В 2018 году сфера ИТ часто оказывалась в центре внимания. Утечка информации оказалась главной причиной того, почему персональные данные более 1 миллиарда человек оказались раскрыты. Были зафиксированы нарушения конфиденциальности данных пользователей Facebook, T-Mobile, Quora, Google, Orbitz и десятков других компаний. Даже если не учитывать финансовые потери,(составляющие в среднем 3,86 млн долл. США для каждого инцидента), подорванная репутация и потеря доверия со стороны клиентов могут со временем привести к многомиллионным убыткам.
Когда случается подобный инцидент, совет директоров чаще всего возлагает вину на ИТ-руководителя. После случившегося в 2013 г. взлома сети супермаркетов Target на компанию обрушилась волна критики в адрес ее методик обработки данных, и в итоге это привело к отставке ИТ-директора. Когда столь многое стоит на кону, неудивительно, что вопросы безопасности и управления данными оказываются в центре внимания руководства.
Но хотя утечка информации и оказывается на передних полосах газет, это не единственная угроза для компании. Есть и другая, более коварная опасность, способная привести к таким же последствиям — чрезмерно жесткое управление, препятствующее творчеству и инновациям.
Инсайдерские угрозы — главный источник проблем в бизнесе
Безопасность против инноваций
Компании должны выбирать решения, на которые можно будет опираться в течение нескольких лет или даже десятилетий, и в то же время нужно идти в ногу с быстро меняющимся рынком. ИТ-руководители пытаются найти баланс между обеспечением безопасности и сохранением достаточной гибкости для быстрого внедрения инноваций.
По данным опроса ИТ-руководителей, проведенного компаниями Harvey Nash и KPMG в 2018 году, приоритет «укрепления кибербезопасности» вырос на 23%, опередив по темпам роста все остальные направления деятельности. Из-за постоянной угрозы утечек информации, ИТ-руководители торопятся устранить все факторы риска. В сравнении с директорами по маркетингу, которые горят желанием применять новые технологии для решения своих проблем, ИТ-руководители часто являются противниками инноваций.
В статье для Inc., редактор Джеффри Джеймс утверждал, что препятствование прогрессу было нормой для большинства ИТ-директоров:
«В 1970-х были популярны громоздкие мейнфреймы IBM, тогда как мини-ЭВМ и рабочие станции были дешевле, и на них устанавливалось лучшее программное обеспечение.
В 1980-х руководство выбирало централизованные вычисления и текстовые терминалы, а не ПК и Mac, которыми хотели пользоваться сотрудники.
В 1990-х ИТ-директора одобряли интегрированные клиент-серверные приложения и, как правило, выступали против облачных приложений (таких как Salesforce.com), работающих в Интернете.
В 2000-х руководители отдавали предпочтение чрезмерно сложным ERP-системы и ПК, в то время как сотрудники осваивали смартфоны и планшеты».
Но в то же время советы директоров ставят перед ИТ-руководителями и ИТ-отделами задачи по продвижению инноваций и экспериментов. Соблюдать баланс становится еще сложнее из-за действий других отделов и даже компаний-партнеров, которые внедряют новые технологии без оглядки на ИТ-отдел. Так что же могут сделать ИТ-руководители, чтобы выполнить свои обязательства и в то же время способствовать развитию своих организаций?
Враги внутри предприятия. Инсайдерские угрозы бизнеса
От менеджеров по технологиям до «двигателей прогресса»
Прошли те времена, когда руководители компании определяли стратегию, а ИТ-специалисты отвечали за ее внедрение. Сейчас стоит только неудачно выбрать технологию, средство интеграции или партнера, и это может привести к последствиям, которые ослабят позиции вашей компании на годы вперед. Сейчас руководители ИТ-подразделений и служб безопасности берут на себя более значимую роль советников.
«Начиная с конца 1990-х годов и, особенно, в последние 10 лет руководители в сфере безопасности и ИТ все активнее участвуют в принятии корпоративных решений, — объясняет Лукас Шимановский, директор по информационной безопасности Wrike. — С развитием нормативно-правового соответствия службы безопасности начали восприниматься как обладатели решающего голоса, участвующие в выборе партнеров и поставщиков и в формировании технологических ландшафтов».
ИТ-руководители имеют возможность не только поддерживать и защищать корпоративные данные и техническую инфраструктуру, но и помогать организациям принимать важные решения и инвестировать в технологии, способные повлиять на стратегию конкуренции в целом. Все в большей и большей степени ИТ-руководители отвечают не только за создание технических систем, используемых в компаниях, но и за бизнес-результаты, которые эти системы помогают получить.
Сейчас у ИТ-специалистов есть огромная возможность укрепить свое влияние, повысить свою ценность и заявить о себе как о стратегических деловых партнерах.
В ходе опроса ИТ-руководителей, проведенного компаниями Harvey Nash и KPMG в 2018 году, Бриджит Грей, управляющий директор Harvey Nash Australia, так описала эту возможность:
«Не так-то просто примирить творчество и руководство. Но позиция директора по ИТ будет тем сильнее, чем лучше уравновешены эти факторы».
Для успешного осуществления такой трансформации ИТ-руководителю нужно использовать объективный, ориентированный на бизнес подход к оценке технологий. Он позволит защитить организацию и не подвергать опасности ее способность к внедрению инноваций.
Три вопроса, которые должны задать ИТ-руководители при оценке нового инструмента
1. Каково назначение инструмента, и как он вписывается в стек технологий?
Каждый новый компонент программного обеспечения и новая технология усложняет существующие системы и усиливает риски.
«Я представляю себе это как цепочку технологий и мер безопасности, — объясняет Шимановский. — И чем длиннее становится такая цепочка, тем дальше вы уходите от основного функционала и данных, которые вам нужно защищать. Вам требуются все новые и новые функции, и вы добавляете к цепочке новые инструменты, устройства и процессы. Хотя такая схема может быть вполне рабочей и необходимой в краткосрочной перспективе, увеличение сложности может в конечном итоге стать фактором риска. В каждом звене этой цепочки вам нужно использовать системный подход к определению требований и при этом вести наблюдение и управлять безопасностью каждой из составных частей. Так что если вместо двух функций вы сможете использовать одну, это конечно к лучшему».
Когда основное внимание начинает уделяться росту и исполнению, возникают проблемы.
«Опасность возникает, если вы думаете о решении насущной задачи без учета будущих перспектив. «Мы просто поступим вот так (установим вот эту программу), потому что нам нужно вот это». Но на самом деле вам не следует удлинять цепочку. Рано или поздно вы добавите в нее что-то, противоречащее закону, негативно влияющее на безопасность данных или того хуже, и ослабите когда-то мощную систему».
2. Кто производит инструмент, и какова репутация производителя?
Происхождение программного обеспечения тоже имеет значение. Неподдерживаемый программный продукт, разработанный никому не известной командой, может стать источником больших проблем.
«Вам нужно тщательно оценивать любых партнеров по созданию программного обеспечения», — советует Шимановский.
«Программный продукт от неизвестной команды может стать основой для построения целой инфраструктуры. И если он окажется плохо продуманным или его программный код будет небезопасным, это может пагубно отразиться на вашем бизнесе, даже если техническая концепция будет удачной. Маленькие команды могут создавать отличные технологии.
Давайте вспомним, что компания HP начиналась с двух ребят, работающих в гараже. Но что, если через пару лет компания из двух человек разорится и прекратит свою деятельность? Что если один из совладельцев компании заберет все данные и исчезнет в неизвестном направлении? Последствия могут быть очень серьезными и необратимыми».
Бывает так, что вам необходимо внедрить новый инструмент как можно быстрее, но если вы слишком поспешите, это может привести к огромному количеству проблем в будущем.
3. Планируем ли мы обучать пользователей передовым методикам защиты данных?
Подавляющее большинство нарушений и инцидентов являются результатом не взломов, а банальных ошибок. И поэтому ИТ-руководителям нужно рассматривать внутреннее обучение как важнейшую часть системы безопасности. Политики и наилучшие методики обеспечения безопасности должны быть доступны всем сотрудникам. В организации должна культивироваться культура осведомленности о рисках, образования и ответственности.
«Облачные технологии очень многое изменили, — рассказывает консультант по ИТ и безопасности Дастин Боландер. — Из-за Dropbox, Google Apps и т. п. документы могут очень легко оказаться за пределами организации. Сейчас любой пользователь в компании может настроить сервис и сохранить данные в облаке за считанные минуты. Это многое изменило, ведь теперь нам приходится полагаться не столько на технические меры предосторожности, сколько на необходимость повышать осведомленность пользователей и обучать их мерам безопасности».
Современные технологии развиваются такими быстрыми темпами, что предоставление рекомендаций по обработке данных и обучение мерам безопасности могут стать для организации наилучшим шагом по предотвращению утечки данных. Основатель и генеральный директор нашей компании Андрей Филев рассмотрел несколько методик по обеспечению безопасности в этой публикации.
Безопасность превыше всего
Компании должны уделять безопасности все больше внимания. Угроза утечки данных всегда останется актуальной, но еще один серьезный источник опасности — это ограничение способности ваших сотрудников к созданию инноваций. Организации нужна возможность обеспечить открытость и творческую атмосферу без ущерба для безопасности.
Клиенты ожидают, что их данные будут защищены. Подсчитано, что неправильное обращение с данными и неадекватные меры безопасности обойдутся одной только компании Facebook в миллиард долларов США. Каждый компонент в вашем стеке технологий может представлять угрозу для безопасности данных и нанести вред вашей организации. Именно поэтому так важно придерживаться самых высоких стандартов.
В компании Wrike мы не просто придерживаемся стандартов безопасности, мы сами их создаем. Мы стремимся обеспечить безопасность данных наших клиентов, потому что знаем, что от этого зависит судьба их компаний. И благодаря таким новым функциям, как Wrike Lock, наши пользователи получают беспрецедентный уровень контроля над своими данными, которые хранятся в облаке.
Все эти функции безопасности преследуют одну цель: создать условия для сотрудничества. Удаленные команды могут совместно управлять своей работой с легкостью, зная, что их облачные данные защищены с помощью лидирующих в отрасли инструментов обеспечения безопасности. Готовы ли вы дать своей команде возможность создавать инновации, работая в разных странах и на разных континентах? Попробуйте бесплатную версию Wrike.
Источник: www.wrike.com
Анализ уязвимостей
Под анализом уязвимостей понимаются процессы, направленные на поиск любых угроз, уязвимых точек и рисков потенциального несанкционированного проникновения злоумышленников в ИС (информационную систему).
Уязвимость — слабый компонент ИС какой-либо организации. Угроза — возможность негативного воздействия со стороны злоумышленников, которое может повлечь компрометацию коммерческой и другой конфиденциальной информации. Третье лицо в таком анализе — злоумышленник, который использует уязвимости для реализации угроз.
Если присутствуют уязвимости, это негативно сказывается на работе всего предприятия, так как оно становится менее защищенным перед недобросовестными конкурентами, это упрощает работу злоумышленников по нанесению вреда и позволяет третьим лицам получить доступ к конфиденциальным данным.
Источник угрозы может быть как случайным, так и преднамеренным. Третий вариант — техногенные и природные факторы, которые никогда не стоит исключать.
У каждой угрозы есть свой список уязвимостей, с помощью которых злоумышленник может реализовать свои планы.
Аудит информационной безопасности
Анализ уязвимостей в области информационной безопасности (ИБ)
Эффективная ИБ обеспечивает не только защиту от кражи каких-либо данных из сети предприятия, но и финансовую защиту бизнеса в целом. Предприятия, которые хотят отличаться качественной ИБ, постоянно работают над предотвращением:
- утечек любых корпоративных данных
- удаленного редактирования защищенной информации
- изменения уровня защиты от угроз, которые могут спровоцировать потерю доверия инвесторов, поставщиков, контрагентов и т. д.
Угрозы могут иметь несколько источников, поэтому очень важно своевременно их классифицировать и создать схему их анализа. Это позволит получить наибольший охват потенциальных уязвимостей в бизнес-процессах предприятия.
В ИБ крайне важно следовать четырем принципам:
- конфиденциальность
- целостность
- достоверность
- доступность
Разновидности анализируемых угроз
Чтобы провести качественный анализ уязвимостей информационной структуры, необходимо различать виды угроз, которые могут возникнуть в системе конкретной организации. Такие угрозы разделяются на отдельные классы.
1 класс. Потенциальный источник угрозы, который может находиться:
- непосредственно в информационной системе (ИС)
- в пределах видимости ИС (например, устройства для несанкционированной звукозаписи)
- вне зоны видимости ИС (перехват данных в процессе их отправки куда-либо)
2 класс. Воздействие на ИС, которое может нести:
- активную угрозу (троян, вирус)
- пассивную угрозу (копирование конфиденциальной информации злоумышленником)
3 класс. Метод обеспечения доступа, который может быть реализован:
- напрямую (кража паролей)
- посредством нестандартных каналов связи (например, уязвимости операционной системы)
Главные цели атаки на ИТ-инфраструктуру компании:
- получение контроля над ценными ресурсами и данными
- организация несанкционированного доступа к корпоративной сети
- ограничение деятельности предприятия в определенной области
Второй метод чаще всего реализуется по заказу недобросовестных компаний-конкурентов или политическими деятелями.
Что конкретно может нести угрозу информационной безопасности любого предприятия:
- вредоносное программное обеспечение
- мошенники-хакеры
- инсайдеры-работники, действующие со злыми намерениями или по неосторожности
- природные явления
Реализовать угрозу можно несколькими методами. Например, организовать перехват данных, оставить программную или аппаратную «закладку» или нарушить работу локальных беспроводных корпоративных сетей, организовать для инсайдеров доступ к инфраструктуре компании.
Оценка вероятности угроз
Для оценки вероятности наступления угрозы профессионалами применяется качественная шкала, состоящая из трех уровней. Рассмотрим их подробнее.
Уровень 1 — Н («низкая вероятность»)
Отличается минимальной вероятностью появления. У такой угрозы нет никаких предпосылок (прошлых инцидентов, мотивов) для того, чтобы она была реализована. Угрозы уровня Н, как правило, возникают не чаще, чем 1 раз в 5 – 10 лет.
Уровень 2 — С («средняя вероятность»)
У такой угрозы вероятность возникновения чуть выше, чем у предыдущей, потому, что в прошлом, к примеру, уже были подобные инциденты или известно, что атакующая сторона имеет планы по реализации такой угрозы. Угрозы с уровнем С приводят к реальным инцидентам примерно раз в год.
Уровень 3 — В («высокая вероятность»)
Угроза имеет высокие шансы на реализацию. В подтверждение тому — статистическая информация, наличие подобных инцидентов в прошлом, серьезная мотивация со стороны злоумышленников. Вероятная частота возникновения угроз уровня В — раз на неделю или чаще.
Методики анализа уязвимостей
Существует несколько способов, при помощи которых можно провести анализ уязвимостей системы. Один из них основан на вероятностной методике, и при его применении нужно опираться на следующие факторы:
- потенциал злоумышленника (выявляется путем оценок экспертов)
- источник угрозы (где возможна атака — в зоне видимости или за ее пределами)
- метод воздействия (сетевой, аппаратный или социальный)
- объект угрозы (корпоративные данные, средства для шифрования, передачи, работы с ними или сотрудники компании)
В процессе анализа уязвимостей в информационной системе крайне важно учитывать возможные места дислокации. Чтобы это реализовать, нужно оперативно обнаружить и устранить ошибки в операционной системе и программном обеспечении, а позже систематически устанавливать все патчи безопасности от разработчиков.
Анализ уязвимостей, которые связаны с неправильной настройкой защитных средств, должен проводиться регулярно. Идеальное решение — настроить непрерывный мониторинг ИС на предмет возникновения уязвимостей. Отдельно от вышеописанного анализа в обязательном порядке необходимо проводить определенные мероприятия с рабочим персоналом компании: выдавать права доступа к данным и ресурсам, права на установку специализированного программного обеспечения, а также права на копирование информации и применение внешних носителей данных.
Источник: itglobal.com
newinspire
Внешние и внутренние угрозы экономической безопасности предприятия
Наибольшее распространение в науке получило подразделение угроз в зависимости от места их возникновения. По данному признаку различают внешние и внутренние угрозы экономической безопасности предприятия.
Внешние угрозыэкономической безопасности предприятия складываются за пределами предприятия. Они не связаны с его производственной деятельностью. Как правило, это такое изменение окружающей среды, которое способно нанести предприятию ущерб.
К внешним угрозамэкономической безопасности предприятия относят:
– промышленно-экономический шпионаж и несанкционированный доступ конкурентов к секретной информации, составляющей коммерческую тайну;
– кардинальное изменение политической ситуации;
– изменение законодательства, влияющего на условия хозяйственной деятельности;
– противоправные действия криминальных структур;
– чрезвычайные ситуации природного и технического характера и т.д.
Внутренние угрозы экономической безопасности предприятия связаны с хозяйственной деятельностью предприятия и его персонала. Они обусловлены процессами, возникающими в ходе производства и реализации продукции. Они способны оказать заметное влияние на результаты ведения хозяйственной деятельности.
К внутренним угрозамэкономической безопасности предприятия относят:
– производственные недостатки и нарушения технологии;
– нарушение режима сохранения конфиденциальной информации;
– подрыв делового имиджа и репутации в бизнес сообществе;
– конфликты с конкурентами и контролирующими правоохранительными органами;
– заметные упущения в тактическом и стратегическом планировании, связанные с выбором цели, неверной оценкой возможностей предприятия, ошибками при прогнозировании изменения внешней среды;
– криминальные действия собственного персонала: (от воровства до продажи конкурентам коммерческой информации и т.д.).
Любое предприятие занято специфической экономической и торговой деятельностью, поэтому понятия внешних и внутренних угроз экономической безопасности для каждого предприятия будут индивидуальны.
Источник: newinspire.ru
