Ми живемо в буремний час, коли навколишні умови постійно змінюються, що безумовно впливає і на бізнес також. Спочатку карантинні вимоги та перехід на віддалену роботу, тепер – повномасштабне вторгнення рф. За перші місяці війни ринок ІТ став на паузу, а кількість відкритих позицій упала майже втричі, за даними Djinni. Однією з передумов падіння був ризик незавершення проєкту та втрата інтелектуальної власності. Проте бізнес швидко адаптувався до нових реалій і за результатами 2022 року приніс рекордні $7,3 млрд експорту. Як змінився підхід до IT-інфраструктури, безпеки та як довести замовникам і партнерам, що вищеописані ризики не актуальні для вас, розповів Mind Information Security Lead Uklon Максим Шаповал.
Перше, на що варто звернути увагу, – забезпечення всіх співробітників безпечним віддаленим доступом до корпоративних ресурсів. А саме: необхідно побудувати шифроване з’єднання між ноутбуком співробітника й корпоративною мережею для безпечного обміну даними; при цьому внутрішні ресурси потрібно максимально закрити від публічного доступу.
Що це дає? Мінімізацію можливості зовнішніх атак і витоку даних компанії.
Читайте також: Закрити витік: чому про захист інформації варто подумати заздалегідь
Вкрай важливим фактором є впровадження двофакторної автентифікації до всіх ресурсів компанії (зокрема, ресурсів третіх сторін, якими користуються ваші співробітники), що мають публічний доступ. Адже, як показують останні дослідження з кібербезпеки, 96% фішингових атак і 76% таргетованих атак на користувача не проходять завдяки наявності двофакторної автентифікації.
Що це дає? Мінімізує можливість неавторизованого входу в системи й сервіси компанії та витік даних.
При переході на віддалений формат роботи співробітники втратили таку перевагу як ешелонований кіберзахист із набору:
Єдиним й останнім рубежем захисту став сам ноутбук користувача. Необхідно контролювати принаймні таке:
Що це дає – мінімально достатній захист корпоративної інформаці,ї яка зберігається, оброблюється та передається на ноутбуку співробітника
Читайте також: Безпечна хмара: як захистити дані у віртуальному середовищі
Віддалений режим роботи став радше правилом, ніж винятком, до того ж співробітники можуть працювати з не завжди контрольованого адміністраторами компанії пристрою. І питання захисту внутрішньої інфраструктури й сервісів спонукало розвиток такої концепції, як zero trust. Одним із постулатів якої є «never trust – always verify».
Що це дає? Однаковий рівень захисту ресурсів компанії від внутрішніх і зовнішніх загроз.
Оскільки ми не можемо бути впевнені, з якого саме пристрою працюють співробітники та який його стан безпеки, виникає потреба в перевірці, наскільки безпечним є комп’ютер, який підключається до ресурсів компанії. Як альтернативу чи один з елементів концепції zero-trust варто розглянути опції compliance при підключенні до VPN або корпоративної мережі. Цю функцію може виконувати, зокрема, VPN-агент.
Що це дає? Мінімізацію розповсюдження недобросовісного програмного забезпечення всередині ІТ-інфраструктури.
Читайте також: Персональні дані по-європейськи: чим ризикує український бізнес при переїзді за кордон
Робота з мобільного телефону почасту стає нормою, є низка завдань, які легко можна виконати з телефону. Отже, доступ як мінімум у корпоративні месенджери, пошту, календар та файлові ресурси здійснюється з телефону. І безпека мобільного не менш важлива, ніж ноутбука, якщо на ньому оброблюється інформація компанії.
Необхідно мати можливість перевірити мінімальні налаштування безпеки смартфона, перед тим як дозволити входити з нього на корпоративні ресурси.До того ж ризик втратити телефон набагато вищий, ніж ноутбук.
Тому важливо мати рішення Mobile Device Management, здатне технічно розділити приватні й корпоративні дані на телефоні та шифрувати робочі. Тобто, щоб адміністратор міг віддалено відключити доступ у разі втрати телефона, а зловмисники не змогли отримати доступ до робочих файлів завдяки шифруванню.
Що це дає? Забезпечення мобільності роботи й мінімізацію витоку корпоративних даних.
Читайте також: Замок на смартфон: чому захищати потрібно не тільки мережу, а й самі пристрої
Віддалена робота, команди, члени якої розкидані світом, блекаути й робота в кафе з незахищеним підключенням до мережі – усе це неодмінно збільшує навантаження на ІТ-інфраструктуру компанії. Відповідно це накладає певні проблеми доступу до сервісів як для користувачів, так і для адміністраторів. Тому перехід на хмарні рішення є виправданим кроком, який принаймні мінімізує один зі страхів клієнта – втрату/компрометацію інтелектуальної власності й даних компанії.
Проте ключове, що надасть cloud для самої компанії – це забезпечення доступності ресурсів 24/7, гарантоване балансування навантаження на ресурси та бекап даних. Водночас головні гравці серед хмарних провайдерів надають високий рівень безпеки й захисту від зовнішніх загроз за замовчуванням.
Що це дає? Найбільш гарантовану доступність ресурсів компанії 24/7 із необхідними потужностями для якісної роботи. Захист від зовнішніх атак за замовчуванням.
Однак не все вирішується внутрішніми технічними змінами. Варто також запровадити низку організаційних змін, які направлені на:
Ну й головне: компаніям досі необхідно мати маркетингові переваги для того, щоб бути привабливим для іноземних замовників і демонструвати свій рівень безпеки та неперервності сервісу delivery. Одним із самих наочних аргументів є наявність сертифікацій згідно з міжнародними стандартами International Organisation for Standardization (ISO). Однією з найбільш репрезентативних є, так би мовити, класична трійка стандартів:
Звісно ж, наведені вище рекомендації не є вичерпним переліком і немає ідеального чи «правильного» підходу до зменшення ризиків, проте наявність такого контролю даних може гарантувати значну мінімізацію ризиків, які вбачають клієнти при роботі з українськими ІТ-компаніями. Відомо тільки одне – бізнес змінюється під тиском зовнішніх факторів, а отже, мають змінюватися й обслуговуючі сервіси, бо як всім нам відомо «змінюйся, або помри».