Sécurité #3 : Secrets commerciaux

Continuant à développer le sujet de la sécurité des données dans l'entreprise, parlons aujourd'hui de la manière d'assurer la non-divulgation des secrets commerciaux. À savoir, ce qui doit être fait pour éviter les fuites d'informations.

Nous pouvons diviser le travail global sur la préservation de l'information en deux domaines :

  • Protection contre les intrusions extérieures pour voler des informations.
  • Protection contre le vol interne commis par un employé de l'entreprise à des fins personnelles.

Ne sous-estimez pas les menaces externes, même si l'entreprise, à votre avis, est petite et ne promet pas de gros profits aux attaquants. Position "Qui a besoin de nous ?!" conduit souvent à des négligences en matière de sécurité et à des conséquences tout à fait logiques.

 

Recommandations pour repousser les menaces externes :

  1. Ne donnez pas accès à BackOffice depuis le monde extérieur sans mot de passe. L'accès sans mot de passe devrait être impossible pour tout le monde, et la direction de l'entreprise en la matière ne devrait pas être une exception, mais un exemple pour les autres employés.
  2. Ne donnez pas accès depuis le monde extérieur aux applications BackOffice dont la sécurité n'a pas été suffisamment testée (par exemple, 1C). Fermez ces connexions avec des VPN ou d'autres types de connexions qui authentifient les côtés serveur et client, de préférence en utilisant des cryptosystèmes basés sur le chiffrement asynchrone.
  3. Respectez les règles de protection antivirus décrites dans le article

 

Recommandations pour prévenir le vol d'informations par les employés de l'entreprise :

  1. N'utiliser l'accès au BackOffice qu'avec autorisation, prévoir l'absence de possibilité de tout accès anonyme (malheureusement, ce point est très souvent négligé).
  2. Utilisez un logiciel BackOffice qui vous permet de journaliser toutes les opérations de tous les utilisateurs, ainsi que de différencier l'accès aux enregistrements de la base de données au niveau des droits d'accès. Il n'est pas recommandé d'utiliser des restrictions d'interface, car elles ne sont en fait qu'une défense contre un imbécile paresseux. Si l'employé n'est pas idiot ou paresseux et qu'il a l'intention de voler, de telles restrictions n'empêcheront pas la fuite d'informations.
  3. Utilisez un logiciel supplémentaire sur les lieux de travail qui vous permet de contrôler toutes les actions des utilisateurs et, encore une fois, de les enregistrer. Y compris les travaux vers l'imprimante, les fichiers copiés à partir d'un support amovible et copiés sur un support amovible, les données copiées sur le réseau (pour conserver des copies des fichiers). Ce sont des programmes assez spécifiques, et ils sont payants.
  4. Supprimez les droits de l'administrateur local sur le système d'exploitation sur lequel l'employé travaille afin qu'il ne puisse pas désactiver les systèmes de contrôle d'activité.
  5. Lorsqu'un employé est admis dans le BackOffice, prenez un accord de non-divulgation pour les secrets commerciaux obtenus dans le cadre de l'exercice de ses fonctions. Cela ne sauvera pas à coup sûr, mais cela arrêtera la plupart des attaquants, car la responsabilité en vertu du Code civil de la Fédération de Russie est énorme, ce qui devrait également être rappelé dans le document en cours de signature.

 

Comme vous pouvez le voir, la protection contre les menaces externes prend vraiment moins de temps et il est beaucoup plus facile de la construire. Mais se protéger contre l'intention malveillante d'un employé qui a accès aux données en service est beaucoup plus difficile et coûteux. Dans les entreprises employant 30 à 50 personnes, à ces fins, il devrait déjà y avoir un employé dédié qui occupe le poste de responsable de la sécurité informatique, ou combine ce poste avec le poste d'informaticien. Il doit avoir des connaissances non triviales et suffisamment de temps pour maintenir les systèmes de contrôle en état de marche et pour surveiller (de manière sélective, bien sûr) ce qui se passe. Et même ici, il existe un "maillon faible" - le responsable de la sécurité informatique lui-même. Par conséquent, il ne faut pas oublier que la clé du succès de l'entreprise, son principal atout, ce sont des employés qualifiés.

System Administrator LLC propose à ses clients le service Security Administrator pour éviter les fuites d'informations de l'entreprise.

Avec mes meilleures salutations
L'équipe de System Administrator LLC

Оставьте комментарий

Continuer mes achats →
овар добавлен корзину.
0 articles - 0,00 
Оформить заказ
ouvrir le chat
1
Puis-je vous aider?
Scannez le code
Bonjour 👋
Comment puis-je t'aider?
Ceci n'est pas un chatbot ! Les gens répondent ici, donc pas toujours instantanément 😳
Nous utilisons des cookies pour vous offrir la meilleure expérience sur notre site Web. En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies.
Accepter
Refuser
En savoir plus