что такое корпоративная безопасность

Стоит ли нанимать бывших сотрудников спецслужб для защиты бизнеса? Мифы и реальность

Фото из открытых источников

До сих пор мало кто имеет четкое представление о том, что такое безопасность и какова ее роль в бизнесе. Известно, что формируется служба безопасности (СБ). Однако остается невыясненным ряд вопросов. Например, на что следует обращать внимание, делая выбор в пользу того или иного специалиста по корпоративной безопасности? Каковы профстандарты для них?

Подробно об этом «Московской газете» рассказал директор «Бюро корпоративного консалтинга и безопасности» Алексей Долженков.

— Алексей, что такое безопасность с точки зрения тех, кто ее должен обеспечивать?

То есть исходя из этой логики, ничего не произошло — состояние защищенности есть, что-то случилось — состояния нет и надо что-то делать.

По работе силовых структур, данный принцип виден в действии.

Выйдя на пенсию, сотрудник — не важно, начальник или, оперуполномоченный — продолжает применять данный принцип работы и у вас в компании. То есть, придя на должность руководителя СБ, он садится в теплое кресло на хорошую зарплату и начинает ждать, пока что-нибудь случится: ведь пока не случилось, безопасность есть. И хорошо, если он будет просто сидеть, в большинстве случаев от безделья они начинают творить страшные вещи: плетут интриги, настраивают людей в коллективе друг против друга, надувают щеки из серии «почему поменяли воду в кулере без моего согласия», и так далее.

Потом что-то случается, допустим, запрос из МВД по поводу взаимоотношений с одним из контрагентов. Тогда этот пенсионер бежит в подразделение, направившее этот запрос, и начинает там кричать, визжать, бить себя в грудь кулаком со словами: «Да, я за Родину кровь проливал!». В итоге любой нормальный сотрудник БЭПа «пошлет его куда подальше», и решать проблему все равно придется вам, только отношение уже будет заранее негативное, а самое главное, что к сути решения вопроса это вас не приблизит.

— Как понимают суть безопасности представители бизнеса?

— В большинстве случаев представление о службе безопасности компании сформировано фильмами и сериалами про бандитов, сотрудников правоохранительных органов и коммерсантов.

То есть понимание сути работы службы безопасности сводится к наличию пенсионера со связями и большими звездами, а также банды диких ЧОПовцев, которые, если нужно, проломят кому-нибудь голову.

Поясню: ЧОП к службе безопасности не имеет никакого отношения. Оба подхода не отражают самой сути службы безопасности коммерческой организации.

— В чем специфика работы таких специалистов? Какие трудности возникают в процессе сотрудничества с ними?

— Вы взяли себе на работу «породистого» пенсионера, с медалями и родословной, думаете, что теперь все у вас будет хорошо, а на самом деле вы за свои деньги получаете дополнительные проблемы.

Во-первых, существует риск раскрытия в своем окружении информации о вашем финансовом положении, о применяемых схемах налоговой оптимизации, об объемах наличного оборота, маршрутов перевозки, мест хранения, применяемых методах охраны, местах расположения удаленных серверов с бухгалтерией и не только.

Во-вторых, происходит демотивация топ-менеджмента в связи с нарочитым контролем и демонстративным недоверием.

Также возможно введение в компании дополнительных, необоснованных, административных барьеров.

Развивать эту тему можно бесконечно долго, естественно есть и исключения, когда удается получить руководителя Службы безопасности с системным подходом, желанием помочь вашей компании стабильно развиваться и без иллюзий относительно собственного профессионализма, то есть готового постоянно повышать свою квалификацию.

— Как осуществляется подбор сотрудников в СБ?

— Проблема здесь заключается в отсутствии профессиональных стандартов в данной сфере. Бизнесмен не должен быть специалистом по корпоративной безопасности, чтобы нанять на работу специалиста по корпоративной безопасности.

Ведь когда вы вызываете такси, вы не проверяете у водителя навыки вождения, не экзаменуете пилота перед полетом. Для этого существуют профессиональные стандарты, за соответствие которым отвечает образовательное учреждение, подготовившее специалиста и выдавшее диплом, учреждение подтвердившее соответствие знаний и навыков данным стандартам (ГИБДД и Росавиация).

С корпоративной безопасностью ничего подобного нет, поэтому и складывается ситуация, при которой специалист по безопасности не знает, что ему делать, а его работодатель не знает, что от него требовать.

— Как это сказывается на подходе к работе у таких специалистов?

— Тут начинается «креатив». Они могут закладывать специальные технические средства всем сотрудникам компании, а еще конкурентам и уборщице в швабру — вдруг они там чего-то такое обсуждают. Иногда додумываются предлагать взятки всем, начиная от участкового. В результате бизнесмен «подсаживается» на «абонентскую плату» в налоговую, полицию и надзорные органы.

Также такие специалисты любят поочередно вызывать сотрудников на профилактические беседы, с обязательным направлением лампы в лицо, историями про то, что все твои подельники давно раскололись, и предложением тайком снимать корпоратив на видео и пересылать в СБ, после чего они почему-то увольняются.

— Какие задачи решает Служба безопасности?

— Она отвечает за обеспечение собственника бизнеса объективной информацией о его компании, партнерах, конкурентах и за прогнозирование, выявление рисков и ликвидацию их последствий, минимизацию затрат по их устранению.

Служба безопасности в компании должна, прежде всего, нести образовательную функцию, то есть обучать и в дальнейшем контролировать соблюдение согласованных с собственником мер корпоративной безопасности.

— Как специалист по корпоративной безопасности добивается их реализации?

— Один из методов — это обучение ключевых менеджеров компании эффективному выполнению своей работы с соблюдением нормативных требований и применением достаточных мер безопасности.

Также поможет внедрение элементов риска менеджмента, то есть формирование у руководства компании и сотрудников всех уровней культуры работы с рисками.

Еще можно внедрить системы комплаенс-контроля и ввести режимы защиты информации (коммерческая тайна, персональные данные).

Это основные методы, обратите внимание, если ваш начальник СБ не оперирует этими понятиями, то он также как и ЧОП не имеет ничего общего с корпоративной безопасностью.

— Есть ли какая-то инструкция по применению СБ?

— Сложно дать исчерпывающий перечень мер, задач и способов их реализации, так как в каждом конкретном случае применяются те или иные формы и методы работы СБ.

Тем не менее, обозначу некоторые рекомендации.

Первое. Подбор руководителя СБ должен осуществляться собственником лично, важно полностью исключить аффилированность с генеральным директором и главбухом.

Второе. Руководитель СБ (должность может называться как угодно) должен быть зависим только от собственника (прием на работу, увольнение, зарплата, премирование и прочие моменты), иначе зачем он вообще нужен.

Третье. Понимание бизнес-процессов компании — это минимальная база специалиста по безопасности. Если этого нет, платить ему точно не за что.

Четвертое. Без построения системы комплаенс-контроля деятельность вашей службы безопасности будет иметь хаотичный характер.

Пятое. Служба безопасности должна проводить ежеквартальный аудит системы корпоративной безопасности с составлением соответствующего заключения, карты рисков (ее актуализации) и выработкой мер по устранению выявленных недостатков.

Шестое. Проработайте со специалистом по безопасности кризисные сценарии (блокировка счетов, обыск, рейдерский захват и т.д.) на основании этого должны быть соответствующие планы реагирования.

Важно понимать, что нет универсального рецепта и тем более человека, который за счет своих талантов устранит все риски и на все времена.

Бизнес — это целая череда случайных событий, под которые мы все так или иначе пытаемся подстроиться. Чем лучше это получается, тем больше удается заработать. А система корпоративной безопасности всего лишь с определенной долей вероятности позволяет эти события спрогнозировать и начать заранее к ним готовиться.

— Алексей, расскажите, пожалуйста, о практике применения стороннего аудита

— Состояние корпоративной безопасности в компании определяется путем проведения аудита. В современной практике аудита выделяется две основные разновидности: внутренний и внешний. Внутренний аудит проводится собственными силами компании, то есть службой безопасности, а внешний — силами сторонней организации.

В первом случае основная цель состоит в выявлении новых и актуализация ранее известных рисков. При этом важно, чтобы сотрудник, ответственный за его организацию, обладал необходимыми знаниями и опытом его проведения. По результатам составляется заключение, вносятся корректировки в карту рисков.

Во втором — произвести оценку эффективности системы мер корпоративной безопасности. То есть оцениваются: система выявления рисков, полнота и правильность их оценки, а также механизмы обратной связи во всех производственных цепочках; юридическая, экономическая, кадровая, информационная, физическая защищенность компании; и компетентность службы безопасности.

При этом важно, чтобы порядок проведения как первого, так и второго вариантов аудита имел четкую структуру и не носил хаотичный характер.

Источник

Безопасность в современных корпорациях

Предисловие

Я работаю разработчиком в одной Бо-о-о-ольшой компании. Проникновение во внутренний контур – лакомый кусочек для мошенников. В компании, естественно, существует служба безопасности. Но, то, как работает служба безопасности и эффективность её работы у меня вызывает сомнения.

В этой статье я хочу поделиться своими размышлениями и призвать к диалогу на тему того, как должна работать современная служба безопасности и чего от нее ждут.

далее СБ – служба безопасности

Отказ от ответсвенности

Я не хочу обидеть сотрудников СБ, и у меня нет к ним личной неприязни, мести и умысла очернить их. Более того, я уважаю их работу, считаю её важной и очень ответственной. Я выражаю свое мнение, которое может быть ошибочным и субъективным

Они и Мы

К “безопасникам” служащие компании обычно относятся как к крайне назойливому и мешающему нормальной работе отделу. Отношение распределяется от пофигистического до крайне негативного. Даже если сотрудник понимает важность СБ, то СБ все равно будет стоять для него где-то там и “мешать” двигаться вперед. Т.е. идет постоянное разделение на “Они и Мы”.

1+1=негатив

Давайте попробуем разобраться, почему такое отношение к СБ складывается?

Начнем с самого начала. Работать с СБ приходится ещё до того, как ты первый раз увидишь хоть одного сотрудника СБ. Для того, чтобы приняли на работу, пересылают анкету и говорят, что нужно пройти СБ. Вопросы в анкете составлены так, что приходится разгадывать их как кроссворд, пытаясь понять, что они означают. При этом уже начинает формироваться негатив, ведь если не так заполнишь, то придется переделывать анкету.

Было бы логичнее попросить человека подготовить необходимые документы для заполнения анкеты и заполнить её либо с сотрудником СБ, либо с HR, который предварительно будет обучен, как правильно заполнять анкету.

Ещё одын

Соответсвенно этому кодексу, даже если приходишь к назначенному времени, то будешь ждать. Тебя встретят так, что будешь рад поскорее отсюда уйти. Обязательно напомнят, что тут все серьезно, а не в игрушки играют. Будут задавать такие вопросы, которые совсем не обязательно задавать, но если на них не ответишь, то явно что-то скрываешь. Исповедь перед священником – это ничто по сравнению с собеседованием с СБ.

Да, несомненно, задача сотрудника СБ при собеседовании крайне сложна и важна, он должен составить четкое представление и выдать вердикт, надежный человек или нет. Ведь если он даст согласие на прием на работу афериста/мошенника, то спрашивать будут в первую очередь с него, иначе за что он зарплату получает?

Главный мой посыл в том, что собеседование должен проводить грамотный психолог, харизматичный, в непринужденной обстановке, как можно менее похожей на допрос.
Если психолог не является хорошим специалистом в области безопасности, то за беседой может наблюдать настоящий специалист и корректировать беседу через зеркало, через микрофон, через монитор … да как угодно.
Возможно, потенциальный сотрудник больше никогда не будет сталкиваться с СБ, кроме как на проходной, и это единственный шанс расположить его к себе.

Не знаю как в других компаниях, но в тех, в которых приходилось сталкиваться с СБ берет обязательный лаг, для того, чтобы принять решение. Об этом обычно, хотя думаю не всегда, предупреждают уже после того, как ты прошёл остальные несколько собеседований. И этот лаг устанавливается для всех одинаковый, видимо для того, чтобы опять дать тебе понять, насколько они заняты, а ты всего лишь один из многих.

Совсем одын

Ну, наконец, ты на работе и хочешь приступить к выполнению обязанностей и тут опаньки, все заблокировано, шаг вправо, шаг влево – расстрел. Перед тобой стоит очень дорогая печатная машинка, а не рабочий инструмент. Нужен доступ, пиши заявку и обоснуй необходимость. Хочешь подключится к Wi-Fi, пиши заявку и обоснуй необходимость.

В зависимости от компании оказывается, что ещё нужно провести кучу согласований для того, чтобы у тебя было настроено рабочее место.

Эта проблема относится скорее, не к СБ, а к организации процесса в самой компании, которая могла бы уже сделать все необходимые формы, заявки для организации рабочего места, до того, как человек придёт на работу.

И понеслась

А теперь оказывается, что для того, чтобы выполнять свои служебные обязанности, тебе приходится постоянно иметь дело с СБ. Разрабатываешь новый функционал – согласуй с СБ, пишешь тесты и нужно подключится к БД – согласуй с СБ, выкатываешь на пром –… ну вы поняли.

Конечно, придется сталкиваться с СБ или нет, зависит от обязанностей, и сотрудничество с СБ должно быть в некоторых случаях постоянным, но при этом процесс обычно никак не автоматизирован.
Например, когда бизнес разрабатывает новый фунционал, презентует его, то сотрудники СБ обязаны присутствовать на нем, вникать в суть и заранее помогать решать проблемы с безопасностью, а не быть тем, кто после того, как все разработано, рубить все на корню.
Если работа сотрудника подразумевает постоянную связь и контакт с СБ, так почему бы не сделать этот процесс таким, чтобы сами сотрудники СБ подключались к процессу по мере необходимости, а не команда бегала к ним, или по крайне мере автоматические уведомления, а не формирование очередных заявок. Т.е. выкатывается новый функционал и СБ получает об этом уведомление, без их одобрения выкатить нельзя, таким образом время на формирование заявок исчезнет.
Тут мой посыл такой, что сотрудник СБ должен быть частью команды, работать наравне со всеми, тогда это не будут “те, кто мешает работать”, а станут “те, кто помогает работать”. Люди наконец будут знать в лицо тех, кто отвечает за безопасность.

Все в сад

Подход СБ к безопасности очень прост: «Первоначально всё всем запретить», разрешать только после разбирательства.
Нет, безусловно, каждый подписывал бумагу о том, что ознакомился с правилами безопасности и готов нести ответственность в случае их нарушения. И правила то были написаны не мелким шрифтом в середине десятистраничного договора (хотя не всегда понятно), и когда подписывал, наверняка никто не торопил и не отвлекал. Но:

Естественно, такой подход крайне эффективен, когда существует тоталитарное государство и за “преступление” идёт суровое наказание, но в корпоративной среде оно не работает.
Есть компании, в которых приходя на работу, ты сдаешь все гаджеты и должен ходить с обычным телефоном. Но, если компания хочет, чтобы там работали молодые специалисты, придется очень сильно мотивировать их, чтобы уговорить их расстаться со своими гаджетами. Но, такое должно применяться только на крайне секретных военных объектах или на объектах, взлом которых представляет угрозу жизни человека, например на атомной электростанции. Да и то, такой подход больше работает на бумаге. Есть у меня один знакомый, который служил в армии на секретных объектах и все равно говорит, что там глаза на это закрывают. Вот вам пример Вирус Stuxnet
Думаю СБ должна действовать не запрещая всё, чтобы люди не думали о том, как обойти запреты для достижения желаемого комфорта в работе, а так, чтобы люди не задумывались о том, что им нужно что-то преодолевать и их могут за это наказать. Установить такие правила, которые устроят всех. Более подробно об этом я напишу ниже.

Сколько классов вы закончили?

Естественно виновата не только и не столько СБ, сколько сотрудники. Банальная неграмотность людей в области безопасности (как кибер, так и обычной) совершает большинство ошибок.
Многие даже не задумываются, что те гаджеты, которые они носят, это очень производительные компьютеры, за которые всего-то 15 лет назад люди могли бы получить состояние. Общая компьютеризация и повсеместная доступность вошла в нашу жизнь крайне быстрыми темпами. Уже выросло поколение людей, которые даже не задумываются о том, что когда-то такого не было.
Да что там говорить про гаджеты. Кругом появляются умные дома и интернет вещей, через которые можно совершать проникновение. Вот один из примеров: WannaCry через кофемашины.
Более того, поверьте мне, существуют люди, которые на полном серьезе считают, что хакеры – это выдумка и страшилка из телевизора.

Конечно, компании проводят тренинги, чтобы устранять информационную неграмотность среди сотрудников; и такая работа формально проводится, но, к сожалению, настолько формально, что по факту её нет. Даже в очень крупной компании, работающей с финансами, для которой информационная безопасность это дело высшего приоритета, дела очень плохи. По моему наблюдению, в маленьких компаниях к этому относятся более строго, порою перегибая палку.
Мне приходилось работать в одной компании, которая занимается производством детских игрушек и без прохождения полиграфа, в эту компанию не брали. Детских игрушек, Карл! Видимо руководство мерило всех по себе, боялись промышленного шпионажа, а о самой компании не без основания ходили слухи о том, откуда у них появляются те или иные новинки.

Вы думаете, что только домохозяйки, секретари и бухгалтера неграмотны в кибер безопасности? Увы, и среди программистов встречаются такие люди, которые совсем не думают об этом. Если бы это было не так, то и историй о взломе не появлялось бы так часто.

Иногда за безопасность приложения отвечает какой-то один отдел или команда, а другие программисты разрабатывают, полагаясь на то, что они защищены. Так сказать, находятся на другом слое приложения. В принципе такой подход в какой-то мере и может быть оправдан, если приложение у вас небольшое и риски взлома приемлемы. Но все равно лично я считаю, что сотрудник СБ должен как минимуму стоять ревьювером каждого релиза.

Но комплексно, я считаю, что должен быть совершенно иной подход. Каждый программист должен не только уметь хорошо разбираться и пройти тесты/курсы по безопасности и, как минимум, знать все самые популярные способы взлома, которые применяются на его языке программирования, но и сама компания должна проводить митапы и тренинги на регулярной основе и не допускать к разработке того, кто не обладает установленным минимумом.

И дело не только в сотрудниках, хакерам зачастую проще взломать систему партнеров интересующей их компании, которая к своей безопасности относится посредственно. ​Хакерская группировка Cobalt

Лох не мамонт, лох не вымрет

Согласно результатам исследований, самым популярным и успешным способом взлома по прежнему остается человек, а не система. Намного проще обмануть недоученного человека, чем взламывать систему, которую разрабатывали специалисты. Журнал Хакер

Огласите весь список, пожалуйста!

Итак, что же получается?

Через сто метров поверните направо

Как-же правильно выстроить процесс корпоративной безопасности?

Во-первых

Нужно сделать ребрендеринг СБ так, чтобы они были частью компании, чтобы каждый мог подходить к человеку из СБ, сидящему где-то недалеко, и попросить его помочь разобраться с непонятным письмом или проконсультироваться по волнующим вопросам безопасности без необходимости писать заявки, и после общения с ними не чувствовать себя униженным.

Во-вторых

Нужно регулярное обучение безопасности внутри компании всех сотрудников, с учетом занимаемой должности и выполняемых обязанностей.
Естественно, что для программиста, который находится на пике цифровых технологий, нужно принципиально другой подход к обучению, чем для секретаря.

В-третьих

Обучение должно быть как можно менее формальным, обучение должно быть интересным, в интерактивной форме, чтобы получившими знаниями хотелось поделится с другими, а не выполнить и забыть.

В-четвертых

Нужно не запрещать, а находить способы, чтобы сотрудники добровольно участвовали в процессе формирования безопасности компании.

Так, например, компания может примитивно предлагать оплачивать антивирусное обеспечение на всех используемых внутри компании гаджетах и системах, на которых выполняется работа сотрудника. Если сотрудник подключается по VPN к сети, так нужно убедиться, что у него «чистое» рабочее место.

Если выход в интернет есть на рабочих станциях, так доступ должен быть открыт и прозрачен, но выполняться в защищенной среде. Так, внутри компании, в которой я работаю, есть такая вещь, как безопасный интернет, специально разработанный браузер, который запускается на удаленной машине и, если что-то пройдет не так, то это будет не на рабочей машине. Я считаю, что такой подход очень перспективный, но работать через такой браузер в текущей реализации крайне неудобно.

Заключение

В современном мире обеспечивать безопасность через запрещение, это крайне неэффективный способ.
Необходим совершенно другой подход, основанный на воспитании сотрудников и совместном взаимодействии каждого сотрудника с СБ
Так как самая большая уязвимость- это человеческая глупость, то только та компания, которая сможет разработать и внедрить систему устранения безграмотности, сможет добиться эффективного способа защиты.

При разработке уровня безопасности, нужно обязательно учитывать комфортные условия работы сотрудников. Если человеку нужен доступ к социальным сетям, то стоит думать не над тем, как запретить ему это делать, а над тем, как предоставить ему возможность безопасно использовать их. Проще обучить сотрудника, чем продолжать раздувать кадры СБ.

Я бы ещё поразмышлял на тему того, как можно организовывать безопасность, но только статья и так получилась слишком большой. Возможно, я продолжу в другой статье, если эта статья будет прочитана популярна.

Источник

Безопасность предприятий: ключевые угрозы и средства защиты

В современном мире информация является значимым ресурсом, ее сохранность и правильное использование являются одними из первоочередных задач для развития организации и производства и снижения уровня разнообразных рисков. Важнейшим актуальным вопросом для предприятия является вопрос информационной безопасности.

В этой статье мы рассмотрим

Что такое информационная безопасность?

InfoSec или информационная безопасность – это набор инструментов и методов, используемых для защиты своей цифровой и аналоговой информации. InfoSec охватывает целый ряд IT-областей, включая инфраструктуру и сетевую безопасность, аудит и тестирование. Он использует такие инструменты, как аутентификация и разрешения, чтобы ограничить несанкционированный доступ пользователей к частной информации. Эти меры помогут вам предотвратить вред, связанный с кражей, изменением или потерей информации.

В чем отличие информационной безопасности и кибербезопасности?

Кибербезопасность и информационная безопасность охватывают различные цели и области, но и имеют некоторые общие черты. Информационная безопасность – это более широкая категория защиты, охватывающая криптографию, мобильные вычисления и социальные сети. Она связана с обеспечением информационной безопасности, используемой для защиты информации от угроз, не связанных с человеком, таких как сбои серверов или стихийные бедствия. В свою очередь, кибербезопасность охватывает только интернет-угрозы и цифровые данные. Кроме того, кибербезопасность обеспечивает защиту необработанных, несекретных данных, в то время как информационная безопасность – нет.

Цели информационной безопасности в организации и на предприятии

Существует три основные цели, защищаемые информационной безопасностью, в совокупности известной как CIA:

Виды информационной безопасности

При рассмотрении информационной безопасности информационной безопасности существует несколько классификаций. Эти классификации охватывают конкретные типы информации, инструменты, используемые для защиты информации, и области, где информация нуждается в защите.

Безопасность приложений

Стратегии безопасности приложений защищают приложения и интерфейсы прикладного программирования (API). Вы можете использовать эти стратегии для предотвращения, обнаружения и исправления ошибок или других уязвимостей в ваших приложениях. Если они не защищены, уязвимости приложений и API могут стать шлюзом для более широких систем, подвергая риску вашу информацию.

Безопасность инфраструктуры

Стратегии безопасности инфраструктуры защищают компоненты инфраструктуры, включая сети, серверы, клиентские устройства, мобильные устройства и центры обработки данных. Растущая связь между этими и другими компонентами инфраструктуры ставит информацию под угрозу без надлежащих мер предосторожности.

Этот риск связан с тем, что подключение расширяет уязвимые места в ваших системах. Если одна из частей вашей инфраструктуры выходит из строя или подвергается риску, все зависимые компоненты также подвергаются воздействию. В связи с этим важной целью обеспечения безопасности инфраструктуры является минимизация зависимостей и изоляция компонентов при одновременном обеспечении возможности взаимодействия.

Облачная безопасность

Облачная безопасность обеспечивает аналогичную защиту безопасности приложений и инфраструктуры, но ориентирована на облачные или подключенные к облаку компоненты и информацию. Облачная безопасность добавляет дополнительные средства защиты и инструменты, чтобы сосредоточиться на уязвимостях, которые исходят от интернет-сервисов и общих сред, таких как общедоступные облака. При использовании облачных ресурсов и приложений вы часто не можете полностью контролировать свои среды, поскольку инфраструктура обычно управляется за вас. Это означает, что методы облачной безопасности должны учитывать ограниченный контроль и принимать меры для ограничения доступности и уязвимости, исходящие от подрядчиков или поставщиков.

Криптография

Криптография использует шифрование, чтобы защитить информацию, скрывая ее содержание. Когда информация зашифрована, она доступна только тем пользователям, у которых есть правильный ключ шифрования. Если у пользователей нет этого ключа, то информация для него недоступна. Команды безопасности могут использовать шифрование для защиты конфиденциальности и целостности информации на протяжении всего ее срока службы, в том числе при хранении и передаче. Однако, как только пользователь расшифровывает данные, они становятся уязвимыми для кражи, разоблачения или модификации.

Для шифрования информации команды безопасности используют такие инструменты, как алгоритмы шифрования или технологии, такие как блокчейн. Алгоритмы шифрования, такие как advanced encryption standard (AES), более распространены, так как существует большая поддержка этих инструментов и меньше накладных расходов на их использование.

Реагирование на инциденты

Реагирование на инциденты – это набор процедур и инструментов, которые можно использовать для выявления, расследования и реагирования на угрозы или разрушительные события. Он устраняет или уменьшает ущерб, причиненный системам в результате атак, стихийных бедствий, системных сбоев или человеческой ошибки.
Обычно используемым инструментом реагирования на инциденты является план реагирования на инциденты (IRPs). IRPs определяют роли и обязанности по реагированию на инциденты. Эти планы также содержат информацию о политике безопасности, содержат руководящие принципы или процедуры действий.

Управление уязвимостями

Управление уязвимостями – это практика, направленная на снижение присущих приложению или системе рисков. Идея этой практики заключается в обнаружении и исправлении уязвимостей до того, как проблемы будут раскрыты или использованы. Чем меньше уязвимостей имеет компонент или система, тем более безопасны ваши данные и ресурсы.
Методы управления уязвимостями основаны на тестировании, аудите и сканировании для обнаружения проблем. Эти процессы часто автоматизируются, чтобы гарантировать, что компоненты оцениваются в соответствии с определенным стандартом и чтобы обеспечить обнаружение уязвимостей как можно быстрее. Другой метод, который вы можете использовать, – это поиск угроз, который включает в себя исследование систем в режиме реального времени для выявления признаков угроз или обнаружения потенциальных уязвимостей.

Аварийное восстановление

Стратегии аварийного восстановления защищают вашу организацию от потерь или повреждений, вызванных непредвиденными событиями. Например, вымогатели, стихийные бедствия или отдельные точки сбоя. Стратегии аварийного восстановления обычно определяют, как можно восстановить информацию, как можно восстановить системы и как можно возобновить операции. Эти стратегии часто являются частью плана управления непрерывностью бизнеса (BCM), разработанного для того, чтобы позволить организациям поддерживать операции с минимальными простоями.

Общие риски информационной безопасности

В вашей повседневной деятельности многие риски могут повлиять на вашу систему и информационную безопасность. Ниже приведены некоторые общие риски, о которых следует знать.

Социальная инженерия включает в себя использование психологии, чтобы обмануть пользователей в предоставлении информации или доступа к злоумышленникам.Фишинг – это один из распространенных видов социальной инженерии, обычно выполняемый с помощью электронной почты. При фишинговых атаках злоумышленники притворяются надежными или законными источниками, запрашивающими информацию или предупреждающими пользователей о необходимости принятия мер. Например, электронные письма могут просить пользователей подтвердить личные данные или войти в свои учетные записи через включенную (вредоносную) ссылку. Если пользователи подчиняются, злоумышленники могут получить доступ к учетным данным или другой конфиденциальной информации.

Расширенные постоянные угрозы(APT) – это угрозы, при которых отдельные лица или группы получают доступ к вашим системам и остаются в них в течение длительного периода времени. Злоумышленники осуществляют эти атаки для сбора конфиденциальной информации с течением времени или в качестве основы для будущих атак. Теракты АПТ совершаются организованными группами, которые могут оплачиваться конкурирующими национальными государствами, террористическими организациями или промышленными конкурентами.

Угрозы инсайдерской информации – это уязвимости, создаваемые отдельными лицами в вашей организации. Эти угрозы могут быть случайными или преднамеренными и включать злоумышленников, злоупотребляющих “законными” привилегиями для доступа к системам или информации. В случае случайных угроз сотрудники могут непреднамеренно делиться или раскрывать информацию, загружать вредоносные программы. При преднамеренных угрозах инсайдеры намеренно повреждают, скачивают или крадут информацию для личной или профессиональной выгоды.

Криптоджекинг, также называемый крипто-майнингом, – это когда злоумышленники злоупотребляют вашими системными ресурсами для добычи криптовалюты. Злоумышленники обычно достигают этого путем обмана пользователей в загрузке вредоносных программ или когда пользователи открывают файлы с включенными вредоносными скриптами.

Распределенный отказ в обслуживании(DDoS). DDoS-атаки происходят, когда злоумышленники перегружают серверы или ресурсы запросами. Злоумышленники могут выполнять эти атаки вручную или через ботнеты, сети скомпрометированных устройств, используемых для распространения источников запросов. Цель DDoS-атаки состоит в том, чтобы помешать пользователям получить доступ к сервисам или отвлечь команды безопасности во время других атак.
Вымогатели используют вредоносные программы для шифрования ваших данных и хранения их для выкупа. Как правило, злоумышленники требуют информацию, чтобы какие-то действия были предприняты, или оплату от организации в обмен на расшифровку данных. В зависимости от типа используемой программы-вымогателя, вы не сможете восстановить зашифрованные данные. В этих случаях вы можете восстановить данные только путем замены зараженных систем чистыми резервными копиями.

Громкие инциденты безопасности в 2019 году

В конце июня были обнародованы подробности о масштабной кампании по кибершпионажу, в рамках которой преступники внедрились в сети крупнейших мировых телекоммуникационных компаний с целью перехвата информации о конкретных лицах. Организатором кампании предположительно являлась связанная с КНР группировка APT10. Злоумышленникам удалось похитить порядка 100 ГБ информации и с помощью подробных данных о вызове (Call Detail Records, CDR) отслеживать передвижения и действия интересовавших их лиц.

Технологии информационной безопасности

Создание эффективной стратегии информационной безопасности требует применения различных инструментов и технологий. В большинстве стратегий используется определенная комбинация следующих технологий.

Брандмауэры – это уровень защиты, который можно применить к сетям или приложениям. Эти инструменты позволяют фильтровать трафик и передавать данные о трафике в системы мониторинга и обнаружения. Брандмауэры часто используют установленные списки разрешенного или не разрешенного трафика и политики, определяющие скорость или объем разрешенного трафика.

Решения SIEM для управления инцидентами и событиями безопасности позволяют вам получать и сопоставлять информацию из разных систем. Такое объединение данных позволяет командам более эффективно обнаруживать угрозы, более эффективно управлять предупреждениями и обеспечивать лучший контекст для расследований. Решения SIEM также полезны для регистрации событий, происходящих в системе, или для составления отчетов о событиях и производительности. Затем вы можете использовать эту информацию для подтверждения соответствия или оптимизации конфигураций.

Стратегии предотвращения потери данных (DLP) включают в себя инструменты и методы, которые защищают данные от потери или модификации. Это включает в себя классификацию данных, резервное копирование данных и мониторинг того, как данные совместно используются в организации и за ее пределами.

Система обнаружения вторжений (IDS) – это инструменты для мониторинга входящего трафика и обнаружения угроз. Эти инструменты оценивают трафик и предупреждают о любых случаях, которые кажутся подозрительными или вредоносными.

Система предотвращения вторжений (IPS) – эти решения реагируют на трафик, который идентифицируется как подозрительный или вредоносный, блокируя запросы или завершая сеансы пользователя. Вы можете использовать IP-решения для управления сетевым трафиком в соответствии с определенными политиками безопасности.

Поведенческая аналитика пользователей (UBA) – решения UBA собирают информацию о действиях пользователей и соотносят их поведение с базовым уровнем. Затем решения используют этот базовый уровень в качестве сравнения с новыми моделями поведения для выявления несоответствий. Затем решение помечает эти несоответствия как потенциальные угрозы.

Блокчейн-кибербезопасность – это технология, которая опирается на неизменяемые транзакционные события. В блокчейн-технологиях распределенные сети пользователей проверяют подлинность транзакций и обеспечивают поддержание целостности.

Решения по кибербезопасности EDR позволяют отслеживать активность конечных точек, выявлять подозрительные действия и автоматически реагировать на угрозы. Эти решения предназначены для улучшения видимости конечных устройств и могут быть использованы для предотвращения проникновения угроз в ваши сети или выхода информации. Решения EDR основаны на непрерывном сборе данных конечных точек, механизмах обнаружения и регистрации событий.

Управление положением облачной безопасности (CSPM) – это набор практик и технологий, которые вы можете использовать для оценки безопасности ваших облачных ресурсов. Эти технологии позволяют сканировать конфигурации, сравнивать средства защиты с эталонными показателями и обеспечивать единообразное применение политик безопасности. Часто решения CSPM предоставляют рекомендации или рекомендации по устранению неполадок, которые вы можете использовать для улучшения своей позиции безопасности.

Источник