Многие компании все еще не вернулись в докарантинный офлайн-режим работы и оставили сотрудников на удаленке. Как обеспечить безопасный доступ к данным в домашней сети? Один из способов — облачные сервисы. Однако исследования показывают, что не все спешат хранить там бизнес-информацию. Директор по информационной безопасности ИТ-холдинга ТalentТech Иван Дмитриев объяснил, как избежать рисков и безболезненно перейти на облачные сервисы.Что останавливает компании от широкого использования облачных хранилищ61% — никто не застрахован от прекращения работы провайдера,49% — отсутствие вменяемой финансовой ответственности поставщика решения за ненадлежащую работу,60% — перспектива передачи ответственных приложений и данных внешним дата-центрам.Последний пункт логичен, но безоснователен. Утечки происходят и во внутренних системах. Просто часто они не получают большой огласки. Облачные провайдеры вкладывают больше ресурсов в информационную безопасность, чем их потенциальные заказчики, потому что это основа их бизнеса. На 1,5-2 тысячи сотрудников в компании-клиенте приходится один специалист по ИБ.Что дает компании переход на облачные сервисыПолучаете доступ к данным с любого устройства. Достаточно всего лишь подключиться к сети.Быстро организуете совместную работу. Например, сервис «Компас» помогает управлять работой команды, устанавливать цели для каждого в связке с глобальными целями компании и отслеживать результаты.Платите только за то место в хранилище, которое используете. При этом не тратитесь на аренду серверов и неиспользуемые ресурсы.Отпадает обслуживание собственной инфраструктуры.Не отвечаете за резервирование и сохранение целостности данных. Это забота облачного провайдераПравила работы с облачным провайдеромЦель облачных сервисов — упростить рабочие процессы компании. Например, сервис Potok за счет сбора всех данных в едином окне ускоряет процесс найма до 45%, как это было при работе с финансовым институтом ДОМ.РФ.Дашборд ДОМ.рф Potok.ioПроверьте, инвестирует ли компания в облачные решения, как обеспечивает безопасность, работает ли в России, есть ли успешные клиентские кейсы и репутация бренда. Например, мы предоставляем изоляцию и криптографическое преобразование данных. Они помогают защитить информацию TalentTech и клиентов компании от несанкционированного доступа со стороны персонала. Проверить это можно только экспертно – за это отвечают специалисты по инфобезопасности и ИТ.Оцените уровень сервиса (SLA): гарантированное время доступности, порядок резервного копирования, обязанность обеспечения доступности информации при форс-мажоре. Опять же, оценивать это должен эксперт по инфобезопасности. Обычно на стороне потребителя есть некий опросник и понимание уровня сервиса, который хочется получить, а также, насколько приобретаемое решение впишется в систему.Проанализируйте риски конфиденциальности и доступности данных при переезде на облачный сервис, а также предложенные провайдером меры управления.Проверьте, соответствуют ли правила провайдера вашим требованиям к ИБ. Поставщик должен обеспечить контроль рисков целостности, конфиденциальности и доступности принадлежащей вам информации. Например, в TalentTech для анализа защищенности используют Qualys, Nessus, App Screener, Supply chain security. Также мы выстраиваем процесс безопасной разработки и CI/CD-процессы.Убедитесь, что ЦОД сервиса находится в России и соответствует уровню защищенности, указанном в ФЗ-152 и приказе ФСТЭК № 2. Для подтверждения у компании должен быть свой аттестат или заключение от лицензиата ФСТЭК.Цифровые навыки сотрудников – залог успехаПри работе в офисе достаточно было настроить правила на уровне корпоративной сети. Теперь, когда все дома, нужно искать другие способы защитить данные, потому что информация хранится у сотрудников. Пока еще нет универсальных советов или способов защитить устройства персонала от киберугроз. Но есть несколько правил, которые помогут снизить шансы отдать данные злоумышленникам. Организуйте с сотрудниками встречу или напишите подробный мануал по основам информационной безопасности, где расскажете:о возможных угрозах,почему нельзя вводить рабочие данные на сторонних сайтах,как выглядят фишинговые письма,почему нельзя скачивать антивирус из первой ссылки поиска,зачем нужен антивирус, сложные пароли и двухфакторная авторизация.С помощью технологий адаптивного тестирования можно проверить уровень владения цифровыми навыками и основами кибербезопасности. Например, сеть “Магнит” во время карантина 2020 использовала решение TalentTech.Обучение для оценки знаний команды. Помимо основ кибербезопасности, оценивалось владение статистическим аппаратом, Excel и удаленной коммуникацией.Инструкция для отделов информбезопасностиПропишите порядок доступа к информации.Используйте облачные сервисы в enterprise-версии. В ней гораздо больше механизмов ИБ.Купите сертификат удостоверения подлинности соединения и установите доверенные сертификаты на все сервисы, которыми сотрудники пользуются удаленно. Объясните им, что если соединение предупредит о недостоверности, то его нужно немедленно разорвать.Настройте контроли с максимальной прозрачностью. У вас должна быть возможность в любой момент узнать, кто и откуда подключился, с помощью чего и легитимно ли работает.Организуйте дежурство специалистов по информационной безопасности и перераспределите зоны ответственности и мониторинга.Требуйте, чтобы сотрудники регистрировались на корпоративных облачных ресурсах только с помощью рабочих имейлов. Исключите личные электронные адреса и телефоны. Иначе рискуете потерять доступ к собственной информации.Следите за настроиками облачных сервисов. Доступ всегда должен быть только по белым спискам.Разработайте минимально необходимый и достаточный чек-лист требований для используемых удаленно сервисов. Это позволит не потерять оперативность при внедрении и контролировать большинство рисков.Невозможно быть уверенным на 100% в защищенности. Но даже эти небольшие правила помогут снизить риски утечки, кражи и потери данных.
Все-таки сетевые задержки до инфраструктуры облачных ЦОД еще очень велики по сравнению с локальными.
Особенно, если облако в европейской части, а потребитель ресурсов много восточнее.