Зачем ограничивать доступ сотрудников к информации?

Чем меньше у сотрудника прав, тем меньше риск кражи, случайного удаления или изменения данных. Сотрудник должен видеть только то, что ему реально нужно для работы. Это защищает информацию и от внутренних злоупотреблений, и от внешних атак, если взломают его рабочий компьютер.

Как правильно организовать общие папки в компании?

Оптимально выделить три типа папок: личные папки сотрудников с доступом только для них и руководителя, общую папку для временного обмена файлами и групповые папки для отделов (бухгалтерия, юристы, производство и т.д.). Такой подход позволяет упорядочить хранение документов и чётко разнести уровни доступа.

Почему плохо хранить рабочие файлы на рабочем столе или локальном диске?

Файлы на рабочем компьютере чаще всего не попадают в резервные копии. При заражении вирусом-шифровальщиком, поломке диска или ошибке пользователя эти данные могут быть потеряны навсегда. Если же документы хранятся на сервере, их проще защитить и восстановить из бэкапа.

Какие преимущества даёт хранение рабочих файлов на сервере?

Хранение файлов на сервере позволяет разграничить доступ по пользователям и отделам, централизованно организовать резервное копирование и восстанавливать данные при сбоях или атаках. Кроме того, можно вернуться к более ранним версиям документов, если они были случайно изменены или перезаписаны.

Помогут ли резервные копии при шифровании или ошибке сотрудника?

Да, при условии, что резервные копии делаются регулярно и хранятся отдельно от рабочих данных. В этом случае после шифрования или случайного удаления файлов их можно восстановить из архивов на сервере или в другом хранилище, минимизировав простой и потери для бизнеса.

ИТ-безопасность простыми словами: предотвращение кражи и уничтожения информации

Во второй статье цикла разберём, как защитить данные компании от кражи, потери и случайного удаления. Просто, без сложных терминов — только то, что реально работает в небольших организациях.

Зачем защищать данные внутри компании

Когда говорят «утечка данных», большинство представляет себе внешнего хакера, который взламывает ваши компьютеры и крадет ваши данные. Но чаще всего проблемы начинаются внутри компании — из-за случайных действий сотрудников, слабых паролей или общих папок без ограничений доступа.

Задача руководителя — не превращать офис в «военную часть», а организовать систему, при которой каждый сотрудник работает спокойно, а информация остаётся под контролем.

1) Разграничение доступа к программам

Это как правило различные учетные системы: бухгалтерский учет, коммерческие системы (например, учет продаж автомобилей), автосервисные программы и т.п. Каждый сотрудник должен иметь доступ только к тем данным, которые нужны для выполнения его служебных обязанностей. Например, кассир не должен видеть данных по расчету заработной платы. Это кажется очевидным, но мне не раз приходилось видеть, особенно часто в небольших компаниях, что у всех сотрудников в бухгалтерии одинаковые (полные) права. Наверняка Вы спросите, зачем нужно это разграничение доступа?

Во-первых, если сотрудник захочет украсть данные, у него для этого меньше возможностей.
Во-вторых, не всем сотрудникам полезно владеть всей полнотой информации о компании.
В третьих, если компьютер сотрудника оказался взломан, взломщики получат доступ только к определенной части информации. Но об этом мы еще поговорим отдельно.

2) Общие папки

Так же, как и в случае доступа к программам, доступ к общим папкам должен быть разграничен. Схема очень простая, но ей редко пользуются на практике. Итак:

у каждого пользователя должна быть своя персональная папка, в которой он хранит только те документы, которые относятся к его кругу обязанностей. К данной папке должен имеет доступ только этот сострудник. На практике часто к таким папкам имет доступ непосредственный руководитель этого сотрудника. Также к этим папкам должен иметь доступ локальный администратор сервера, на котором находятся эти папки.
должна быть «общая» папка к корой имеют доступ все, и через которую производится обмен информацией между сотрудниками. Чтобы такая папка не превращалась в «мусорную свалку» она должна периодически очищаться
папки с «группами доступа». Это папки, к которым имеют доступ группа сотрудников, объединенных определенными обязанностями. Например, папка для бухгалтерии, к которой имеют доступ все сотрудники бухгалтерии, папка для юридического отдела, папка для производственного отдела и т.п.

Сразу может возникнуть вопрос: зачет такие сложности? Пусть сотрудник хранит свои папки у себя на рабочем столе, а обмен данными можно выполнять через e-mail или Whatsapp? На крайний случай, иметь общую папку у кого-нибудь на компьютере с доступом у всех. Так же проще (и дешевле, не нужен отдельный компьютер для сервера). Чтобы пояснить это, приведу два случая из практики.

Случай 1: Сотрудница бухгалтерии получила e-mail с вредоностным кодом, и запустила на своем компьютере вирус-шифровальщик. Антивурус, хоть и был актуальным, не отреагировал. В результате были зашифрованы все файлы на её компьютере (в рабочем столе и в папку «Документы»), в её персональной папке на сервере и в общей папке (то есть, во всех ресурсах, к которым эта сотрудница имела доступ). Мы её компьютер излолировали от локальной сети и «вычиститли» вирус. Файлы, зашифорованные на серверных папках были быстро восстановлены из архивов. Но файлы, которые были на компьютере сотрудницы, были утеряны безвозвратно.

Случай 2: Сотрудница случайно перезаписала важный документ в Excel (т.е. записала на место одного документа другой). Такие данные обычно не подлежат восстановлению. Но благодаря архивации, потерянный файл удалось восстановить.

Итак, хранение всех рабочих файлов на сервере позволяет:

разграничить доступ сотрудников к данных, что защитит данные от кражи и модификации (шифрования, перезаписи, внесение заведомо неправильных данных)
регулярно (не реже раз в сутки) выполнять архивирование данных, и, следовательно, восстановить данные в прежнем виде, если такая необходимость возникнет. Кроме того, такое архивирование позволит, при необходимости, восстановить версии файлов за прошлые периоды, даже до нескольких лет назад.

Что касается стоимости такого сервера, то для небольших компаний достаточно небольшого сервера начального уровня, или даже обычного компьютера. В качестве программного обеспечения можно использовать операционные системы семейства Linux (например, Debian или Ubuntu) с пакетом для совместной работы (например, Nextcloude + OnlyOffice). Это бесплатное (open-source) программное обеспечение.

Кратко:

1) Разграничение доступа к программам

Каждый сотрудник должен иметь доступ только к тем данным, которые нужны ему для работы.

Кассир не должен видеть расчёт зарплат.
Бухгалтер — коммерческие отчёты, не относящиеся к его участку.
Менеджер — только клиентов и заказы.

Зачем это нужно: если сотрудник ошибётся или его компьютер заразят вирусом — ущерб будет ограничен только той частью данных, к которой он имел доступ.

2) Общие папки: как не превратить их в «свалку»

Во многих компаниях у всех сотрудников одинаковые права доступа к сетевым папкам. Это удобно, пока не произойдёт ошибка.

У каждого должна быть личная папка (видит только он и руководитель).
Для обмена файлами — общая папка, очищаемая по расписанию.
Для отделов — папки группового доступа (бухгалтерия, юристы, производство).

Совет: храните все рабочие файлы на сервере, а не на рабочих столах. Это упрощает резервное копирование и защиту.

3) Техническое решение: сервер или NAS

Для малого бизнеса достаточно недорогого сервера или даже обычного ПК с Linux.

Используйте Linux + Nextcloud + OnlyOffice — бесплатное и надёжное решение.
Настройте ежедневное резервное копирование.
Доступы разграничиваются по пользователям и отделам.

Такое решение часто дешевле, чем потерять даже один рабочий день из-за вируса.

Мини-чеклист по защите данных

Уровни доступа к программам настроены по ролям (кассир, бухгалтер, менеджер и т.д.).
Рабочие файлы хранятся только на сервере.
Для каждого сотрудника созданы индивидуальные папки на сервере.
Для групп сотрудников созданы на сервере папки с групповым доступом
Создана общая папка, которая регулярно очищается.

Не уверены, что ваши сотрудники работают с данными безопасно?

Хотите понять, насколько защищены данные вашей компании?

Проведём экспресс-аудит ИТ-безопасности и составим план из 10 конкретных шагов под ваш бизнес.