Як працюють інструкції по інформаційній Безпеці на практиці:
В компанії стався інціидент - акаунт одного із співробітників зламали шахраї, отримали доступ до ERP системи компанії, почали вчиняти fraud-дії, їх вдалось заблокувати та припинити, своєчасно відреагували технічні спеціалісти.
Коментар від Керівництва: дана платформа містить дуже конфіденційну інформацію і якби вона потрапила не в ті руки, це мало б фатальні наслідки для всієї команди..
При цьому - є чітка інструкція, прописані правила, як і що потрібно робити, як формувати паролі, де їх зберігати, що потрібна обов'язково 2х факторна ідентифікація.
НІДЕ НЕ ЗАПИСУВАТИ СВОЇ ПАРОЛІ!!
По факту - ось результати перевірки:
- пароль від свого профілю в ERP та посилання на нього тримала в Telegram, не усвідомлюючи, що це може призвести до витоку КІ чи несанкціонованого втручання сторонньої особи в роботу системи;
- достеменно не була обізнана щодо вимог використання двохфакторної аутентифікації на пристроях через які працювала.
Як їй відомо, багато співробітників Компанії також не мали двохфакторної аутентифікації на своїх пристроях і встановили її вже після випадку, що стався
ВИСНОВОК: Вимагайте від персоналу реальних знань та виконання інструкцій. Перевіряйте знання та періодично проводьте перевірку на поліграфі, де тема - виконання правил інформаційної безпеки - одна з головних повинна бути!
В компанії стався інціидент - акаунт одного із співробітників зламали шахраї, отримали доступ до ERP системи компанії, почали вчиняти fraud-дії, їх вдалось заблокувати та припинити, своєчасно відреагували технічні спеціалісти.
Коментар від Керівництва: дана платформа містить дуже конфіденційну інформацію і якби вона потрапила не в ті руки, це мало б фатальні наслідки для всієї команди..
При цьому - є чітка інструкція, прописані правила, як і що потрібно робити, як формувати паролі, де їх зберігати, що потрібна обов'язково 2х факторна ідентифікація.
НІДЕ НЕ ЗАПИСУВАТИ СВОЇ ПАРОЛІ!!
По факту - ось результати перевірки:
- пароль від свого профілю в ERP та посилання на нього тримала в Telegram, не усвідомлюючи, що це може призвести до витоку КІ чи несанкціонованого втручання сторонньої особи в роботу системи;
- достеменно не була обізнана щодо вимог використання двохфакторної аутентифікації на пристроях через які працювала.
Як їй відомо, багато співробітників Компанії також не мали двохфакторної аутентифікації на своїх пристроях і встановили її вже після випадку, що стався
ВИСНОВОК: Вимагайте від персоналу реальних знань та виконання інструкцій. Перевіряйте знання та періодично проводьте перевірку на поліграфі, де тема - виконання правил інформаційної безпеки - одна з головних повинна бути!