"Облачные" технологии: риски, мифы и инструкции по безопасности
Многие компании все еще не вернулись в докарантинный офлайн-режим работы и оставили сотрудников на удаленке. Как обеспечить безопасный доступ к данным в домашней сети? Один из способов — облачные сервисы. Однако исследования показывают, что не все спешат хранить там бизнес-информацию.
Директор по информационной безопасности ИТ-холдинга ТalentТech Иван Дмитриев объяснил, как избежать рисков и безболезненно перейти на облачные сервисы.
Что останавливает компании от широкого использования облачных хранилищ
- 61% — никто не застрахован от прекращения работы провайдера,
- 49% — отсутствие вменяемой финансовой ответственности поставщика решения за ненадлежащую работу,
- 60% — перспектива передачи ответственных приложений и данных внешним дата-центрам.
Последний пункт логичен, но безоснователен. Утечки происходят и во внутренних системах. Просто часто они не получают большой огласки.
Облачные провайдеры вкладывают больше ресурсов в информационную безопасность, чем их потенциальные заказчики, потому что это основа их бизнеса. На 1,5-2 тысячи сотрудников в компании-клиенте приходится один специалист по ИБ.
Что дает компании переход на облачные сервисы
- Получаете доступ к данным с любого устройства. Достаточно всего лишь подключиться к сети.
- Быстро организуете совместную работу. Например, сервис «Компас» помогает управлять работой команды, устанавливать цели для каждого в связке с глобальными целями компании и отслеживать результаты.
- Платите только за то место в хранилище, которое используете. При этом не тратитесь на аренду серверов и неиспользуемые ресурсы.
- Отпадает обслуживание собственной инфраструктуры.
- Не отвечаете за резервирование и сохранение целостности данных. Это забота облачного провайдера
Правила работы с облачным провайдером
- Проверьте, инвестирует ли компания в облачные решения, как обеспечивает безопасность, работает ли в России, есть ли успешные клиентские кейсы и репутация бренда. Например, мы предоставляем изоляцию и криптографическое преобразование данных. Они помогают защитить информацию TalentTech и клиентов компании от несанкционированного доступа со стороны персонала. Проверить это можно только экспертно – за это отвечают специалисты по инфобезопасности и ИТ.
- Оцените уровень сервиса (SLA): гарантированное время доступности, порядок резервного копирования, обязанность обеспечения доступности информации при форс-мажоре. Опять же, оценивать это должен эксперт по инфобезопасности. Обычно на стороне потребителя есть некий опросник и понимание уровня сервиса, который хочется получить, а также, насколько приобретаемое решение впишется в систему.
- Проанализируйте риски конфиденциальности и доступности данных при переезде на облачный сервис, а также предложенные провайдером меры управления.
- Проверьте, соответствуют ли правила провайдера вашим требованиям к ИБ. Поставщик должен обеспечить контроль рисков целостности, конфиденциальности и доступности принадлежащей вам информации. Например, в TalentTech для анализа защищенности используют Qualys, Nessus, App Screener, Supply chain security. Также мы выстраиваем процесс безопасной разработки и CI/CD-процессы.
Цифровые навыки сотрудников – залог успеха
При работе в офисе достаточно было настроить правила на уровне корпоративной сети. Теперь, когда все дома, нужно искать другие способы защитить данные, потому что информация хранится у сотрудников.
Пока еще нет универсальных советов или способов защитить устройства персонала от киберугроз. Но есть несколько правил, которые помогут снизить шансы отдать данные злоумышленникам.
Организуйте с сотрудниками встречу или напишите подробный мануал по основам информационной безопасности, где расскажете:
- о возможных угрозах,
- почему нельзя вводить рабочие данные на сторонних сайтах,
- как выглядят фишинговые письма,
- почему нельзя скачивать антивирус из первой ссылки поиска,
- зачем нужен антивирус, сложные пароли и двухфакторная авторизация.
С помощью технологий адаптивного тестирования можно проверить уровень владения цифровыми навыками и основами кибербезопасности. Например, сеть “Магнит” во время карантина 2020 использовала решение TalentTech.Обучение для оценки знаний команды. Помимо основ кибербезопасности, оценивалось владение статистическим аппаратом, Excel и удаленной коммуникацией.
Инструкция для отделов информбезопасности
- Пропишите порядок доступа к информации.
- Используйте облачные сервисы в enterprise-версии. В ней гораздо больше механизмов ИБ.
- Купите сертификат удостоверения подлинности соединения и установите доверенные сертификаты на все сервисы, которыми сотрудники пользуются удаленно. Объясните им, что если соединение предупредит о недостоверности, то его нужно немедленно разорвать.
- Настройте контроли с максимальной прозрачностью. У вас должна быть возможность в любой момент узнать, кто и откуда подключился, с помощью чего и легитимно ли работает.
- Организуйте дежурство специалистов по информационной безопасности и перераспределите зоны ответственности и мониторинга.
- Требуйте, чтобы сотрудники регистрировались на корпоративных облачных ресурсах только с помощью рабочих имейлов. Исключите личные электронные адреса и телефоны. Иначе рискуете потерять доступ к собственной информации.
- Следите за настроиками облачных сервисов. Доступ всегда должен быть только по белым спискам.
- Разработайте минимально необходимый и достаточный чек-лист требований для используемых удаленно сервисов. Это позволит не потерять оперативность при внедрении и контролировать большинство рисков.
Невозможно быть уверенным на 100% в защищенности. Но даже эти небольшие правила помогут снизить риски утечки, кражи и потери данных.
Все-таки сетевые задержки до инфраструктуры облачных ЦОД еще очень велики по сравнению с локальными.
Особенно, если облако в европейской части, а потребитель ресурсов много восточнее.