ИБ-аутсорсинг - как выявить проблемы с инфобезом без штата ИБ-специалистов и покупки ПО
В каждой компании есть ценная информация – будь то ПДн, коммерческая тайна, уникальные чертежи, описания технологического процесса или клиентские базы. Их защита – это защита бизнеса от финансовых и репутационных потерь. Однако не все компании могут обеспечить полноценную безопасность данных из-за нехватки средств или специалистов.
В этой статье расскажем, как компаниям при ограниченном бюджете и дефиците ИБ специалистов выявить проблемы с защитой данных с помощью сервиса ИБ.
Что такое ИБ-аутсорсинг
Аутсорсинг информационной безопасности – комплексная услуга, в рамках которой заказчик получает специализированное ПО, внештатного ИБ-аналитика, мониторинг ситуации в компании. Это альтернатива штатной службе ИБ для тех компаний, у которых нет возможности выстраивать защиту самостоятельно.
Контроль осуществляется с помощью 3 защитных решений:
1. DLP «СёрчИнформ КИБ» для борьбы с утечками, мониторинга и анализа данных.
2. DCAP «СёрчИнформ FileAuditor» для аудита файловой системы, поиска нарушений прав доступа и отслеживания изменений в критичных данных.
3. Системы профилирования сотрудников «СёрчИнформ ProfileCenter» для оценки психологической атмосферы в коллективе и обнаружения деструктивного поведения.
ИБ-аналитик берет на себя мониторинг угроз и реагирование на них, расследование инцидентов и отчеты перед заказчиком. Опыт оказания услуги компанией «СёрчИнформ» показал, что специалисты выявляют ИБ-инциденты в 100% компаний: попытки сливов встречаются в среднем раз в неделю, мошеннические схемы обнаруживаются раз в месяц.
ИБ-аутсорсинг обеспечивает
- Защиту клиентских баз, ПДн, другой конфиденциальной информации компании.
- Выявление корпоративного мошенничества (откаты, фирмы-боковики, работа на конкурентов и др.).
- Анализ эффективности персонала (подработки на стороне, игры и развлечения на рабочем месте, саботаж и т.п.)
- Оценку кадровых рисков и лояльности коллектива
- Выполнение требований регуляторов: 152-ФЗ, требования ФСТЭК и др
Кому подходит ИБ-аутсорсинг?
ИБ-аутсорсинг подходит и активно используется как компаниями малого и среднего бизнеса (от 30 до 500 ПК под защитой), так и крупными организациями (более 500 ПК).
Малому и среднему бизнесу не всегда хватает ресурсов для покупки ПО и найма ИБ-специалистов. Из-за чего минимальные задачи по информационной безопасности переходят ИТ-отделу или ложатся на плечи собственника бизнеса. Они используют антивирус или встроенные в ОС средства администрирования, которые закрывают только базовые риски ИБ.
- Во-первых, сказывается дефицит времени. У ИТ-специалистов может не быть даже 2-х лишних часов, чтобы заниматься инфобезом.
- Во-вторых, не хватает специализированных знаний, так как ИТ-специалист ≠ ИБ-специалист. В ИБ-системах нет «волшебной кнопки», которая позволила бы с помощью одного нажатия выявить и решить проблемы.
- В-третьих, если компания сотрудничает с крупными организациями, является подрядчиком, то она должна придерживаться некоторых обязательных условий в части ИБ. Например, обеспечивать сохранность конфиденциальной информации, которую получает от второй стороны.
Крупным компаниями также бывают нужны дополнительные специалисты вне штата.
- Во-первых, чтобы усилить собственный ИБ-отдел: получить помощь в расследовании инцидентов и повысить экспертизу. Аналитик из аутсорсинговой компании работает с несколькими организациями, благодаря чему имеет большой опыт в решении разных сложных ситуаций, расследовании разноплановых нарушений.
- Во-вторых, чтобы разгрузить отдел и передать рутину в виде мониторинга и отчетности внешнему специалисту
- В-третьих, закрыть уязвимости, которые могли образоваться внезапно: из-за увольнения специалиста, возросших угроз в период кризиса и т.п.
- В-четвертых, если у компании еще нет внутренней ИБ, дополнительный специалист и ПО позволят понять, зачем она нужна и как с ней работать
Как работает сервис?
Основная работа происходит на стороне ИБ-аналитика, который занимается всеми вопросами внутренней информационной безопасности. От заказчика требуется передать вводные по задачам и договориться, с кем и когда нужно связываться по инцидентам.
То есть, активная вовлеченность клиента происходит при подготовке к внедрению сервиса и при просмотре отчетов по инцидентам. В остальном, вся работа на ИБ-аналитике.
Аутсорсер забирает на себя:
- Установку, настройку и администрирование DLP-системы.
- Написание политик безопасности и их донастройку под новые запросы в ходе работы с системой.
- Ежедневный мониторинг на предмет утечек информации и оперативную блокировку
- Ежедневное выявление противоправных действий сотрудников в ИТ-инфраструктуре (установка и удаление нерегламентированного ПО, кража оборудования).
- Ежедневный мониторинг для выявления признаков мошенничества со стороны сотрудников (откатов, боковых схем).
- Обнаружение нарушений трудовой дисциплины, саботажа, прогулов и других нарушений кадровой безопасности.
ИБ-аналитик беспристрастно оценивает инциденты, исходя из вводных данных, полученных от заказчика. При выявлении подозрительных действий сотрудника вся информация передается компании-клиенту, который решает, какие кадровые меры будут приняты в конкретной ситуации. ИБ-аналитик не тревожит клиента по любому вопросу. Такие нарушения дисциплины, как затянувшиеся перекуры сообщаются в рамках регулярного отчета.
В бухгалтерии было обнаружено неактивное время: 2,5 часа от 8
рабочих. Анализ показал, что сотрудники тратят их на утренний
кофе, за час до обеда начинают чтение новостей, а после него –
получасовое общение. Еще полчаса компьютер бездействует перед
выходом с работы.
ИБ-аналитик собрал данные в регулярном отчете и отправил
заказчику. Последний сделал свои выводы и решил, что эти
нарушения для него критичны, так как «время – деньги», после
чего напомнил сотрудникам об их обязанностях в рабочее время.
Если сотрудник тратит на нерабочие вопросы всего по 3 часа
в день, то за месяц работодатель в регионе «подарит» одному
бухгалтеру 20 278 рублей в месяц, а московский – 32 262 рублей.
Главному еще больше: 30 345 рублей в регионе и 46 765 рублей
в Москве.
Кроме поиска инцидентов, аналитик может провести их расследование. Специалист представит нейтральную сторону, так как не знает коллектив лично, и заказчик может быть уверен в объективной оценке ситуации.
Аналитик увидел, что в компании клиента менеджер проекта
выгружал в облако большой объем разнородных данных: чертежи,
описания продуктов, результаты конкурентного анализа, договоры
поставок сырья и др. Информация была передана руководству,
начали разбираться.
Сотрудник объяснил, что не укладывается в сроки и работает
в свободное время с личного компьютера. Тогда аналитик
обратился к другим отчетам контроля рабочего времени и увидел,
что ежедневно почти два часа сотрудник тратит на соцсети. Значит,
проблема не в перегрузке.
По согласованию с заказчиком было решено усилить контроль. Так
выяснили, что менеджер общается с конкурентами о продуктах,
которые еще не вышли в массовое производство. Оказалось,
что данные, которые он копирует в облако, нужны ему не для
дополнительной работы над проектом в свободное время, а для
продажи конкурентам.
Какие задачи поставить ИБ-аналитику?
Контроль новых сотрудников: Во-первых, кто-то из них может быть «засланным казачком». Главная задача таких сотрудников – получить конфиденциальную информацию и «слить» ее конкурирующей фирме. Во-вторых, сотрудник может пройти несколько этапов собеседований, засомневаться в выборе места или своих способностях. В момент сомненья – начать поиск другой работы и отправку резюме по компаниям. Так компании теряют время и средства при найме и обучении персонала.
Контроль сотрудников, которые планируют увольнение: Об их планах может стать известно заранее: ИБ-специалист с помощью системы видит, кто размещает резюме на сайтах трудоустройства, получает на почту вакансии и предложения о собеседовании. В компании же могут посмотреть, насколько ценный сотрудник планирует ее покинуть, и скорректировать работу с ним: поднять заработную плату, перераспределить обязанности, повысить должность. Если же удерживать специалиста не планируется, то его можно поставить на особый контроль. Ограничить доступ к критичным данным (смотреть можно, копировать или пересылать – нет). Мониторить работу перед уходом: контакты с другими сотрудниками, текущие задачи и пр. Это позволит снизить риски, которые возникают при увольнении: кражу данных, мелкое воровство, сговоры с коллегами, потерю других ценных кадров и прочие нарушения.
Контроль тех, кто уже нарушал политики ИБ или сделал первый шаг к этому: Например, загрузили часть клиентской базы себе на компьютер или получили доступ к документу, который им не нужен.
Сотрудник промышленной компании, который не имеет доступа
к чертежам, отсканировал чертеж оборудования и отправил себе
на личную почту. ИБ-аналитик провел расследование данного
инцидента. Выяснили, что сотрудник решил помочь знакомому
с подготовкой к собеседованию в компанию на должность
конструктора и показать чертежи. Кроме того, оказалось, что
HR-менеджеру известно о ситуации, но предупредить об этом
руководство компании он не собирался. С сотрудниками провели
беседу.
Контроль специалистов, контактирующих с конкурентами: Актуально, если в компании были случаи, когда сотрудники переходят работать к конкурентам и через некоторое время возвращаются обратно. Следует предоставить аналитику список с ФИО таких специалистов, рабочий номер телефона и почту, а также информацию о том, с кем они контактируют.
Контроль ключевых сотрудников: Например, топ-менеджмента или специалистов, которые отвечают за ресурсы компании. Эти сотрудники могут перейти черту и стать участниками или инициаторами мошеннических схем, воровства, подделки документов и т.п. Вместе с этой группой стоит контролировать сотрудников, которые работают с персональными данными, коммерческой тайной и т.п.
В строительной организации был объявлен тендер на закупку кабеля.
Победил хорошо знакомый компании и проверенный поставщик.
Однако внимание ИБ-аналитика привлекла подозрительная
переписка, в которой менеджер снабжения обсуждала с внешним
контактом условия тендера и совместный поход в ресторан.
Оказалось, что уже долгое время сотрудница помогает поставщику
побеждать в тендерах, за что получает финансовую «благодарность».
Мониторинг эффективности рабочего времени: В среднем сотрудники тратят впустую от 1 до 3 часов в день. При средней зарплате в компании в 50 тыс. руб., это ежемесячные убытки в 12 500 руб. на 1 сотрудника. Т.е. 1,25 млн руб., если таких сотрудников 100. Контроль поможет увидеть процент неэффективного использования рабочего времени, например, за счет переизбытка людей на местах, и поменять штатное расписание. Если же сотрудники перерабатывают, то можно проанализировать причины и при необходимости расширить штат.
Какие каналы связи взять под контроль?
DLP «СёрчИнформ КИБ» контролирует максимум возможных каналов перехвата информации, поэтому ограничений у заказчика ИБ-аутсорсинга фактически нет. Защитное ПО контролирует почту, облака, мессенджеры, принтеры, USB-накопители и проч. Даже если стоит задача контролировать только некоторые каналы, мы рекомендуем ставить на контроль все – ведь утечка может произойти откуда угодно.
Один из менеджеров отдела продаж занимался поиском транспорта
для доставки товара покупателю. Из переписок было выявлено,
что сотрудник вступил в сговор с компанией-перевозчиком. Он
попросил завысить стоимость и, соответственно, хотел получить
откат.
Это было сделано в несколько завуалированной форме, тем не
менее система распознала этот «камуфляж» и выдала оповещение
об инциденте. Провели расследование, после чего с сотрудником
пришлось расстаться.
Что можно найти?
Типичная ситуация в средней компании: за первый месяц в организации выявлено более 100 инцидентов.
- 22 факта использования личной почты для корпоративных коммуникаций или передачи корпоративных документов
- Выявлен 21 сотрудник с нерационально потраченным рабочим временем от 10 до 100 часов в месяц (нерабочая активность, просмотр развлекательного контента, онлайн-игры)
- Выявлено 18 сотрудников, находящихся в активном поиске работы.
- 15 фактов обсуждения руководства и коллег в негативном ключе.
- 12 фактов сторонней деятельности сотрудников.
- 10 инцидентов «группы риска»: зависимость от алкоголя, личные взаимоотношения и др.
- 7 фактов обсуждения зарплат, недовольства выплатами, бонусами, условиями.
- 2 факта пересылки логина и пароля от корпоративной учетной записи коллегам.
- 1 инцидент, связанный с потенциальным воровством оборудования.
ИБ-аутсорсинг позволяет снизить трудовые и финансовые затраты
Компания может заказать услугу на определенный период, например, на месяц или полгода. При этом первый месяц использования – бесплатный. Инциденты мы выявляем в течение первых недель использования услуги. Например, в организации одного из клиентов ИБ-аутсорсинга всего за 10 дней работы было найдено 15 инцидентов. Большинство из них касалось нарушений трудовой дисциплины – просмотр фильмов, посещение сайтов с объявлениями о купле-продаже, общение на сайтах знакомств в рабочее время.
В дальнейшем, в первые 1,5 года использования ИБ-аутсорсинг выйдет дешевле, чем покупка и внедрение защитных решений.
Что в итоге?
ИБ-аутсорсинг позволяет выявить проблемы внутренней информационной безопасности без найма штата ИБ-специалистов и покупки дорогого защитного ПО. Каждая компания решает для себя, что делать с этими данными.
Пробный период – возможность выявить риски и угрозы внутренней безопасности, а также понять, как работает сервис, защитное ПО и сам ИБ-аналитик, конкретизировать свои требования, цели, потребности. Для больших результатов и поддержания порядка в компании лучше использовать услугу дольше. Так как со временем люди расслабятся, забудутся требования к защите коммерческой тайны и персданных, а также правила по парольной гигиене и рабочему этикету, и в компании возобновятся инциденты.
Попробуйте один месяц ИБ-аутсорсинга бесплатно – переходите на наш сайт, чтобы начать тестовый период и выявить первые инциденты.
Бесплатный месяц — прям подарок. Покажу статью руководству, надеюсь, потом под молотки за активность на VC в рабочее время не попаду ;)
Скажите, что изучали тему, и случайно попали на такую классную статью) авторам спасибо 🙏
будет фора, а так да, это действительно хорошая возможность для компании бесплатно понять, какая ситуация с безопасностью внутри компании.
ИБ-аутсорсинг - как выявить проблемы с инфобезом без штата ИБ-специалистов и покупки ПО — Павел Карасев на vc.ru
• В каждой компании есть ценная информация, которую нужно защищать от финансовых и репутационных потерь.
• Не все компании могут обеспечить полноценную безопасность данных из-за нехватки средств или специалистов.
• ИБ-аутсорсинг - комплексная услуга, в рамках которой заказчик получает специализированное ПО, внештатного ИБ-аналитика, мониторинг ситуации в компании.
• Контроль осуществляется с помощью 3 защитных решений: DLP, DCAP, системы профилирования сотрудников.
• ИБ-аналитик берет на себя мониторинг угроз, реагирование на них, расследование инцидентов и отчеты перед заказчиком.
• Опыт оказания услуги компанией «СёрчИнформ» показал, что специалисты выявляют ИБ-инциденты в 100% компаний.
• ИБ-аутсорсинг обеспечивает защиту клиентских баз, ПДн, конфиденциальной информации компании, выявление корпоративного мошенничества, анализ эффективности персонала, оценку кадровых рисков и лояльности коллектива, выполнение требований регуляторов.
• ИБ-аутсорсинг подходит для компаний малого и среднего бизнеса, а также крупных организаций.
Александр, спасибо, все по делу.
Сначала прочитал: «как выявить проблемы с инфобизнесом» 😂
да, слово скомпрометировано