В бизнесе эффективнее всего брать пример с крупных компаний. Казалось бы, как связана скорость бизнес-процессов и кибербезопасность? Но опыт Asos показывает, что связь между ними сильна.
884 просмотров
Как вы думаете, на какой процесс крупной компании затрачивается больше всего времени? Нет, не на логистику или маркетинг, а на внутренние процессы – оформление и идентификацию сотрудников.
Представьте, сколько сотрудников в ASOS. Каждый раз, когда новый сотрудник приступает к работе, нужно обеспечить ему доступы к необходимым службам, защитить его личные данные и сделать так, чтобы он быстрее влился в работу. С увольнением так же – удалить информацию о сотруднике, закрыть ему доступы, убрать из общих чатов… В базах ASOS собраны терабайты конфиденциальных данных – поэтому каждый HR-процесс нужно проводить с соблюдением максимальных правил безопасности. Все это занимает массу времени и, конечно, нередки ошибки из-за человеческого фактора.
Как и в любом процессе, который выполняется руками, здесь возможны человеческие ошибки. Иногда учетные записи, которые должны были быть отключены, пропускались. А чем дольше учетная запись остается открытой, тем дольше она уязвима, что создает значительный риск для безопасности.
Вебинар «Аудит информационной безопасности»
Марк Льюис, Архитектор инфраструктуры ASOS
Как ASOS повысил скорость HR-процессов
Решение проблемы было таким – найти систему, которая обеспечивала бы безопасность конфиденциальных данных и автоматизировала бизнес-процессы. Этим решением для ASOS стал Microsoft Azure AD – облачный сервис для управления идентификацией сотрудников и уровнями доступа. Вот как Azure AD автоматизировал процессы в ASOS:
- Каждый новый сотрудник автоматически регистрируется через облачный сервис, и его данные сохраняются в базе. Сотрудник сразу же получает доступ к корпоративным ресурсам и необходимой информации.
- Azure AD объединил рабочие приложения, обеспечив единый доступ для всех сотрудников. Ручное переключение между системами и ввод паролей отнимали массу времени у сотрудников, поэтому такое решение тоже повысило продуктивность работы.
- Для входа в рабочие приложения используется многофакторная аутентификация, включающая идентификацию по устройству входа. Но если сотрудник потерял свое устройство, он может продолжить работу с помощью временной аутентификации Azure AD.
- Если сотрудник меняет фамилию, телефон или другие личные данные, можно один раз ввести их в систему управления – и далее они отобразятся во всех связанных приложениях.
- Когда сотрудники покидают компанию, Azure AD автоматически удаляет все их учетные записи, что помогает защитить информацию о клиентах и ценную интеллектуальную собственность компании.
Системный подход к обеспечению безопасности компьютерных систем. Безопасность как бизнес-процесс. Политика безопасности. Базовые принципы безопасности.
1. Морально-этические средства защиты – нормы, сложившиеся по мере распространения вычислительных средств в обществе (аморальность покушений на чужие информационные ресурсы).
Безопасность бизнес-процессов как эволюция информационной безопасности
2. Законодательные средства защиты – законы, постановления, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации, а также вводятся меры ответственности за их нарушение.
3. Административные меры – действия руководства предприятия для обеспечения информационной безопасности.
4. Психологические меры безопасности.
5. Физические средства защиты.
6. Технические средства информационной безопасности – программное и аппаратное обеспечение системы, контроль доступа, аутентификация и авторизация, аудит, шифрование информации, антивирусная защита и т. п.
7. Надежная работа программных и аппаратных средств системы, средства обеспечения отказоустойчивости и восстановления операционной системы, целостности и доступности приложений и баз данных.
1) какую информацию защищать?
2) какой ущерб понесет предприятие при потере или раскрытии тех или иных данных?
Рис.Безопасность, как бизнес подход 3) кто или что является возможным источником
4) какого рода атаки на безопасность системы могут быть предприняты?
5) какие средства использовать для защиты каждого вида информации?
Базовые принципы безопасности
1. Минимальный уровень привилегий на доступ к данным.
2. Комплексный подход к обеспечению безопасности.
3. Баланс надежности защиты всех уровней.
4. Использование средств, обеспечивающих максимальную защиты при атаке.
5. Баланс возможного ущерба от угрозы и затрат на ее предотвращение.
6. Ограничение служб, методов доступа, лиц, имеющих доступ в Интернет и из Интернета во внутреннюю сеть предприятия.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Безопасность и непрерывность бизнес-процессов
В настоящее время актуальной задачей компании любой отрасли становится безопасность информации и непрерывность бизнес-процессов. По результатам аналитических исследований различных агентств основным фактором обеспечения непрерывности деятельности является ИТ-составляющая бизнеса.
2020: $200-300 тыс. — убытки российских банков от кратковременных сбоев серверов
27 января 2020 года компания Schneider Electric обнародовала результаты исследования, в рамках которого были подсчитаны убытки российских банков от кратковременных сбоев в работе оборудования. По оценкам экспертов, за два часа простоя серверов или систем хранения данных финансовые организации теряют в среднем $200-300 тыс.
Банки в России могут потерять $200–300 тыс. из-за сбоя оборудования
По словам специалистов, одним из главных инструментов, обеспечивающих получение банками прибыли, является обработка информации, для которой активно используются ИТ-решения. Так что любой сбой в работе технологического и технического обеспечения может нести за собой огромные убытки.
В Schneider Electric также говорят, что с каждым годом в финансовом секторе будет появляться все больше технологий интернета вещей, а одним из драйверов станет появление сетей 5G: скорость и объем передачи данных вырастут многократно. Ключевые трендами цифровизации услуг в банках, мнению аналитиков, станут мобильность, кибербезопасность, глубокий анализ больших данных и персонализация предложений для клиентов.
Цифровизация придет и в офисы банков: с помощью технологий интернета вещей в них будут создаваться оптимальные условия для сотрудников и клиентов, чтобы повысить производительность первых и лояльность вторых, указано в докладе.
В основе исследования лежит опрос специалистов, ответственных за интеграцию IIoT-решений (промышленного интернета вещей) в разных сферах бизнеса. [1]
2012: Стив Возняк предрекает облачным сервисам «ужасные проблемы»
Один из основателей компании Apple Стив Возняк, отвечая на вопросы зрителей популярной в США программы Майка Дейзи, признался, что серьезно обеспокоен стремительным наступлением облачных решений. Возняк считает, что в ближайшие пять лет облако ждет «множество ужасных проблем». Пользователи, разместившие свои данные в облаке, по сути, уже не являются их владельцами.
В соответствии с условиями типового соглашения о предоставлении услуг, провайдеры не несут никакой ответственности за сохранность информации своих клиентов. Чем больше данных переносится в облако, тем меньше у пользователей остается возможностей их контролировать. А поскольку клиенты не являются владельцами облачных ресурсов, их информация в любой момент может исчезнуть или подвергнуться изменениям без какого-либо предварительного предупреждения.
2011: Безопасность и непрерывность бизнес-процессов – задача № 1 для российских компаний
К 2011 году эффективность работы бизнеса напрямую зависит от нормального функционирования ИТ-инфраструктуры. Хотя это представляется очевидным, не все компании уделяют этому аспекту должного внимания. Именно поэтому случаются такие ситуации с потерей данных, нарушением бизнес-процессов и как следствие, компания теряет клиентов, теряет прибыль.
Как это обычно бывает в компании N: дела идут в гору, продавцы продают, маркетологи давно выявили потребности заказчиков, производственники заготовили партии новых продуктов, HR-отдел активно проводит подбор персонала в связи с увеличением объема производства, документы свободно циркулируют между отделами компании, и даже программисты спокойно пишут свои коды. Внезапно ИТ-система выходит из строя, неважно по какой причине. Ведь для компании главное – результат. А результат таков:
- у продавцов и маркетологов все данные о заказчиках в CRM-системе, срываются сделки;
- у HR-отдела отсутствует доступ к личным данным, процесс отбора персонала остановлен;
- документы в электронном виде (платежки, договоры и др.) не доступны;
- для бухгалтерии последствия окажутся плачевными (угроза просрочки налоговых платежей и отчислений).
Следствие — компания теряет не только деньги, клиентов, но и репутацию в деловом мире. Вышесказанное не является ни для кого секретом, но, тем не менее, подобное происходит и довольно часто.
Для решения проблемы можно выбрать один из способов: поддержка работоспособности ИТ-системы собственными силами (ИТ-служба компании), перенос ИТ-системы в облако по модели SaaS и передача функции сопровождения ИТ-системы подрядчику (ИТ-компании).
Следующий вариант – самый инновационный. Модель SaaS практикуется на рынке ИТ-услуг не первый год, но все же к ней до сих пор относятся настороженно. Преимущество данного подхода – это, безусловно, сокращение ИТ-бюджета. Многие компании в первую очередь обращают внимание на цену ИТ-услуги, а уж затем на качество. SaaS обеспечивает гибкость, высокую масштабируемость ИТ-системы.
Компания уходит от необходимости заниматься непрофильной для себя деятельностью, и, что самое главное, здесь происходит передача ответственности за функционирование ИТ-системы на подрядчика. Также немаловажным стратегическим преимуществом для компании становится оперативность внедрения ИТ-системы при SaaS решении.
Обычное внедрение может продолжаться в течение нескольких лет, для SaaS же столько времени не требуется. Так почему же крупные бизнес-структуры не уверены, стоит ли переводить свои ИТ-системы на SaaS? Недостатком данного подхода является вопросы безопасности информации и персональных данных. Доподлинно неизвестно, как может воспользоваться подрядчик конфиденциальными данными компании. Хотя в договоре данный аспект бывает прописан, и все-таки российский заказчик все еще сомневается.
Третий вариант решения проблемы обеспечения непрерывности бизнес-процессов – это услуги ИТ-компании по сопровождению и технической поддержке ИТ-систем. Данное решение является промежуточным между традиционной ИТ-службой компании-заказчика и инновационным ИТ-аутсорсингом по модели SaaS.
ИТ-компания берет на себя ответственность по поддержанию работоспособности и отказоустойчивости системы, но все программные и аппаратные средства остаются у заказчика. Преимуществами данного подхода являются то же сокращение ИТ-бюджета, освобождение ИТ-подразделения организации от рутинной работы, что даст возможность участия ИТ-отдела в стратегическом управлении компанией. А такие препятствия, как безопасность, конфиденциальность данных, принадлежность прав на персональные данные сводятся к минимуму. К недостаткам можно отнести завышенные расценки ИТ-компаний, стремление набрать как можно больше проектов, не заботясь о качестве услуг. Но данные проблемы решаются за счет тщательного подбора поставщика ИТ-услуг.
Резюмируя вышеизложенное, компаниям можно порекомендовать взвесить все «за» и «против» и все-таки позаботиться об обеспечении непрерывности бизнес-процессов любым из способов.
Примечания
Источник: www.tadviser.ru