{"id":13470,"url":"\/distributions\/13470\/click?bit=1&hash=a5471878bb4d0020b0094d731712468a57a3ba05caae1b96f57d2bce7097f8ad","title":"\u041a\u0430\u043a \u0444\u0438\u043d\u0430\u043d\u0441\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u043e\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u043f\u0440\u043e\u0435\u043a\u0442","buttonText":"","imageUuid":"","isPaidAndBannersEnabled":false}
Техника
TalentTech

"Облачные" технологии: риски, мифы и инструкции по безопасности

Многие компании все еще не вернулись в докарантинный офлайн-режим работы и оставили сотрудников на удаленке. Как обеспечить безопасный доступ к данным в домашней сети? Один из способов — облачные сервисы. Однако исследования показывают, что не все спешат хранить там бизнес-информацию.

Директор по информационной безопасности ИТ-холдинга ТalentТech Иван Дмитриев объяснил, как избежать рисков и безболезненно перейти на облачные сервисы.

Что останавливает компании от широкого использования облачных хранилищ

  • 61% — никто не застрахован от прекращения работы провайдера,
  • 49% — отсутствие вменяемой финансовой ответственности поставщика решения за ненадлежащую работу,
  • 60% — перспектива передачи ответственных приложений и данных внешним дата-центрам.

Последний пункт логичен, но безоснователен. Утечки происходят и во внутренних системах. Просто часто они не получают большой огласки.

Облачные провайдеры вкладывают больше ресурсов в информационную безопасность, чем их потенциальные заказчики, потому что это основа их бизнеса. На 1,5-2 тысячи сотрудников в компании-клиенте приходится один специалист по ИБ.

Что дает компании переход на облачные сервисы

  • Получаете доступ к данным с любого устройства. Достаточно всего лишь подключиться к сети.
  • Быстро организуете совместную работу. Например, сервис «Компас» помогает управлять работой команды, устанавливать цели для каждого в связке с глобальными целями компании и отслеживать результаты.
  • Платите только за то место в хранилище, которое используете. При этом не тратитесь на аренду серверов и неиспользуемые ресурсы.
  • Отпадает обслуживание собственной инфраструктуры.
  • Не отвечаете за резервирование и сохранение целостности данных. Это забота облачного провайдера

Правила работы с облачным провайдером

Цель облачных сервисов — упростить рабочие процессы компании. Например, сервис Potok за счет сбора всех данных в едином окне ускоряет процесс найма до 45%, как это было при работе с финансовым институтом ДОМ.РФ.

Дашборд ДОМ.рф Potok.io
  • Проверьте, инвестирует ли компания в облачные решения, как обеспечивает безопасность, работает ли в России, есть ли успешные клиентские кейсы и репутация бренда. Например, мы предоставляем изоляцию и криптографическое преобразование данных. Они помогают защитить информацию TalentTech и клиентов компании от несанкционированного доступа со стороны персонала. Проверить это можно только экспертно – за это отвечают специалисты по инфобезопасности и ИТ.
  • Оцените уровень сервиса (SLA): гарантированное время доступности, порядок резервного копирования, обязанность обеспечения доступности информации при форс-мажоре. Опять же, оценивать это должен эксперт по инфобезопасности. Обычно на стороне потребителя есть некий опросник и понимание уровня сервиса, который хочется получить, а также, насколько приобретаемое решение впишется в систему.
  • Проанализируйте риски конфиденциальности и доступности данных при переезде на облачный сервис, а также предложенные провайдером меры управления.
  • Проверьте, соответствуют ли правила провайдера вашим требованиям к ИБ. Поставщик должен обеспечить контроль рисков целостности, конфиденциальности и доступности принадлежащей вам информации. Например, в TalentTech для анализа защищенности используют Qualys, Nessus, App Screener, Supply chain security. Также мы выстраиваем процесс безопасной разработки и CI/CD-процессы.
  • Убедитесь, что ЦОД сервиса находится в России и соответствует уровню защищенности, указанном в ФЗ-152 и приказе ФСТЭК № 2. Для подтверждения у компании должен быть свой аттестат или заключение от лицензиата ФСТЭК.

Цифровые навыки сотрудников – залог успеха

При работе в офисе достаточно было настроить правила на уровне корпоративной сети. Теперь, когда все дома, нужно искать другие способы защитить данные, потому что информация хранится у сотрудников.

Пока еще нет универсальных советов или способов защитить устройства персонала от киберугроз. Но есть несколько правил, которые помогут снизить шансы отдать данные злоумышленникам.

Организуйте с сотрудниками встречу или напишите подробный мануал по основам информационной безопасности, где расскажете:

  • о возможных угрозах,
  • почему нельзя вводить рабочие данные на сторонних сайтах,
  • как выглядят фишинговые письма,
  • почему нельзя скачивать антивирус из первой ссылки поиска,
  • зачем нужен антивирус, сложные пароли и двухфакторная авторизация.

С помощью технологий адаптивного тестирования можно проверить уровень владения цифровыми навыками и основами кибербезопасности. Например, сеть “Магнит” во время карантина 2020 использовала решение TalentTech.Обучение для оценки знаний команды. Помимо основ кибербезопасности, оценивалось владение статистическим аппаратом, Excel и удаленной коммуникацией.

Инструкция для отделов информбезопасности

  • Пропишите порядок доступа к информации.
  • Используйте облачные сервисы в enterprise-версии. В ней гораздо больше механизмов ИБ.
  • Купите сертификат удостоверения подлинности соединения и установите доверенные сертификаты на все сервисы, которыми сотрудники пользуются удаленно. Объясните им, что если соединение предупредит о недостоверности, то его нужно немедленно разорвать.
  • Настройте контроли с максимальной прозрачностью. У вас должна быть возможность в любой момент узнать, кто и откуда подключился, с помощью чего и легитимно ли работает.
  • Организуйте дежурство специалистов по информационной безопасности и перераспределите зоны ответственности и мониторинга.
  • Требуйте, чтобы сотрудники регистрировались на корпоративных облачных ресурсах только с помощью рабочих имейлов. Исключите личные электронные адреса и телефоны. Иначе рискуете потерять доступ к собственной информации.
  • Следите за настроиками облачных сервисов. Доступ всегда должен быть только по белым спискам.
  • Разработайте минимально необходимый и достаточный чек-лист требований для используемых удаленно сервисов. Это позволит не потерять оперативность при внедрении и контролировать большинство рисков.

Невозможно быть уверенным на 100% в защищенности. Но даже эти небольшие правила помогут снизить риски утечки, кражи и потери данных.

0
1 комментарий
Михаил Павлов

Все-таки сетевые задержки до инфраструктуры облачных ЦОД еще очень велики по сравнению с локальными.
Особенно, если облако в европейской части, а потребитель ресурсов много восточнее.

Ответить
Развернуть ветку
Читать все 1 комментарий
null