Кибербезопасность для рекрутера: что нужно знать при работе с персональными данными

Twitter
Linkedin
Facebook
Telegram

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр

Розвиток Менеджмент

Чтобы не говорили, но самое слабое звено в кибербезопасности — это человек. Ведь именно он решает, где и как хранить информацию, кому ее расшаривать, шифровать данные или нет и пр. И именно из-за человека время от времени появляются новости наподобие «в выдачу попали тысячи файлов Google Docs». Но что поделать?! Такие уж мы — люди-человеки.
Давайте рассмотрим важные для рекрутера (для кого-то очевидные, а для кого-то и нет) моменты по обеспечению кибербезопасности, чтобы не быть тем самым слабым звеном.

Облако — хорошо или плохо?

Сейчас стало модно (да чего уж там — и удобно) хранить всевозможные данные в облаке, обеспечивая к ним доступ для клиентов и партнеров по паролям, подпискам и пр. И многие рекрутинговые агентства также пользуются этим IT-благом. А вот вам и свежий пример, когда облако может быть не во благо. В начале лета 2018 года крупное рекрутинговое агентство PageUp из Австралии (ее услугами пользуются компании со всего мира) было атаковано хакерами. В итоге в руки злоумышленников утекли тысячи анкет соискателей. А все благодаря тому, что компания организовала хранение данных в облаке с удобным доступом для клиентов и возможность интеграции в свои сервисы по API.


Еще один пример — утечка личных данных тысяч американских военных в сеть в сентябре 2017 года. И опять (простите) виноваты рекрутеры. Компания собирала данные о военных и хранила их угадайте где? Правильно, в облаке. Понятно, что от этого (в смысле от облака) никуда не уйти, особенно, если в вашей компании есть удаленные сотрудники. Поэтому, если вы используете такой вариант хранения персональных данных об android, ios разработчиках и других специалистах, будьте добры обеспечить безопасность информации облака на должном уровне.


Сформулировать минимум требований, необходимых для обеспечения защиты данных из облачных хранилищ, можно, например, проанализировав материал, написанный еще в 2014 году (и сейчас он на 100% актуален) главным евангелистом по безопасности известной компании Alert Logic Стивеном Коти. Хотите, можете сами изучить его, а хотите — пробегитесь глазами (и примите к сведенью, естественно) следующие тезисы, сформулированные нами на основе анализа этого материала:

  • Точно разберитесь с областями ответственности за безопасность данных — вашей и вашего поставщика услуг (провайдера). На вас — мониторинг, обнаружение вероятных угроз и оповещение об этом провайдера, управление доступом к данным, хранящимся в облаке, работа с используемыми приложениями (обновление, латание дыр в них и пр. ). На провайдере — защита от DDoS-атак, работоспособность типовых средств защиты и пр. Если нету четкого понимания, кто за что отвечает, о нормальной защите персональных данных ios разработчиков и иных IT-специалистов, с анкетами которых вы работаете, и речи быть не может.
  • Не пренебрегайте обновлениями ПО, плагинов и прочего инструментария. Лучше всего установить, если есть возможность автоматические обновления. Нормальные разработчики следят за своими «детищами» и вовремя реагируют на все вероятные угрозы.
  • Следите за логами. С их помощью вы получите ценную информацию об активности на ваших серверах и в облаках. Кстати, именно благодаря тому, что специалисты упомянутой выше компании PageUp обнаружили незарегистрированную активность, и была обнаружена утечка персональных данных.
  • Интересуйтесь вопросами безопасности и новостями в этой сфере. В качестве полезных ресурсов можно привести, например, SecurityFocus, Exploit Database и русскоязычный сайт securitylab.ru.

GDRP и прочие штуки

Помимо национальных документов, регламентирующих работу с персональными данными (это ведь тоже составная часть кибербезопасности), с мая 2018 года рекрутерам приходится учитывать и положения Общего регламента по защите данных GDPR (Regulation (EU) 2016/679). Документ весьма сложный и страшный (но только на первый взгляд).

И вас он касается, если среди клиентов (тех, кто ищет работу, или работодателя), чьи персональные вы обрабатываете, есть компании или физ. лица из ЕС.
Стоит ли бояться этого нововведения? Нет, не нужно. Просто уделите время (но готовьтесь к тому, что его потребуется немало) изучению положений регламента и введению их в обиход своей компании. Если не вдаваться в подробности (но это делать вам все же в вам последующем придется), то основные направления, в которых придется поработать, следующие:

  • Разработка внутренних политик защиты данных.
  • Обучение персонала работе в соответствии GDPR.
  • Организация проверок деятельности по обработке данных.
  • Внедрение и ведение документации по процессам обработки персональных данных в соответствии с регламентом.
  • Внедрение мер по встроенной системе конфиденциальности.

Не кисло, да? Но никуда от этого не деться, если работаешь на Европейском рынке. Если попасть на GDPR, мало не покажется. Штрафы здесь предусмотрены просто космические — до 20 000 000 евро или 4% от годового глобального дохода.

Театр начинается с вешалки, а кибербезопасность — с вас

Можно говорить о составляющих кибербезопасности вечно. Но лучше же действовать! Давайте определим некий must have, который позволит вам быть уверенным (или хотя бы надеяться), что персональные (и не только) данные, с которыми вам приходиться работать, как рекрутеру, находятся в безопасности.

Работа с паролями

Многие специалисты не рекомендуют пользоваться генераторами паролей. Другие же — наоборот. И если вы прислушаетесь ко вторым, выбирайте ПО от проверенных разработчиков (например, от создателей антивирусов).


В результате многолетних споров (и даже NIST, который в свое время активно тролили из-за нелепых рекомендаций по созданию паролей, с этим согласился) специалисты пришли к выводу, что оптимальный вариант — не менее 8 символов в пароле. При этом важно, чтобы в нем было как можно больше видов символов: буквы в разных регистрах, цифры, специальные знаки и пр. И да, если вы записываете пароли на бумаге, потрудитесь спрятать ее так, чтобы никто не нашел.

Разграничение личного и рабочего

Многие компании практикуют запрет на использование личных смартфонов и компьютерной техники для рабочих целей (и наоборот). А ведь это решение вполне себе правильное. Мало ли по каким сайтам вы бродите в личное время, и какую заразу можете зацепить.

Использование нескольких факторов аутентификации

Помимо ввода пароля для доступа в рабочую систему или к БД можно параллельно внедрить и другие способы. Их сегодня масса — от ответа на контрольный вопрос, до SMS-авторизации и считывания отпечатка пальца. И большинство провайдеров и разработчиков ПО дают такие возможности.

Современное обновление ПО

Мы уже говорили об этом, рассматривая облака. Обновления нужны любому используемому вами ПО. Следите за этим.


И еще. Неплохо было бы сотрудничать с каким-нибудь «белым» хакером. Далеко не все специалисты, называемые этим страшным словом, являются злыми. Очень многие работают как раз во благо.

Info
Autor: INDIGO Tech Recruiters
2302 Ansichten
10.08.2018