ТМТ

Найти и обезвредить. Первые шаги к бесперебойным процессам

23 июня

6 мин

Поделиться в соцсетях

345345.png
Кибербезопасность

Ключ к цифровой трансформации бизнеса — бесперебойность процессов. Это особенно важно из-за распространённого гибридного формата работы (совмещения классического и домашнего офиса), замены софта на российские аналоги, а также для обеспечения безопасности. Компаниям необходимо действовать на опережение: спрогнозировать, в какой точке может произойти сбой, и своевременно его предотвратить, а также знать, как действовать во время внештатной ситуации. Чтобы делать это эффективно, нужно провести детальную инвентаризацию цифровых активов, а также не пренебрегать профилактическими мерами кибербезопасности. Компания по управлению цифровыми рисками BI.ZONE подготовила пошаговую инструкцию, как компаниям вести учёт IT-активов и начать выстраивать бесперебойные бизнес-процессы.

Шаг 1. Собрать информацию обо всех цифровых активах компании

Проектный опыт BI.ZONE показывает, большинство компаний контролируют активы бухгалтерского и управленческого учёта и упускают из виду информационные активы при инвентаризации. Например, в сетевом хранилище могут быть созданы резервные копии конфиденциальных данных без разграничения доступа во внутренней сети. Тогда их может скачать и распаковать любой сотрудник, даже тот, у кого нет прав доступа к подобной информации. Это может привести к нежелательным последствиям.

Обычно информацию обо всех цифровых активах собирают аналитики компании совместно с представителями подразделений и сотрудниками IT- и кибербезопасности. Если в организации нет штатных бизнес-аналитиков, можно пригласить внешних консультантов. По данным BI.ZONE, это позволит сэкономить 20% бюджета.

20% бюджета

позволяет сэкономить передача задач на аутсорсинг

Дополнительные сведения о значимых данных получают через анализ бизнес-процессов компании. Эта информация понадобится, чтобы определить ценность актива для компании.

Как собирать информацию о текущих бизнес-процессах

  • Определить ключевые операции в основных бизнес-процессах.
  • Выявить все виды данных, которые обрабатываются, хранятся и передаются в этих операциях.
  • Инвентаризировать средства и ресурсы, непосредственно участвующие в этих операциях: информационные системы, серверы, автоматизированные рабочие места (АРМ), ПО и сотрудников.
  • Определить активы, которые поддерживают работоспособность основных бизнес-процессов. Это финансы, HR, снабжение, юристы, IT-поддержка, безопасность, а также ресурсы: IT-инфраструктура, каналы доступа, средства защиты информации, внешние ресурсы, системы и сервисы, документация.

Как оформлять полученные данные

Заполнить таблицу с перечнем основных бизнес-процессов и их владельцев. Внести ключевые операции по этим процессам, а также следующую информацию:

о бизнес-данных и местах их хранения;

информационных системах обработки бизнес-данных;

автоматизированных рабочих местах (АРМ);

сотрудниках, обрабатывающих данные;

ресурсах и системах, которые поддерживают работоспособность бизнес-процессов.

Одна из главных ошибок на этом этапе — бюрократический язык документации. Опыт BI.ZONE показывает: лучше отказаться от чрезмерной формальности в пользу «человеческого языка», объединить все документы в доступный гайд, к которому можно обратиться в любой момент. Обновлять такую информацию обязательно при изменении бизнес-процесса, реорганизации подразделений и внедрении или модернизации информационных систем, а раз в год-два необходимо проверять актуальность сведений.

Шаг 2. Оценить значимость цифровых активов

На основе предыдущего шага важно приоритезировать ресурсы: выстроить от наиболее значимых к менее значимым, а также выделить те, которые больше всего влияют на функционирование компании.

Как это сделать? Основной критерий — ценность для бизнеса. Есть несколько подходов — от субъективного понимания влияния на услуги, продукцию и клиентов (в этом помогает привязка активов к бизнес-процессам и операциям) до попыток определять ценность через размер ущерба. Наиболее эффективным зарекомендовал себя метод BIA.

Что такое BIA

Business impact analysis — анализ критичности последствий для бизнеса в случае реализации различных рисков, в том числе непредвиденных. С его помощью компания может оценить, как скажется на её работе отсутствие какой-либо составляющей бизнес-процесса с течением времени, и найти главные болевые точки. Также учитывается, насколько будут критичны жёсткость нормативных и регуляторных санкций, а также возможен ли вред окружающей среде, жизни и здоровью людей. После BIA разрабатывается план обеспечения непрерывности бизнес-процессов, чтобы снизить простои и связанные с этим потери времени и денег.

Критерии оценки зависят от конкретной компании и модели бизнеса. Для разных организаций последствия могут иметь разную ценность: одной компании будет важна репутация, другой — непрерывность производства, третьей — финансовая составляющая. Если сложно выбрать между несколькими равноценными ресурсами, то на практике обычно всё решается естественным путём: работа распределяется на ответственного сотрудника, а он ставит её в свой план и приоритизирует в зависимости от других задач.

Оценка значимости цифровых активов позволяет понять, в какой точке бизнес-процесса возможен серьёзный сбой. Этот шаг рекомендуется повторять, если произошли изменения в бизнес-процессах, а актуализировать — раз в один-два года. Данной операцией обычно занимается бизнес-аналитик или сотрудник IT-службы, а за достоверность результата отвечает владелец процесса.

Шаг 3. Обеспечить защиту цифровых данных

Когда компания определила, на каких активах акцентировать внимание, ей нужно обеспечить защиту этих технологий и сервисов. Требования к мерам защиты определяют сотрудники службы кибербезопасности, а доступность обеспечивают администраторы службы кибербезопасности или IT-отдела.

Ниже приведены общие рекомендации. Для полноценной защиты конкретной организации нужно проводить более глубокий анализ рисков и выстраивать систему кибербезопасности.

Использовать VPN с двухфакторной аутентификацией на корпоративных устройствах.

Внедрять средства защиты от цифровых угроз.

Своевременно обновлять программное обеспечение сервисов, которые использует компания, подходя к процессу осознанно. Принять решение об обновлении поможет алгоритм от экспертов BI.ZONE.

Разрабатывать и обновлять политики безопасности и инструктажи по реагированию на инциденты для пользователей и администраторов систем.

Регулярно оценивать мощности, которые необходимы для непрерывной работы удалённого офиса, особенно в моменты, когда все сотрудники подключаются к ресурсам компании.

Проводить регулярные аудиты безопасности систем.

Обучать персонал безопасной работе в сети (например, делать вебинары, создать рассылку с рекомендациями от специалистов по кибербезопасности) и проводить оценку их цифровой грамотности.

Повторять эти меры нужно, если в процессах произошли существенные изменения или обнаружились неустранимые уязвимости. Раз в год их необходимо актуализировать, как правило, после пересмотра инвентаризации активов и переоценки рисков.

1 раз в год

нужно актуализировать меры по киберзащите 

Шаг 4. Внедрить меры профилактики безопасности

Для обеспечения бесперебойных процессов необходимо не только находить уязвимые места и защищать сервисы компании, но и уметь работать с последствиями: извлекать уроки и внедрять меры профилактики, чтобы инциденты больше не повторялись.

Что делать, если инцидент уже произошёл?

Обратиться к компании, которая занимается реагированием на инциденты кибербезопасности. Эксперты помогут всё сделать правильно и быстро, подскажут, как избежать повторения инцидента в будущем.

Если нет возможности обратиться к экспертам, собрать как можно больше информации: что именно и когда произошло, какие системы пострадали, какие меры приняты, и зафиксировать это в письменном виде (хорошо, если в компании уже есть шаблон отчёта об инциденте).

Минимизировать последствия: изолировать системы, которые могут быть заражены, убедиться, что инцидент не распространился на всю инфраструктуру, устранить причину и выяснить, возможно ли восстановить затронутые инцидентом системы.

Делать резервные копии важной информации, чтобы иметь возможность быстро восстановить данные и поддерживать непрерывность деятельности в случае инцидента. Для этого можно использовать как локальные хранилища, так и облачные сервисы.

Проводить учебные атаки и имитировать кризисные ситуации для профилактики возможных инцидентов и повышения устойчивости к ним. За этим можно обратиться к внешним экспертам. Они смоделируют нападение злоумышленника, соберут аналитику, дадут рекомендации, как повысить устойчивость персонала к цифровым угрозам, а также помогут проверить устойчивость процессов и систем к сбоям.

Чтобы повышать устойчивость сотрудников к методам фишинга и социальной инженерии, эффективно проводить обучающие мероприятия как минимум один раз в месяц, а для поддержания навыка — до 2—3 раз в год. А чтобы предотвратить технические сбои и отказы систем, учения по проверке непрерывности бизнеса рекомендуется проводить хотя бы один раз в год для каждой системы. Однако это необходимо делать только после тщательной подготовки и тренингов персонала. Иными словами, система должна быть технически способна восстановиться за допустимое время простоя бизнес-процесса, чтобы учения не обернулись критическими последствиями для компании.

1 раз в месяц

нужно проводить обучающие мероприятия для повышения устойчивости сотрудников к фишингу и социальной инженерии

Заключение

Обеспечение бесперебойных процессов — комплексная задача, она требует вовлечения многих отделов компании. От того, как организация проведёт инвентаризацию активов и внедрит профилактические меры защиты, зависит устойчивость её инфраструктуры. Также стоит понимать, что все приведённые выше рекомендации носят общий характер, так как более конкретные меры зависят от каждой организации, специфики её деятельности и картины рисков.

Кибербезопасность

Поделиться в соцсетях

Статья была вам полезна?

Да

Нет