Угроза коронавируса вынудила множество компаний переводить своих сотрудников на удаленный режим работы. Кроме вопроса организации рабочего процесса в новых условиях, особенно остро встал вопрос обеспечения безопасного доступа к данным. Решить эти проблемы призваны облачные сервисы. Однако многочисленные исследования показывают, что компании настороженно относятся к возможности использовать облако для хранения информации. Директор по информационной безопасности ИТ-холдинга ТalentТech Иван Дмитриев рассказывает, почему опасения по поводу облачных сервисов — миф и как переход на такие сервисы поможет вашему бизнесу.
Облачные хранилища ненадежны — миф или горькая правда?
Когда речь заходит о применении облачных хранилищ в бизнесе, мы наблюдаем сильную поляризацию мнений, об этом говорят результаты исследования PC Week. Несмотря на то, что существенная часть респондентов — 47% — ожидает от внедрения облачных решений то, что они действительно могут дать — сокращение затрат на ИТ, не все уверены в том, что их бизнес-процессы будут поддерживаться при этом в полном объеме.
Кроме того, 61% опрошенных отмечает, что более широко использовать облачные услуги им мешает риск прекращения деятельности облачного провайдера, 49% при этом выделяют отсутствие адекватной финансовой ответственности провайдера за ненадлежащую работу облачного сервиса. Но с провайдера в случае ошибки или невыполнения договоренностей можно взыскать компенсацию, а кто ответит за внутренние сервисы?
60% респондентов также смущает перспектива передачи ответственных приложений и данных внешним дата-центрам. Это тоже миф, ведь утечки происходят не только в облачных сервисах, но внутренние эксцессы не попадают в широкое информационное поле, поэтому мы слышим о них реже.
Вообще, плотность фокусной работы команды инфобезопасников над сервисом у облачных провайдеров выше, чем у внутренних решений. По статистике, на 1 500–2 000 сотрудников в компании приходится один сотрудник функции ИБ, но нет данных, сколько внутренних сервисов он при этом контролирует. Ответственные облачные провайдеры поддерживают плотность на более высоком уровне, ведь они рискуют своим бизнесом. Задача заказчика: убедиться, что провайдер осознает все возможные риски.
Способы исключить опасения
Перед анализом вышеперечисленных опасений стоит отметить, что главная цель облачных сервисов заключается в упрощении рабочих процессов компании, которая достигается за счет оперативности предоставления данных. Например, сервис Potok за счет сбора всех данных в едином окне ускоряет процесс найма до 45%, как это было при работе с финансовым институтом ДОМ.РФ.
Во избежание рисков со стороны облачного провайдера необходимо соблюдать несколько простых правил. Во-первых, выбирайте надежную компанию с известным именем, которая активно инвестирует в свои облачные решения, обеспечение безопасности и работает на российском рынке. При этом мы, например, обеспечиваем изоляцию и криптографическое преобразование данных с целью исключения несанкционированного доступа к информации TalentTech и его клиентов со стороны персонала заказчика.
Во-вторых, детально оцените предлагаемый провайдером уровень сервиса (SLA). Он должен включать гарантированное время доступности, порядок резервного копирования, обязанность обеспечения доступности информации при форс-мажоре. В-третьих, проанализируйте риски конфиденциальности и доступности данных при переходе на облачный сервис, а также меры управления, которые предлагает провайдер.
При переходе на работу в облако оцените, насколько ваши требования к безопасности соответствуют тому, что предлагает облачная система. Компания-провайдер должна обеспечивать должный контроль рисков целостности, конфиденциальности и доступности принадлежащей вам информации. Мы в TalentTech используем современные средства для анализа защищенности наших продуктов (Qualys, Nessus, App Screener, Supply chain security) и принимаем организационные меры по выстраиванию процесса безопасной разработки и CI/CD-процессов.
Кроме того, для успеха облачного сервиса в России ЦОД, который обеспечивает его работу, должен находиться на территории страны и соответствовать необходимому для сервиса уровню защищенности персональных данных, согласно требованиям ФЗ-152 и приказу ФСТЭК № 21. Провайдер должен предъявить для подтверждения соответствия свой аттестат или заключение, выданное компанией-лицензиатом ФСТЭК. Например, все наши продукты проходят на ежегодной основе аудит мер по защите конфиденциальной информации с привлечением компании-лицензиата.
Риски неизбежны, но управляемы
В связи с переходом на удаленную работу в любом случае увеличиваются риски, связанные с информационной безопасностью: до сих пор многие механизмы защиты от потенциальных цифровых угроз строились на уровне сети компании, а теперь нужно прибегать к другим мерам.
В современных условиях информация находится в руках сотрудников, которые работают удаленно. Это не критично, но пересмотреть подход к защите конфиденциальных данных необходимо. Сотрудники компании теперь выходят на первую линию обороны от киберугроз и должны обладать навыками основ инфобезопасности, работы с данными и понимать риски, связанные с этим. Универсального рецепта для решения связанных с безопасностью проблем нет, однако есть ряд общих правил, соблюдая которые, вы точно сократите риски:
- Работа с персоналом: ваши сотрудники должны знать о возможных угрозах. Объясните им, почему не стоит вводить свои рабочие данные на сторонних сайтах, покажите, как выглядят фишинговые письма, расскажите, почему не стоит скачивать антивирус по первой же бесплатной ссылке из интернета.
- Правила цифровой гигиены: объясните пользу использования антивируса, сложных паролей и двухфакторной аутентификации.
Например, мы в TalentTech подготовили подробный спецпроект, посвященный работе в дистанционном режиме, и в том числе вопросам безопасности данных. Делимся инструкциями, советами и чек-листами по переходу на удаленную работу на сайте naudalenku.ru.
Инструкция для отделов информбезопасности
- Четко определите регламенты доступа к информации.
- При обращении к облачным сервисам воспользуйтесь бизнес-версиями, включающими в себя механизмы обеспечения безопасности.
- Приобретите сертификат удостоверения подлинности соединения и установите доверенные сертификаты на все сервисы, к которым осуществляется удаленный доступ. Расскажите сотрудникам о том, что необходимо немедленно разорвать соединение в случае получения предупреждения о его недостоверности.
- Выстройте контроли так, чтобы добиться в моменте максимальной прозрачности удаленного доступа: легко идентифицировать, кто, откуда, с помощью чего и легитимно ли работает.
- Организуйте дежурство специалистов по информационной безопасности и перераспределите зоны ответственности и мониторинга.
- Требуйте регистрацию всех облачных ресурсов на корпоративные адреса электронной почты и только на них. Исключите личные адреса и по возможности телефоны сотрудников, иначе вы можете в один момент перестать быть владельцем своей информации.
- Следите за настройками облачных сервисов. Настраивайте доступ к переносимым в облака ресурсам только по белым спискам. Вы всегда должны знать, сколько человек имеют доступ к той или иной сущности.
- Разработайте минимально необходимый и достаточный чек-лист требований для используемых удаленно сервисов. Это позволит не потерять оперативность при внедрении и контролировать большинство рисков.
Облачное решение приносит много выгод, которые заказчик изначально не ожидает получить. Среди них:
- Возможность оперативного доступа к данным с любого компьютера, подключенного к интернету.
- Возможность быстрой организации совместной работы с данными. Так, например, облачный сервис «Компас» помогает управлять эффективностью работы команды, устанавливая цели для каждого в связке с глобальными целями компании. Это позволяет прозрачно и быстро каскадировать цели в коллективе, отслеживать выполнение и анализировать его.
- Оплата только места в хранилище, которое требуется компании. Платить за аренду сервера, ресурсами которого компания не пользуется, не нужно.
- Нет необходимости заботиться о собственной инфраструктуре по хранению данных.
- Процедуры по резервированию и сохранению целостности данных производятся провайдером облачного центра, который не вовлекает в этот процесс клиента.
Быть уверенным в защищенности на 100% нельзя ни при работе из офиса, ни при удаленке. Зато соблюдение описанных выше мер позволит снизить вероятность наступления рисков, связанных с информационной безопасностью.
Читайте также:
— Посмотрите на гигантскую акулу, которая пострадала от не менее гигантского кальмара!
— Женская яйцеклетка умеет «выбирать» сперматозоиды: ее обладательница тут ни при чем
— Астрономы обновили данные о расстоянии во Вселенной: другие галактики ближе, чем считалось раньше