СДЭК рассказал, как сохраняет конфиденциальность клиентской базы

Последнее время не утихает шумиха вокруг безопасности данных в крупных компаниях. Сотрудники работают удаленно, а мошенники активизируются. В новых условиях защита корпоративной информации — одна из первостепенных задач.

Станислав Горбатовский, IT-директор СДЭК, рассказывает, как компания сохраняет конфиденциальность клиентской базы в 19 странах присутствия.

70% угроз безопасности в любой компании исходят изнутри. Ниже чек-лист из 5 основных пунктов, которые помогут сократить риск утечки данных.

1. Работа с персоналом. Для каждого нового сотрудника сразу устанавливайте, какими внутренними данными он будет пользоваться. Закрепляйте ответственность правовыми актами. Если должность кандидата предполагает допуск к важной информации, внимательно проверьте его прошлый рабочий опыт и рекомендации. ​​​​​​​

2. Ограничение доступа. Работа в компании — это игра в одной команде, где у каждого члена своя зона ответственности. Это значит, что большинству коллег нужна только часть базы данных. Вся остальная информация должна быть закрыта. Если сотруднику требуется расширенный доступ, настройте логирование (отслеживание) действий. Еще один важный пункт: регулярно меняйте пароли в системе. Следите за сложностью комбинаций, чтобы их нельзя было просто подобрать.

3. Все рабочие действия должны производиться внутри системы, которую вы можете контролировать. Максимально исключите возможность выгрузки данных из программы. Чаще всего именно так происходит утечка базы.

4. Активный мониторинг. Отслеживайте действия сотрудников. Используйте специальный софт, чтобы определить повышенный трафик или нестандартное поведение. Полезно внедрить систему, которая поможет убедиться, что за компьютером именно ваш сотрудник — например, авторизацию через смс.​​​​​​​

​​​​​​​5. Обучение. Регулярно изучайте потенциальные схемы мошенничества. Злоумышленники постоянно изобретают новые способы кражи данных: обновляйте знания, чтобы обеспечить защиту ваших систем. Инструктируйте сотрудников — каждый должен знать основы инфобезопасности, что такое фишинг и как выявить мошеннические действия.

Например, в СДЭК базы находятся в защищенной сети, прямой доступ к которой есть только у сотрудников компании. Но даже у них нет возможности скачать или экспортировать данные — такой функционал не предусмотрен в программе. Возможен только просмотр части, которая нужна для работы.

​​​​​​​Регулярно мы усиливаем защиту, внедряем инструменты для быстрого поиска мошенников и сотрудничаем с подрядчиками по информационной безопасности.