Как показал отчет Cisco, 50% организаций с количеством сотрудников больше 10000 тратят от $1 млн на кибербезопасность в год. 43% инвестируют от $250000 до $999999, а оставшиеся 7% — меньше $250000. Вложения в сферу информационной безопасности — залог защиты корпоративных и клиентских данных.

Определите, какие данные нужно защитить Организации собирают данных на разных девайсах. Информация поступает через сайт, из колл-центров, от подрядчиков и клиентов. При мониторинге защищенности данных необходимо учитывать каждый компонент сложной системы. Эти вопросы помогут вам составить список ценной информации.

Кто предоставляет вам персональные данные (клиенты, банки, кредитные компании, спонсоры, соискатели работы, сотрудники фирмы, предприниматели из дружественных организаций, конкуренты)?

Как информация поступает к вам? Пользуетесь сайтом, электронной и традиционной почтой, либо есть доступ к анкетам покупателей?

Как выглядит процесс сбора информации? Остаются ли данные у лиц, собирающих персональные сведения?

Где вы храните данные? В компьютерных базах, облачных хранилищах, на ноутбуках, смартфонах, у сотрудников дома?

У кого есть доступ к информации?

Сохраняйте только важную информацию Представим ситуацию. Вы объединили данные клиентов в один файл, включая детали транзакций. А знаете ли вы, что хранить слишком большое количество данных рискованно? Лучше удалить информацию, которой не пользуетесь. Если данных нет в системе, ими не воспользуются хакеры.

Хорошая практика — сводить к минимуму доступ к данным. Следуйте принципу наименьших привилегий: позаботьтесь о том, чтобы у каждого сотрудника был доступ только к тем ресурсам, которые реально нужны для работы.

Защитите электронную информацию Большая часть документооборота происходит в электронном режиме. Чтобы оценить безопасность сети, составьте список всех подключений, где хранятся персональные данные (Интернет, электронный кассовый аппарат, ноутбуки в офисах, ПК сервисных провайдеров для поддержки сети, сканеры, беспроводные девайсы). Пригласите специалистов в сфере кибербезопасности, чтобы провести аудит каждого элемента.

Зашифруйте персональные данные, которые вы отправляете третьим лицам через Интернет. Применяйте криптографию, чтобы скрыть трафик от неавторизованных пользователей. А если применить сквозное шифрование, информацию прочитает только отправитель и получатель. Эта технология лежит в основе работы виртуальной приватной сети. По умолчанию, VPN проводит трафик через защищенный туннель, обеспечивая безопасность персональных данных.

Работая с кредитными картами, пользуйтесь шифрованием TLS для безопасной передачи данных в Интернете.

Обращайте внимание на безопасность веб-приложений. Хакеры могут встроить в приложение команды, которые выглядят как официальные запросы на получение информации. Заходя в систему, хакеры отправляют персональные данные из корпоративной сети на собственные компьютеры.

Чтобы предотвратить атаку, регулярно обновляйте все программное обеспечение, устанавливайте патчи. Также рекомендуется проверять передаваемые пользователем входные данные, включая выпадающие списки или радиокнопки, а не только поля, в которых юзеры должны ввести текст. Следите, чтобы уведомления об ошибках на сервере и в коде не отправлялись в веб-браузер клиента. Ведь хакеры могут использовать эти технические детали для внедрения запроса.