Rambler's Top100
Статьи
Екатерина АФАНАСЬЕВА  20 мая 2021

Как защитить компанию от кражи финансовой информации в новых реалиях

Использование в корпоративной сети личных устройств, отсутствие антивирусной защиты, несоблюдение регламента при работе с конфиденциальными финансовыми данными – все это подвергает компанию риску того, что данные попадут к злоумышленникам. 

Согласно исследованию InfoWatch, в 2020 году на долю финансовой сферы пришлось 17,6% всех утечек данных в России. Это более чем вдвое выше глобальных показателей: в мире в отрасли финансов произошли только 8,4% всех утечек. 

Ситуация может усугубиться, когда компании переводят свои бизнес-процессы в удаленный режим. Как действовать руководителю, чтобы защитить финансовую информацию? 

Необходимо предпринять несколько простых шагов:
  • произвести инвентаризацию бизнес-процессов компании;
  • определить, как циркулирует конфиденциальная информация;
  • составить список лиц, которые имеют доступ к конфиденциальной информации;
  • на карте процессов выделить риски, присущие каждому действию. При этом не следует пренебрегать даже самыми незначительными уязвимостями, потому что именно они могут привести к хакерской атаке или утечке важной информации.
Проблемы взаимодействия финансовых сотрудников между собой или с другими подразделениями почти полностью могут быть решены пересмотром действующих процессов компании и введением дополнительных этапов аутентификации. Например, передавать финансовые отчеты только через запароленный архив, а пароль сообщать ответственному сотруднику по определенному каналу связи.

Платежные поручения должны подтверждаться обязательно двумя подписями. Как правило, эти документы визируют либо два финансовых руководителя, либо финансовый руководитель и генеральный директор компании.

Нельзя хранить все пароли в одном месте. Финансовые сотрудники вынуждены хранить массу паролей, которые постоянно обновляются, поэтому почти на всех рабочих столах казначеев, бухгалтеров и финансовых менеджеров есть текстовый файл с именем «Пароли». Если возникает обоснованная необходимость хранить пароли в одном месте, это должно осуществляться в периметре корпоративной сети, где все данные поддаются учету.

Распоряжения первых лиц, адресованные финансовой службе, должны дублироваться по разным каналам связи. Например, задачи, поставленные в ходе телефонного разговора, подтверждаются по корпоративной почте. Это позволит быть уверенными в том, что задачи ставит человек, имеющий на это полномочия.

В отношении конфиденциальной информации в компании должен быть введен режим коммерческой тайны, т.е. утверждено Положение об охране коммерческой тайны. Кроме того, в условиях удаленной работы не лишне обновить локальные положения о взаимодействии между разными отделами, положение о корпоративном поведении и кодексы этики. При трудоустройстве сотрудники должны подписывать соглашение о неразглашении (NDA), а в отношении конфиденциальной информации контрагентов строго соблюдать режим коммерческой тайны и условия NDA.

Сегодня периметр безопасности компании размыт множеством личных гаджетов и закрытых каналов связи. В первую очередь ответственные лица должны понимать, что затраты на дооснащение личных устройств работников – это критическая необходимость, а не роскошь и необоснованные расходы. Хакерские атаки в конечном счете нанесут компании несоизмеримо больший ущерб – как в финансовом, так и в репутационном плане.

С технической точки зрения подход к защите критической информации должен быть комплексным и всеобъемлющим: для доступа ко всем корпоративным ресурсам нужно использовать двухфакторную аутентификацию, удаленные устройства, включая личные, должны быть оснащены антивирусной защитой, необходимо внедрение DLP-систем и систем для учета неструктурированных данных в компании, а также систем учета ИТ-активов.

Новое слово в вопросах информационной безопасности – поведенческая аналитика, основанная на технологиях искусственного интеллекта. Система собирает данные о действиях пользователей, анализирует их, профилирует и своевременно выявляет различные аномалии в поведении – это позволяет определить и предотвратить возможную хакерскую атаку и организованные утечки информации на самых ранних этапах.

Дистанционный формат работы должен быть максимально защищен. Компании потратят немало сил и денежных средств, но эти затраты окупятся. Кража финансовой информации может нанести существенный ущерб репутации и бюджету компании. Важно обеспечить сотрудников всеми техническими средствами защиты – установить антивирус, двухфакторную аутентификацию и DLP-систему. Кроме того, стоит провести встречу с финансовыми сотрудниками для уточнения правильной и безопасной работы в удаленном формате.

Екатерина Афанасьева, финансовый директор, Cross Technologies
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!