменения привычек. Применение от 1 до 3 конкретных мер защиты позволяет на несколько порядков увеличить информационную безопасность и тем самым снизить вероятность успешной атаки на руководителя.

На основании этого

Для обеспечения персональной информационной безопасности первых лиц, может потребоваться выполнить часть или все из перечисленных ниже работ:

1. Обеспечить безопасное управление личной перепиской (мессенджеры и электронная почта);
2. Организовать управление паролями (как личными, так и корпоративными);
3. Проверить личные устройства на предмет их безопасности;
4. Сформировать необходимый цифровой портрет личности;
5. Провести персональное обучение по вопросам личной информационной безопасности.

Безопасное использование личной переписки

Эта мера подразумевает, использование всех средств связи в безопасном режиме без ущерба собственному комфорту и эффективности передачи информации. Очень важно разделять коммуникации по различным каналам в зависимости от степени риска.

Для реализации данной задачи мы проводим следующие этапы работ:

• На первом этапе проводится анализ того, какие каналы коммуникации используются, как настроены, и что за информация передается;
• На втором этапе нами готовится конструкция наиболее удобной и безопасной модели коммуникации.

Пример, когда требуются дополнительные меры безопасности в переписке

Копия мессенджера открыта у пользователя на домашнем компьютере или планшете помощника. В этой ситуации надо дополнительно оценить степень доверия такому помощнику и важность информации, обрабатываемой в копии мессенджера.

Правила электронной переписки (особенно на корпоративном уровне) могут не гарантировать конфиденциальность (при этом и доступность) писем. В ходе аудита проверяются все необходимые моменты, а после даются рекомендации по оптимизации переписки.

Организация безопасного управление паролями

Существует масса способов организовать простое и удобное хранение/изменение паролей к различным инструментам и сервисам.

В ходе проведения работ:

• Анализируются типовые ошибки, такие как:
  • Один пароль для всех сервисов;
  • Хранение паролей в открытом виде;
  • Простые пароли;
• Проверяется дата последней смены на каждом сервисе;
• Составляется перечень лиц, которым доступен сброс пароля и иные аспекты парольной безопасности.

По результатам работ предоставляются (и, по желанию, настраиваются) средства управления паролями, которые будут максимально безопасны и удобны для использования.

Важно!

В целях сохранения конфиденциальности все работы проводятся без доступа наших специалистов к паролям заказчика.

Проверка безопасности личных устройств

В первую очередь необходимо проверить личные смартфоны, рабочие и личные компьютеры. В отдельных случаях имеет смысл проверить или сразу заменить домашние устройства для доступа в интернет.

Проверка осуществляется на предмет:

• Актуальности моделей устройств, версий программного обеспечения, прошивок и пр.;
• Следов компрометации устройств;
• Настройки работоспособности средств защиты информации.

Наши методы компьютерной экспертизы позволяют установить:

• Наличие вредоносных программ;
• Недостаточную настройку безопасности операционных систем и приложений;
• Отсутствие шифрования;
• И ряд иных аспектов защиты устройств.

Формирование цифрового портрета личности

Одним из распространенных мифов среди руководителей и собственников бизнеса является уверенность, что если человек не присутствует в социальных сетях или не дает интервью, то и никакой репутации в интернете у него нет. В действительности абсолютно любой человек, тем более на высокой позиции, имеет цифровой профиль.

Пример из нашей практики

Крупная промышленная группа регулярно сталкивалась с отказами в заключении контрактов и руководство не понимало причин. Наше исследование показало, что у одного из акционеров есть полный однофамилец в его родном городе, того же года рождения (отличались только день и месяц рождения). Однофамилец был неоднократно судим по различным статьям УК РФ. И да, это совершенно другой человек, однако службы безопасности, которые регулярно проверяли аффилированных компаний лиц, сталкивались именно с информацией об однофамильце. В течение месяца был создан цифровой профиль акционера с помощью подконтрольных компании Интернет-ресурсов. С необъяснимыми и необоснованными отказами компания больше не сталкивается.

Персональное обучение личной информационной безопасности

Обучение – самый важный элемент обеспечения личной информационной безопасности. В ходе нескольких коротких консультаций мы передадим важные и неизбыточные знания по применению всех указанных выше мер – только конкретика, основанная на реальной практике.

Как правило, достаточно трех встреч по 1 часу.

Результат работ

По итогу оказания услуги руководители и собственники бизнеса получают:

1. Экспертное заключение по безопасности своих устройств;
2. Удобную и безопасную систему управления паролями;
3. Готовую модель безопасной и комфортной коммуникации (электронная почта, мессенджеры и пр.);
4. Положительный цифровой портрет личности;
5. Знания и индивидуальные рекомендации по информационной безопасности.

RTM Group – преимущества для Вас

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности.
• Работа проводится экспертами, обладающими большим опытом проведения оценок соответствия по ГОСТ Р 57580 и другим стандартам.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наши аудиты и проверки не сводятся к «продаже» дополнительных услуг.
• Мы полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Обладаем следующими лицензиями:

• • лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации;
  • лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации;
  • лицензия ФСБ России на работу со средствами криптозащиты.