Методы управления среднем и малом бизнесе

Рассматривается концепция управления по изменениям, в основе которой лежит системно-конструктивистский подход. Показано, что средний и малый бизнес является наиболее приемлемой сферой для использования этой концепции. Эффективное управление при меняющихся внешних и внутренних условиях в рамках рассматриваемого подхода обусловлено приспосабливаемостью к ним хозяйствующего субъекта. В рамках системно-конструктивистского подхода изменения играют роль ключевого инструментарного компонента методического обеспечения внутрифирменного управления.

Ключевые слова: управление в среднем и малом бизнесе, управление по изменениям, управление изменениями, системно-конструктивистский подход, приспосабливаемость к меняющимся условиям.

Становление рыночных отношений в России сопровождалось динамичным развитием различных по видам деятельности и организационным формам образований среднего и малого бизнеса и еще раз подтвердило их быструю адаптируемость к постоянно меняющимся условиям. Но успешное функционирование предпринимательских структур невозможно без эффективного внутрифирменного управления. Отсюда актуальность на современном этапе задачи по формированию методического обеспечения внутрифирменного управления в компаниях среднего и малого бизнеса, в частности, по разработке инструментарно-прикладных аспектов подобного обеспечения.

Как управлять сотрудниками и тратить минимум времени — 4 инструмента для руководителя

Необходимость разработки эффективных методов управления в структурах среднего и малого бизнеса

В настоящее время внутрифирменное управление в среднем и малом бизнесе находится, на мой взгляд, на низком уровне. Это обусловлено тем, что:

• у руководящего персонала отсутствуют (или не хватает) теоретические знания и навыки по осуществлению эффективного управления;
• слабо инструментарно-методическое обеспечение управления. Причем, как правило, любой первый вариант решения парализует способность предпринимателя к поиску альтернатив. что делает управление недостаточно вариативным;
• значимость (или цена последствий) неудачного решения, повлекшего для субъекта бизнеса материальные потери или банкротство, гораздо выше для него самого, чем для других участников рыночных отношений или рынка конкретного региона;
• для руководства предприятий среднего и малого бизнеса возникающие проблемы часто носят уникальный характер;
• такие образования в большинстве своем не могут позволить иметь службы перспективного планирования и оперативного управления. В лице руководителя часто совмещаются и исполнительное руководство предприятия, и его планирующий орган. Более того, граница между перспективным и текущим управлением в них достаточно размыта: одно и то же решение может иметь для предпринимателя и стратегическое, и оперативное значение;
• структуры среднего и малого бизнеса в основном не имеют формальных процедур для наблюдения за внешней средой, создания прогнозов, оценки и контроля стратегии, которая реализуется в данное время. Поэтому их руководители при осуществлении функций управления чаше всего ориентируются на достижение сиюминутных результатов;
• средние и мелкие компании в подавляющем большинстве не в состоянии иметь техническую базу для применения эффективных систем информационного обеспечения управления, осуществляющих сбор, накопление и обработку необходимых данных;
• удачные управленческие решения нередко касаются не непосредственно основной хозяйственной деятельности, а условий, коммуникаций, мотивационных воздействий, представлений и других отношений нематериально­го характера.

Представленные выше обстоятельства очерчивают лишь контуры некоторых проблем практического управления, существую­щих на современном этапе в среднем и малом бизнесе. Функционирование российских предприятий в последние 12 лет показывает, что на многих из них хозяйственный механизм оказался неприспособленным к рыночной экономике. Причем структуры среднего и малого бизнеса в силу многих факторов экономиче­ского и внеэкономического плана могут сегодня в лучшем случае претендовать на испо­льзование только отдельных и разрозненных элементов из арсенала достижений мировой и российской управленческой науки и практики. а в худшем — действовать методом проб и ошибок. Отсюда потребность в развитии новых методов и технологий управления эконо­мическими системами различных уровней.

Мастер-класс Управление персоналом в малом бизнесе от А до Я

Управление по изменениям

Наиболее важным качеством для субъекта хо­зяйствования с точки зрения эффективного управления при меняющихся внешних и внут­ренних условиях является приспосабливаемость к ним. В этом случае уровень эффектив­ности при применении того или иного метода управления естественно определять степенью адаптации к имеющимся обстоятельствам.

В приспосабливании бизнеса к постоянным трансформациям велика роль вариатив­ности управленческих решений, т.е. многова­риантности выбора в ходе их принятия. Причем конкретное управляющее действие реали­зуется по совокупности изменений, формируемых в состоянии отдельных элементов хозяй­ствующего субъекта и обусловливаемых про­явлениями внешних и внутренних факторов. Этим достигается минимизация негативных последствий при адаптации к изменяющейся среде и возникающим новым требованиям. Подобное представление называется управле­нием по изменениям.

Управление по изменениям: системно -конструктивистский подход

Анализ современных методов управления позволяет в качестве наиболее подходящей для эффективной реализации внутрифирменных изменений (микроэкономических трансфор­маций) в предпринимательских структурах среднего и малого бизнеса методологической основы рассмотреть системно-конструктиви­стский подход [1]. В его рамках хозяйствующий субъект представляется как единая система, состоящая из сети разносторонне связанных между собой элементов. Взаимовлияние по­следних приводит к появлению новых качеств системы, которые ни в коем случае не могут быть продуктом простого суммирования свойств отдельных частей.

В роли структурных составляющих при системно-конструктивистком подходе рас­сматриваются разнообразные событийные яв­ления, происходящие в рамках одного хозяй­ствующего субъекта. Это могут быть действия технологического, организационного, финан­сового, правового, экологического, коммуникационного характера. В наиболее общем виде их можно подразделить на материальные и не­материальные составляющие. Первые охваты­вают те структурные части и элементы, кото­рые осуществляют или отождествляют собой материализацию хозяйственной деятельности в рамках предприятия или отдельного бизне­са. Вторые же охватывают различные причин­ные (мотивационные) отношения.

Итак, в рамках системно-конструктивистского подхода изменения играют роль ключево­го инструментарного компонента методическо­го обеспечения внутрифирменного управления. Они не обязательно должны касаться только принципиальных вопросов деятельности орга­низации (например: освоения новых техноло­гий производства, выпуска нового продукта и т.п.). В качестве таковых могут выступать и ме­нее глобальные перемены (нововведения в кад­ровой политике; новые формы работы с клиен­тами; дополнения в системе оплаты труда рабо­тников; изменения планировки торгового зала; иные маршруты доставки продукта; трансфор­мации технологического процесса в отдельных операциях и т.п.). Обе эти группы модифика­ций при своей реализации приводят к измене­нию состояния субъекта бизнеса или отдель­ных его структурных элементов.

Управление по изменениям: некоторые методические моменты

Большинство методов управления включает в себя различные модельные компоненты, мето­дические или инструмеитарные по своему ха­рактеру. К ним предъявляются разнообразные требования, в частности максимальной адек­ватности инструментарных компонентов, со­ставляющих практическое обеспечение того или иного метода, его теоретических предпо­сылок и лежащих в их основе методологиче­ских обоснований. Другим немаловажным тре­бованием является простота представления и доступность использования при практическом управлении. Этот императив особенно актуа­лен для субъектов среднего и малого бизнеса.

В качестве базы для анализа состоя н ия тех или иных образований среднего и малого биз­неса в рамках системно-конструктивистского подхода возьмем функционально-технологиче­скую структуру. Как уже говорилось, она представляет собой комплексную систему, со­стоящую из множества разнородных по содер­жанию структурных элементов материального и нематериального характера, которые в свою очередь можно рассматривать с различной степенью подробности в виде звеньев, пото­ков и связей между ними.

Звеньями следует считать любые опера­ции, процедуры, события или отдельные дей­ствия, направленные на достижение опреде­ленного результата, влекущего конкретные изменения в функционально-технологиче- ской структуре бизнеса, а следовательно, и в его состоянии. Всякое взаимодействие звеньев как между собой внутри данной структуры, так и со звеньями других параллельных структур вне субъекта бизнеса осуществляется посредством и при помощи соответствующих структуроопределяющих потоков и связей.

Пример внедрения

Апробирование основных методических эле­ментов представленного выше в общих чертах управленческого подхода проходило на базе ООО «Гремячинский фермер” (Котельниковский район Волгоградской области). Данный выбор обусловлен следующими обстоятельст­вами. Во-первых, нигде так отчетливо и крас­норечиво не проявляются практически все трудности, типичные для развития российско­го среднего и малого бизнеса, как в сельскохо­зяйственной сфере. Во-вторых, они там имеют большую остроту. В-третьих, для сельского предпринимательства характерны содержате­льная универсальность и предметное многооб­разие: бизнес на селе подразумевает реализа­цию в рамках одного хозяйствующего субъекта самых разнообразных по направленности и со­держанию работ (в их числе операции прогнос­тического, организационного, технологического, агрономического, агротехнического, агрохимиче­ского, финансового, коммуникационного, ком­мерческого, кадрового характера).

Вот краткая информация об ООО “Гремячинский фермер” на начало сезона 2001 г. Об­щая площадь обрабатываемых земель состав­ляла 1000 га. из которых 50 приходилось на озимые, 20 — на яровые, остальное — на пары. Основные возделываемые культуры — ячмень, яровая и озимая пшеница, просо и подсолнеч­ник. Так, пшеницы собрано в среднем 40 н/га. Из техники хозяйство располагало шестью единицами гусеничных и колесных тракторов («Кировец” и “ДТ”), двумя комбайнами (“Дон”), топливозаправщиком (“ГАЗ”). Об­щая численность работающих колебалась в те­чение сезона в среднем от 15 до 20 человек.

Апробирование проходило несколько ступеней. В его рамках фермерский бизнес рассматривался по важнейшим стадиям и функциям упраапения — формулирование пред­принимательской идеи, формирование и пред­ставление функционально-технологической структуры бизнеса, целеполагание, выработка управленческого решения.

С руководством хозяйства, как правило, перед началом очередного этапа сельскохо­зяйственных работ проводился учебно-консу­льтативный тренинг. При этом на каждом оче­редном занятии уточнялась функиионально-технологическая структура бизнеса, а так­же формировались новые цели и управленче­ские решения, что позволяло более детально учесть особенности тех или иных этапов сель­скохозяйственных работ, вновь возникающие обстоятельства, ранее неучтенные нюансы.

Во время тренинга структура фермерско­го бизнеса рассматривалась с различной сте­пенью подробности на четырех уровнях пред­ставления. На начальном (минимально по­дробном) уровне она состояла из четырех эле­ментов — общее обеспечение функционирова­ния хозяйства; вспомогательные работы; основные сельскохозяйственные работы; внешняя среда для фермерского бизнеса. По мере перехода на более высокие (подробные) уровни представления каждый из этих эле­ментов все больше детализировался.

Так, первый структурный элемент началь­ного уровня — общее обеспечение функциониро­вания фермерского хозяйства — на четвертом (максимально подробном) уровне рассматри­вался уже в виде 49 структурных звеньев. Вот некоторые из них; обеспечение собственной автотракторной техникой; обеспечение хими­ческими средствами зашиты растений и удоб­рениями; финансовое обеспечение; страховое обеспечение; кадровое обеспечение основных работ и т.п.

Второй элемент — вспомогательные рабо­ты — включал 26 звеньев. Среди них: кормо­вое обеспечение выращивания домашнего скота и птицы; реализация мяса и мясопро­дуктов; проведение агротехнических и поле­вых работ по выращиванию овощных культур; осуществление транспортных и разгрузочно-погрузочных работ; осуществление загото­вительных работ по обеспечению ГСМ: веде­ние строительных, ремонтных и монтажных работ для собственных нужд и т.д.

Третий элемент — основные сельскохозяй­ственные работы — развернут до 65 звеньев. В их числе: разработка посевного плана; прове­дение предпосевной обработки семенного материала; подготовка навесной техники и при­цепного оборудования для предпосевной обра­ботки почвы; вспашка посевных площадей; вспашка границ для выделения поворотных полос на поле при посеве; посев озимой пше­ницы на основном поле; посев озимой пшени­цы на поворотных полосах; обработка посевов озимой пшеницы минеральными удобрениями и химическими препаратами; обработка паров: подготовка самоходной уборочной техники для уборки озимой пшеницы; доставка ГСМ на по­ле при уборке озимой пшеницы; нарезка заго­нок для ориентирования на поле во время уборки; транспортировка урожая озимой пше­ницы на ХПГ1 или элеватор; хранение урожая озимой пшеницы: переработка урожая озимой пшетшы; реализация урожая озимой пшени­цы и продуктов ее переработки и т.п.

Последний элемент — внешняя среда д.ая фермерского бизнеса — на четвертом уровне представлен в виде 54 звеньев, объединенных по содержанию в группы — потребители сель­хозпродукции, конкуренты, партнеры, конт­ролирующие органы, источники информаци­онного обеспечения.

На четвертом уровне общее число струк­турных единиц (звеньев, потоков и связей), на базе анализа которых и формулировались да­лее альтернативы управленческих решений, превысило 400.

Основу содержания альтернатив управ­ленческих решений, направленных на дости­жение той или иной цели, составляли различ­ные воздействия, ведущие к изменению со­стояния того или иного конкретного элемента структуры бизнеса, а вернее к изменению па­раметров, определяющих это состояние. На­растание подробности в рассмотрении эле­ментов структуры бизнеса при переходе от од­ного уровня представления к другому снижало в содержании решения стратегический и по­вышало оперативный компонент, что обеспе­чивало детерминированную связь между стра­тегическим и оперативным управлением.

В целом при соблюдении всех условий ал­горитма проектной реализации для данного фермерского бизнеса сформулировано более 130 управленческих решений. В частности, предложено найти рыночную нишу в другой предметной области; определить дополнитель­ные сельскохозяйственные культуры, произво­димые совместно с озимой пшеницей; купить но­вый колесный трактор по лизингу; приобрести запасные части к автотракторной технике и химические препараты защиты растений в счет будущего урожая; использовать вместо химиче­ских органические удобрения (навоз); задейство­вать льготные условия по налогообложению фермерского хозяйства; привлечь финансовые средства некоторых потребителей своей про­дукции; обеспечить освоение работниками смежных специальностей; провести предпосев­ную обработку семенного материала и обеспе­чить его доставку на поля; проверить готов­ность агротехники; выполнить все технологи­ческие условия по обработке паров (посеву, убор­ке и т.п.); хранить часть урожая у партнеров или потребителей сельхозпродукции и т.д.

Возможна еше более детальная структу­ризация фермерского бизнеса (т.е. более по­дробное дальнейшее рассмотрение), что по­зволяет ожидать на выходе еще большее число управленческих решений.

1. См. Йоханес Рюэгг-Штюрм. Новая системная теория и внутрифирменные изменения. — Проблемы теории и практики управления. — 1998. — № 5. — С.72-78.; Йоханес Рюэгг-Штюрм. Системно-конст­руктивистская “теория фирмы” и управление про­цессами глубоких изменений на предприятии. Проблемы теории и практики управления. — 1998.- № 6. — С.87-9.

Все права защищены и охраняются законом. Использование материалов сайта разрешено только с письменного разрешения владельца сайта.

Источник: moseyko.ru

Управление проектами в малом и среднем бизнесе

Проекты – модное слово. Сейчас проектами называют что угодно: от «Дома-2» до подводного атомного ракетоносца.

Есть мнение, что «настоящие» проекты – что-то масштабное, удел крупных компаний. На самом деле вопрос не в размере. Мне часто приходится участвовать в проектах, реализуемых с разной успешностью небольшими компаниями численностью от нескольких десятков до сотен работников.

В чём-то мелкие проекты не отличаются от масштабных, в чём-то специфичны. По моим наблюдениям, проблемы и неудачи реализации проектов небольшими компаниями объясняются двумя противоположными причинами. Одни не понимают специфики управления проектами и пытаются действовать, как у них обычно заведено, а потом удивляются, почему ничего не вышло. Другие, наоборот, всё выстраивают «по науке». В результате получается только гора красиво оформленной документации, на чём проект и заканчивается, потому что всем надоедает.

Успешное управление проектами в небольших компаниях, на мой взгляд, основано на здравом смысле, который подсказывает, когда стоит пользоваться сложными инструментами, а когда – действовать «на коленке».

Что такое проект?

Сразу договоримся, что проектом будем называть особую ситуацию:

• хотим достичь конкретной цели, которой проект заканчивается, а в случае успеха перетекает в рутину;
• не имеем достаточно опыта (не совсем понимаем, к чему придём и что надо делать);
• эта работа не вписана в цепочку регулярных бизнес-процессов компании, выпадая из повседневных обязанностей персонала.

Сюда относятся, для начала, любые старт-апы.

Вот примеры проектов небольших компаний, в которых мне приходилось участвовать:

• Коммерческие проекты: освоение новых для товаров, открытие отдалённых подразделений, промо-акции.
• Технологические проекты: создание производств, освоение изделий, переход на новое оборудование.
• Проекты организационного развития: реорганизации компаний, внедрение инструментов управления, информационных систем.

Легко заметить, что такие же проекты реализуются и крупным бизнесом. Отличие в масштабах, затратах, сроках, и главное – возможностях, опыте и компетенциях.

Как управляют проектами

Регулярный менеджмент – это цикл повторяющихся действий. Купили – переделали – продали – снова купили и так далее. Это не значит, что всё гладко: сбоев и проблем всегда хватает. В проектной ситуации это не проходит. Хотя и бытует термин «жизненный цикл проекта», цикличности как таковой нет: есть начало, реализация.

Проектный менеджмент – это движение к плохо видимой цели сквозь туманные болота неопределённости.

Всё начинается с определения цели проекта, т.е. видения конечного результата. Для этого существует известный инструмент: правило SMART. Звучит красиво, но на самом деле оно означает всего лишь: берясь за проект, чётко и в деталях объясни, чего ты хочешь получить в итоге и когда. Часто на этом этапе выясняется, что инициаторы проекта видят его цель совершенно по-разному, или что она оказывается не такой заманчивой.

Дальше надо прикинуть, что сделать для достижения цели, и какие ресурсы для этого потребны. Выстраиваем цепочку событий, которые приведут к результату. Потом упаковываем их в компактный сетевой график. Раздаём задачи исполнителям. Осталось всё это реализовать.

Практика проектного менеджмента, изложенная в предыдущих абзацах, одинакова независимо от размеров компании и масштабов проектов. В чём же специфика небольших предприятий?

Дело не в масштабах

Особенности управления проектами в небольших российских компаниях, на мой взгляд, прямо вытекают из стадии развития фирмы.

В терминах И.Адизеса[1] подавляющее большинство небольших российских компаний пребывают на стадии развития «Давай-давай». Она наступает, когда компания начинает приносить устойчиво растущие доходы. Вот её основные характеристики:

• эйфория и ощущение всемогущества;
• бурный, не управляемый рост;
• компания хватается за каждую подвернувшуюся возможность;
• склонность к риску в надежде на чудо и на авось;
• поведение компании – реактивное (отклики на возможности), а не про-активное (на основе рационального планирования);
• всё – приоритетно, одновременно развивается множество направлений;
• всё – на ручном управлении;
• нет внятного распределения обязанностей: каждый менеджер занимается тем, чем хочет и считает нужным;
• слабые коммуникации.

Из этого списка ясно, почему небольшие российские компании так любят затевать новые проекты, а также типичные причины неудач. Работа в состоянии неопределённости и вечного подвига для них привычна и естественна. С другой стороны, наивно ожидать, что компания, в которой и регулярный менеджмент не выстроен, легко справится с проектами, требующими иного уровня управленческого мастерства. Остаётся рассчитывать на удачу и нахальство, что обычно и срабатывает. Иначе стадию «Давай-давай» вряд ли кто-нибудь успешно пережил.

Перейдём к конкретике

Крупные компании с точки зрения реализации проектов имеют много преимуществ. Они обладают отработанными компетенциями и инструментарием в области как регулярного, так и проектного менеджмента. Их риски в реализации проектов снижаются (хотя и не гарантируются полностью!) маркетинговыми исследованиями и просчитанной экономикой.

Менеджеры проектов обладают специальным образованием и успешным опытом. Ничем таким наши небольшие фирмы похвастаться, само собой, не могут. Да и не обязательно. Иногда даже вредит.

Компании на стадии «Давай-давай», пытающиеся управлять проектами «по науке», редко достигают успеха. Нанимают дорогого проектного менеджера. Тот проводит всю пред-проектную подготовку, создавая гору красиво оформленных документов: паспортов проектов, положений, сетевых графиков и диаграмм.

Работники компании не понимают, что он говорит, и не в состоянии прочитать его «продукцию» хотя бы до середины. Оказывается, что сам проект и управление им живут в параллельных мирах. Руководитель проекта – в мире большого, регулярно управляемого бизнеса. Прочие – в мире привычного «Бери больше, кидай дальше, всё нужно вчера».

Небольшие компании способны успешно решать проектные задачи, если вместо подражания крупным разумно используют свои преимущества: энергетику и предпринимательскую инициативу.

На пред-проектной стадии:

Повысьте планку общей компетентности компании в управлении проектами. Не нужно отправлять ваших менеджеров на МВА (скорее всего, отучившись, они всё равно вас покинут). Проведите компактное обучение проектному менеджменту, чтобы все хотя бы представляли, что это такое.

Организуйте пред-проектную работу. Обычно небольшие компании относятся к ней как к хобби: для удовольствия в свободное время. Так не получится! От предварительной проработки проекта зависит, насколько за него стоит браться. Проект – это как минимум примерный расчёт затрат, выигрышей и сроков.

Уточните, чего хотите. Для каждой идеи сформулируйте ожидаемый конечный результат в терминах: как мы определим, что достигли цели? Прикиньте выигрыши и затраты, погрешность в 20% удовлетворительна.

Выберите приоритеты. Из всего списка проектов оставьте три, — больше всё равно не получится. Это нелегко, поскольку все компании «Давай-давай» страдают избытком приоритетов.

На стадии планирования проекта:

Определите, кто будет управлять каждым проектом. У проекта должна быть только одна голова. А поскольку в небольших компаниях главный креативщик – Первое Лицо, то он и оказывается менеджером всех проектов одновременно. Я знал Генерального директора фирмы численностью 150 человек, который одновременно руководил 15-ю проектами. В промежутках между общим руководством компанией.

Проектом должен руководить тот, кто больше всего заинтересован в его реализации. Если таковых не имеется, — значит, проект, скорее всего, и не состоится.

Предоставьте руководителям проекта ресурсы и полномочия. Главное – полномочие привлекать трудовые ресурсы из подразделений компании. Одна из типичных проблем реализации проектов в небольших фирмах – то, что ими занимаются и так занятые сотрудники факультативно, не отрываясь от операционной работы. На каждый проект надо выделить рабочее время, освободив людей от части других обязанностей. Желательно иметь минимум одного сотрудника, занимающегося только этим проектом и ничем другим.

Создайте мотивацию для всех участников проекта. Участие в проекте – дело рискованное. Можно потерять репутацию, завалив одновременно и проект, и основную работу. Поэтому каждый участник должен хорошо понимать важность проекта, как для компании, так и для себя лично.

Раздайте задания и определите сроки. Прикиньте ориентировочный срок завершения проекта. Здесь не страшно ошибиться: проект может занять больше времени, чем предполагалось, но не должен быть запланирован на «когда-нибудь».

Установите объём финансирования и точку невозврата. То есть, такой объём затрат на проект, при превышении которого вы будете решать, продолжать дальше или прикрыть работу, списав расходы на приобретение ценного опыта.

Наладьте коммуникации между участниками проекта. Пусть у него появится диспетчер, собирающий в одних руках все результаты, следящий за исполнением графиков и вовремя оповещающий участников об общих мероприятиях.

На стадии реализации проекта:

Не бросать проект, даже при очень высоком доверии к его руководителю. Договориться о реперных точках, частоте и способах доклада. От полного сообщения о делах до доклада только в случае отклонений.

За руководителями проектов водится грешок: держать проблемную ситуацию при себе, не сообщая начальству, в надежде на чудо: вдруг рассосётся! А когда уже ничего исправить нельзя: — ну что же, так скалалось…

Завершение проекта:

Завершение в виде подведения черты обязательно должно произойти. Если проект успешно закончен и принёс результаты, – дайте участникам то, что обещали. Обязательно отметить отличившихся, а также тех, кто не слишком старался.

Если проект прекращается по причине исчерпания средств, сроков и ресурсов, — то же самое. Выясните, кто виноват, а кто сделал всё правильно. И вознаградите тех, кто сделал всё для успеха, даже если он не состоялся.

[1] Ицхак Адизес. Управление жизненным циклом корпорации.

Источник: hrtime.ru

Особенности обеспечения информационной безопасности малого и среднего бизнеса

В статье будут рассмотрены основные тенденции развития угроз для малого и среднего бизнеса (SMB), статистика различных компаний в оценивании киберугроз. Также будут проанализированы ключевые источники внутренних и внешних угроз, а также применяемые на практике методы защиты от них.

Введение

Пересылка электронных сообщений, поиск новых клиентов и партнеров в сети, использование IM-мессенджеров и социальных сетей для общения и, что самое важное, использование банк-клиентов для проведения финансовых операций – так выглядит рабочий день в небольшой компании.

Ежегодно количество киберугроз растет в количественном и качественном отношении. Злоумышленники совершенствуют технологии для заражения большего количества компьютеров. По данным «Лаборатории Касперского», ежедневно появляется около 200 тысяч новых образцов вредоносного кода.

Бизнес зависим от интернета, который таит в себе множество угроз. Не стоит забывать и о внутренних угрозах: утечке данных, уязвимостях в используемом программном обеспечении, шпионаже и т.д. Весь спектр внешних и внутренних угроз ставит перед небольшими компаниями непростую задачу по созданию системы IT-безопасности, которая позволит эффективно противостоять современным угрозам.

Проблематика SMB

Малый и средний бизнес, в отличие от больших компаний, не считает приоритетной задачу разработки четкой стратегии развития IT-инфраструктуры своего предприятия, на первое место ставится продуктовая, операционная или маркетинговая деятельность. Отсюда и возникают проблемы, связанные с информационной безопасностью.

Немаловажной причиной является отсутствие квалифицированного персонала, в редких случаях небольшие компании могут похвастаться наличием в штате IT-специалиста. Обычно его функции выполняет опытный пользователь из числа штатных сотрудников или, в лучшем случае, приходящий системный администратор. Многие небольшие компании не имеют штатного специалиста по IT, поэтому об отдельном специалисте по ИБ даже и речи идти не может. Как правило, такие организации работают по принципу «пока гром не грянет», ведь превентивно оценивать возможные риски IT-безопасности просто некому. В лучшем случае вопросами информационной безопасности занимается IT-отдел или внутренняя служба безопасности.

Согласно недавнему исследованию* «Лаборатории Касперского» и «B2B International» 96% опрошенных IT-специалистов неверно оценивают скорость появления новых угроз, лишь 4% опрошенных дали близкую к реальности оценку.

Рисунок 1. Оценка специалистами масштабов появления новых угроз по данным «Лаборатории Касперского»

В небольших компаниях руководящее звено не придает особой значимости вопросам информационной безопасности, считая киберугрозы несущественным риском для бизнеса, и, как следствие, выделяет недостаточно времени и средств на решение вопросов безопасности. Ограниченность бюджета заставляет компании переходить на бесплатное или нелицензионное программное обеспечение.

Особенно остро проблема отсутствия средств и использование нелицензионного программного обеспечения ощущается в регионах. Неделями не обновляемые антивирусные базы, ввиду блокировки лицензии защитного программного обеспечения – стандартная картина для маленькой фирмы. Обучение персонала компании основам работы с IT-системами особенно важно, так как человеческий фактор нередко играет решающую роль при проведении атаки на компанию. Однако в 2013 году интерес к инвестициям в обучение персонала работе с IT-системами снизился на 7%.

Рисунок 2. Приоритетные задачи IT-отделов компаний SMB по данным исследования «Лаборатории Касперского»

Внутренние угрозы

Уязвимости в программном обеспечении, утечка данных или кража мобильных устройств сотрудников компании приносит большую головную боль специалистам по информационной безопасности. Для минимизации инцидентов, связанных с внутренними угрозами, на средних и крупных предприятиях используются программно-аппаратные DLP-системы, которые позволяют осуществлять комплексные мероприятия по предотвращению утечки данных из компании. Шифрование деловой переписки, папок и файлов, контроль съемных носителей – небольшой перечень действий необходимых для минимизации утечки данных. Управление обновлением программного обеспечения – один из ключевых аспектов внутренней безопасности, так как подавляющее большинство атак начинается с эксплуатирования уязвимостей в ПО. Отчет «Лаборатории Касперского» это подтверждает.

Рисунок 3: Динамика распределения внутренних угроз по данным исследования «Лаборатории Касперского»

Так в 2010 году, используя уязвимость в браузере Internet Explorer, была осуществлена атака на ряд известных мировых компаний, в том числе корпорация Google сообщила о факте получения киберпреступниками доступа к почтовым серверам Gmail. Примеров таких атак масса, злоумышленники получают доступ не только к данным клиентов компаний, но и конфиденциальным данным самой компании.

Любопытной особенностью является тот факт, что компании часто заботятся о новейших уязвимостях, но забывают про старые бреши, которые до сих пор используются для атак. Анализ крупных инцидентов в прошлом, зачастую свидетельствует о том, что в них не были использованы уязвимости нулевого дня. На эту тему было проведено специальное исследование.

Доминирующей концепцией последних нескольких лет становится использование личных мобильных устройств сотрудников в рабочих целях, так называемый BYOD (Bring Your Own Device). Современный бизнес поощряет мобильность сотрудников, делая их более лояльными, позволяя находиться вне офиса и выполнять рабочие задачи. Использование собственных устройств порождает дополнительные IT-риски для компаний, новые устройства превращаются в точки доступа к корпоративной инфраструктуре.

Существует несколько подходов для обеспечения безопасности при использовании BYOD:

• VDI (Virtual Desktop Infrastructure) — технология позволяет организовать доступ к рабочим местам, используя специальные приложения или операционные системы, запущенные в виртуальной среде на серверах организации. Подход обеспечивает централизованное администрирование и хранение данных.
• MDM (Mobile Device Management) — программное обеспечение для доступа к корпоративной инфраструктуре с мобильных устройств.
• Клиентское ПО безопасности — клиент на мобильном устройстве пользователя, обеспечивающий антивирусную защиту и фильтрацию трафика.

В России BYOD развивается менее активно, чем во всем мире. Причина отставания находится в ментальности руководства, привыкшего находиться в офисе и того же требующего от своих подчиненных. Старая закалка далеко не единственная причина: защита BYOD, помимо современных методов управления, требует инвестиций в безопасность, на что малый и средний бизнес реагирует неохотно. Некоторые компании практикуют тотальный запрет использования мобильных устройств. Согласно проведённым исследованиям, лидером по внедрению BYOD выступает – Китай, самым ярым противником — Япония.

В небольших компаниях вопрос защиты от внутренних угроз стоит острее, чем в среднем и крупном бизнесе. Это обусловлено отсутствием IT–отделов, служб безопасности и, как следствие, приводит к бесконтрольности сотрудников.

Для малого бизнеса существуют комплексные решения, объединяющие в себе антивирусные компоненты, фильтрацию контента и трафика, а так же шифрование необходимых данных. К таким решениям предъявляется дополнительное требование – простота установки и настройки, для того, чтобы с ним мог разобраться продвинутый пользователь, который отвечает за IT–процессы в маленьких компаниях.

Наличие в сети компании привилегированных пользователей, делает сеть уязвимой перед действиями своих же сотрудников. Привилегированные пользователи нередко пренебрегают политиками безопасности компании, пароли для учетных записей могут не изменяться годами. Более того, встречаются ситуации, когда несколько сотрудников, имеющие административные права, используют одну учетную запись для внесения изменений, в таком случае невозможно установить лицо, допустившее утечку информации. Подробно проблемы контроля привилегированных пользователей были рассмотрены в этой статье. Для контроля привилегированных пользователей существуют специальные решения, например Wallix AdminBastion.

Внешние угрозы

По статистике «Лаборатории Касперского» 95% российских компаний подвергались внешней атаке в 2013 году. Причем наибольшую угрозу представляют собой вредоносные программы.

Рисунок 4: Динамика развития внешних угроз по данным «Лаборатории Касперского»

Профессиональные киберпреступники действуют исключительно в финансовых интересах, изобретая новые способы проникновения в компьютерные системы. Ярким примером вредоносной программы, нацеленной на кражу финансовой информации, стала троянская программа Zeus.

Многомодульность программы позволяет ей осуществлять всесторонний шпионаж на зараженной машине, отличительной особенностью «Зевса» стало использование мобильной версии, которая отвечает за перехват mTAN кодов в SMS от банков. Среди атакуемых организаций представлены российские банки и платежные системы.

Малый бизнес в силу своих особенностей менее защищен, чем средний и крупный бизнес. Любой системный администратор может рассказать множество историй, как в небольших организациях ему приходилось бороться с заражением и его последствиями. Нередко в маленьких компаниях пользователи работают с правами администратора.

Ничего удивительного в этом нет, но отсутствие понимания необходимости комплексной защиты в таких организациях играет злую шутку с финансами компании. Предотвратить заражение обходиться значительно дешевле – нейтрализации и устранения последствий. К сожалению, пока «гром не грянет» — редко кто задумывается над этими вопросами.

Популярность спам-атак снижается с каждым годом. Если средний бизнес видит в спаме угрозу, которая может парализовать обмен информацией в компании, то представители малого бизнеса скептически относятся к этой проблеме, зачастую в организации отсутствует даже собственный почтовый сервер, сотрудники пользуются публичными сервисами для обмена информацией.

В киберпреступном мире существует масса группировок, готовых за определенную плату произвести DDoS-атаку на сайт неугодной компании. Атакуемый ресурс становится недоступным и компания — жертва несет убытки, связанные с недоступностью сервисов. Ущерб от атак носит не только финансовый, но и репутационный характер.

Примером подобной атаки, получившей широкую огласку в СМИ, стала атака на системы онлайн-бронирования компании «Аэрофлот» в 2010 году. Ущерб от атаки компании «Аэрофлот» оценивается в 146 млн. рублей, компании Assist – партнера «Аэрофлота» в 15 млн. рублей. В июле 2013 года организатор атаки был осужден на 2,5 года лишения свободы. Большой бизнес осознает опасность DDoS-атак и старается подготовить и защитить свою инфраструктуру от возможной атаки, однако получается далеко не всегда. Ботнеты, используемые для атак, способны генерировать трафик в десятки Gb/s, защита в такой ситуации становится нетривиальной задачей.

Зарекомендовавший себя в преступных кругах фишинг, активно набирает обороты и применяется злоумышленниками для получения конфиденциальной информации. Например, с помощью фишинговой атаки в 2013 году хакер смог получить данные 2 млн. абонентов Vodafone Germany. Сотрудники компаний стали чаще использовать мобильные гаджеты для работы и угроза кражи девайса, который имеет доступ в корпоративную сеть, постоянно растет.

Методы защиты

Наиболее распространенной мерой обеспечения информационной безопасности в компаниях остается использование антивирусной защиты.

Рисунок 5: Методы, применяемые для защиты информации по данным «Лаборатории Касперского»

Сигнатурных и эвристических методов защиты недостаточно для обеспечения безопасности от новейших угроз. Для защиты от эксплуатирования уязвимостей в операционной системе и приложениях следует использовать решения, которые включают в себя компоненты анализа поведения программ, одним из таких решений является Kaspersky Small Office Security.

Управлению обновления программного обеспечения уделяется большая роль, ведь уязвимое программное обеспечение является одним из основных источников угроз. Для централизованного обновления развертываются специальные системы, пренебрежение которыми может обернуться миллионными потерями. Использование сетевых экранов и IDS вкупе с DLP позволяет эффективно противостоять сетевым атакам, своевременно выявлять подозрительный трафик в сети и обнаруживать утечку конфиденциальных данных из компании.

Большинство компаний разграничивает доступ к IT-системам, согласно уровню доступа сотрудников предприятия. Выстраивание внутренней информационной безопасности без контроля мобильных устройств сотрудников, сводит на нет меры по предотвращению утечек информации.

Мобильные устройства, будь то смартфоны или планшеты, могут быть скомпрометированы злоумышленниками для получения доступа к внутренней инфраструктуре компании с ее конфиденциальной информацией. Уже сейчас существуют решения позволяющие обеспечивать комплексную защиту мобильных устройств, надежно защищая их от вредоносных программ, спама и фишинга. Мобильное устройство может быть утеряно или украдено, в этом случае необходимо иметь возможность удаленного контроля устройства. Удаленная блокировка и очистка устройства, в случае его утери или кражи, реализована в защитном приложении для мобильных устройств, входящем в пакет Kaspersky Small Office Security. При утере или краже мобильного устройства такой функционал становится незаменимым, позволяя минимизировать риск кражи конфиденциальных данных.

В средних и крупных компаниях применяется запрет использования съемных носителей. Принесенный на флешке червь одним из сотрудников мгновенно станет достоянием всей сети. Червь Kido, использовавший сменные носители для своего распространения, являлся в кошмарных снах системным администраторам, в сети которых были разрешены сменные носители. Современные решения для малого бизнеса должны обеспечивать автоматический контроль использования подключаемых устройств.

Выводы

Большинство компаний недооценивает риски связанные с киберугрозами. Компании должны инвестировать в обучение сотрудников, объясняя базовые правила безопасной работы в сети и повышая уровень осведомленности о новых угрозах. Грамотные пользователи на рабочих местах – хорошая основа для информационной системы безопасности компании.

Концепция BYOD, набирающая популярность, создает для бизнеса дополнительные риски информационной безопасности, для решения которых необходимо использование специальных политик для мобильных устройств и MDM. Вопросы информационной безопасности для небольших компаний отходят на задний план или вообще не решаются.

Сотрудники компаний имеют права администратора, полный доступ ко всем устройствам и системам, что вызывает бесконтрольное использование ресурсов организации. Отдельная защита требуется при работе с системами онлайн-банкинга и другими платежными системами, которая позволит обезопасить сотрудников от ввода данных на фишинговых сайтах и перехвата параметров доступа к счетам вредоносными программами. Небольшим компаниям нужно универсальное решение за разумную стоимость, отличающееся простотой установки и управления, которое позволит гибко настроить использование ресурсов компании, а так же обеспечит комплексную защиту от всех типов угроз. Примером такого решения служит Kaspersky Small Office Security.

Источник: www.anti-malware.ru