6 кроків, які можна зробити нині, щоб зменшити бізнес-ризики навколо ІТ-систем


В еволюції бізнесу настає момент, коли ІТ-системи виходять з-під контролю. Як тільки в компанії працює понад десяток людей, легко втратити дані про пристрої і дані. Інформація про компанію зберігається в різних місцях у хмарі або розповсюджується на персональних пристроях. Можна подумати, що ІТ-компанії будуть поширюватися в своїх ІТ-системах, але це не завжди так.

Це іноді сприймається як проблема, поки щось піде не так. Наприклад, хтось подає запит на доступ до суб’єкта даних (DSAR) вашої компанії, і ви розумієте, що не знаєте, де знаходяться всі дані. Або виявиться, що інтелектуальна власність якимось чином була передана конкуренту.

Такі події можуть обернутися серйозними фінансовими та репутаційними проблемами, але іноді розглядаються як ІТ-ризики. Багато зусиль доцільно витрачається на захист систем від атак хакерів і зловмисних програм, тоді як наслідки поганого керування даними та ІТ-інфраструктурою майже не помічаються.

Це прикро, оскільки зменшити ці ризики можна відносно легко. І якщо вжито деяких основних заходів, зниження ризику не потребує багато часу чи зусиль. Ось шість кроків, які можна зробити відразу, щоб переконатися, що все гаразд, з погляду ІТ.

1. Ведіть реєстр активів

Необхідно відзначити як багато компаній не мають реальних знань про ІТ-активи, якими вони володіють. І йдеться тут не лише про запасні смартфони та ноутбуки: під час однієї судової експертизи, у якій ми брали участь, ми знайшли цілий сервер, про який ніхто не знав.

Щоб переконатися, що пристрої, які містять життєво важливі дані, не зникають і обслуговуються належним чином, а також переконатися, що справжня вартість капітальних активів відображена у рахунках — створіть реєстр активів та оновлюйте його принаймні раз на рік, або, бажано, щоразу, коли ІТ обладнання куплено або списано.

2. Створіть карту даних

Як і у випадку з обладнанням, дуже мало компаній мають повне уявлення про те, які дані вони зберігають і де вони знаходяться. Нині сектори інформації все більше розповсюджуються між різними системами, сайтами та хмарами. Це може створити проблеми з дотриманням вимог у випадку DSAR, судового розгляду чи подібного питання.

Щоб подолати цю проблему, важливо мати карту, яка показує, де розміщені різні типи даних і як вони пов’язані. Створення карти даних та оновлення її щороку може допомогти виявити вразливі місця і неефективність архітектури даних, що допоможе скоротити витрати та знизити ризики.

3. Керуйте авторизаціями

У невеликих масштабах, для будь-кого в компанії є доступ до всього в корпоративній мережі. Це відкрите запрошення до крадіжки інтелектуальної власності та інших проблем, але це можна легко виправити, встановивши правильні рівні доступу із самого початку.

Технічні засоби можуть допомогти обмежити потоки даних щодо бізнесу, аби, наприклад, важливі документи не можна було скопіювати на флешку без дозволу уповноваженої особи. Важкодоступні дані допомагають запобігти витоку та виявити винних, якщо інформація в кінцевому підсумку загубилась.

4. Зробіть управління даними кадровим питанням

Усе, що стосується даних, зазвичай розглядається як ІТ-справа. Але коли справа доходить до таких інцидентів як крадіжка інтелектуальної власності, проблема насправді полягає в людських ресурсах. Із цієї причини важливо, щоб управління інформацією охоплювалося такими сферами як трудові договори, навчання та адаптація.

Персонал має знати, що його роботодавець серйозно ставиться до питань, пов'язаних з даними і очікує від працівників того ж. Культура поваги до даних та ІТ-систем зменшить ймовірність проблем і полегшить дотримання політики щодо використання персональних пристроїв, облікових записів електронної пошти та хмарного сховища, що може підвищити ризики втрати даних для компанії.

5. Проведіть інтерв'ю перед припиненням служби працівником

Компанії, зрозуміло, прискіпливо ставляться до того, які навички та здібності може принести новоприйнятий працівник у бізнес. Але менше піклується про те, що працівник може робити з ними під час припинення служби. Обмеження доступу до ключових даних, як згадувалося вище, може зменшити ймовірність крадіжки.

Іншим ефективним заходом є проведення інтерв'ю перед припиненням служби працівником, коли перевіряється політика захисту даних, а звільнених працівників просять запевнити, що вони не володіють пристроями або інформацією компанії. Це не зупинить рішучого злочинця, але може відкласти випадкову крадіжку і може бути корисним, якщо проблема буде виявлена в майбутньому, і ви бажаєте звернутися до суду.

6. Залучіть фахівців

Той, хто дійсно хоче вкрасти дані, зрештою знайде спосіб. Але, як і у випадку з кібербезпекою, ключ до зменшення інших ризиків, пов’язаних з ІТ, полягає в тому, щоб зробити кроки настільки складними, що 99% потенційних правопорушників не матимуть шансу, а випадкових помилок просто не станеться.

Застосування відповідних заходів може бути відносно простим, але спочатку судово-бухгалтерська експертиза ІТ може оцінити, на які ризики ви наражаєтесь, і що слід зробити, аби ефективно протистояти їм. Ваш шлях до зниження ризику починається з телефонного дзвінка.

Якщо ви піклуєтесь про ІТ-системи і хочете поговорити з одним з наших фахівців, зв’яжіться з нашими фахівцями.

 

Джерело BDO Global