Как надежно защитить информацию о компании и клиентах от утечки. Наш опыт и 5 простых советов, которые подойдут всем

Перед тем как решиться перейти на новый облачный сервис, владельцы компаний в первую очередь начинают вычитывать моменты безопасности и конфиденциальности данных. Все мы боимся утечки информации, особенно когда дело касается вашего финансового учета.

Поэтому мы решили рассказать, почему облачному сервису стоит доверять, каких правил стоит придерживаться и как мы заботимся об информации наших клиентов.  

Почему облачному сервису стоит больше доверять

Существует три самых главных проблемы хранения информации на локальном диске, которым может быть ваш личный компьютер или рабочий компьютер сотрудника. 

Во-первых, любые жесткие диски могут поломаться или выйти из строя, что совсем от вас не зависит. Таким образом, есть большая вероятность потери данных без их восстановления. 

Лет 10 назад у меня была сетка сайтов-досок объявлений. Тогда было еще не очень популярно использование облако и мы хранили все данные на жестких дисках в физических дата-центрах. Из-за серии поломок и постоянной нехватки времени на то, чтобы заехать и заменить диск на более новый, один из HDD дисков полностью вышел из строя. Специализированная контора запросила несколько тысяч долларов за частичное восстановление данных. И это мне, можно считать, еще повезло. 

Во-вторых, к любой информации, хранящейся на жестком диске, можно получить доступ физическим путем. Это может быть сотрудник, который вставил флешку и вытащил данные, или люди, проникшие в офис ночью. Также есть вероятность, что к вашему компьютеру подключится кто-то по локальной сети и вытащит информацию. Так что прелесть облачного сервиса в том, что к нему нет физического доступа.

В-третьих, если информация, которая хранится только на одном носителе, будет удалена, то вернуть вы ее никак не сможете. Облачный сервис имеет прекрасное свойство – храниться одновременно в нескольких местах. Соответственно, удалить информацию случайно не так просто, а также ее всегда можно восстановить.

Кроме того, доступ к облачным хранилищам всегда гораздо сложнее, чем к офлайн. У них сложная авторизация, и есть специальные токены, которые генерируют логин/пароль – каждый раз новый при входе. То есть все пользователи, которые заходили до вас, не могут еще раз попасть в систему. 

Где физически находятся данные

Как правило, физические данные любого облачного сервиса хранятся на одном или нескольких серверах. Например, данные Finmap находятся на нескольких серверах в Европе, так как она технически ближе к Украине и странам СНГ, и поэтому обеспечивается более быстрая связь. Эти сервера принадлежат одним из самых крупных и надежных провайдеров облачных хранилищ в мире. 

В целях безопасности мы не будем писать их названия. На разных, потому что таким образом мы сохраняем безопасность данных клиентов для бесперебойной и быстрой работы, если на одном из серверов случится сбой. 

Какие методы защиты мы используем

Мы используем территориально распределенную систему, а значит, базируемся в нескольких дата-центрах. У каждого дата-центра, у которого мы арендуем оборудование, есть ISO 27001 – международный стандарт информационной безопасности.

Это значит, что они выполняют определенные регламенты по информационной безопасности и соблюдают жесткие правил защиты информации, в том числе конфиденциальность клиентов. Только авторизованные пользователи могут получить определенный доступ к IT-системам. 

Также это значит, что в этих дата-центрах проходят аудиты, для которых постоянно улучшают методы хранения и защиты информации. Для передачи информации между дата-центрами используют зашифрованные каналы связи. Любая информация передается через SSL – криптографический протокол, который подразумевает более безопасную связь. 

Все разработчики работают с тестовой базой, в которой находятся вымышленные данные. У них нет доступа ни к каким данным. Никто не может работать с базой напрямую, в базу в принципе невозможно подключиться снаружи.  

Ну и последнее – мы не требуем, чтобы вносили какие-то официальные данные вроде названия компании, кода ЄДРПОУ, состава учредителей, официальных email-адресов, названия контрагентов, инвесторов, кредиторов, клиентов, сотрудников и так далее. Да, нужно внести финансовые данные, но для их учета система и существует. Но их можно назвать как угодно – любые контрагенты, любые названия компаний.  

Напоследок хотел бы поделиться основными советами по сохранению безопасности информации: 

1. Хранить все данные в одном месте, а не в разных аккаунтах сотрудников, то есть в одном Google-аккаунте. 
2. В Google-аккаунте в обязательном порядке должна быть подключена двухэтапная аутентификация через QR-код и приложение от Google (бумажная копия QR-кода).
3. Необходимо иметь разные пароли для каждой платформы и менять их примерно раз в три месяца. 
4. Если у вас есть привычка записывать пароли, то делайте это в месте без доступа в интернет. Это может быть переносной накопитель или просто блокнот.
5. Никогда не делайте свободный доступ к своим таблицам, а выдавайте его на конкретные почты и периодически чистите. Была такая история, что можно было загуглить «пароли site:https://docs.google.com/» и найти все открытые документы, среди которых часто можно было найти и пароли, так как документы с открытым доступом индексируются Google. 

Поэтому всегда проверяйте свои доступы, обновляйте пароли и минимизируйте возможность утечки информации.