Нужны ли службам безопасности компаний собственные хакеры
Российская Газета 15 часов назад
Начнем с того, что для служб безопасности государственных и частных компаний, банков наличие человека в сети — отличный способ вполне легально узнать о клиенте практически все: его доходы, круг общения, привычки, образ жизни. Я бы рекомендовал разделять реальную жизнь от виртуальной и аккуратно заниматься публикацией личной информации. Иногда ей могут воспользоваться, например, квартирные воры. Они тоже в «тренде», и если 20 лет назад преступники собирали информацию о жертве, общаясь с соседями, наблюдая за квартирой сутками, то благодаря Facebook или ВКонтакте на «раз — два» вычисляют образ жизни, точки передвижения и время отсутствия владельцев квартир. Если не терпится поделиться с друзьями фотографиями из отпуска, то лучше это сделать по приезду домой.
Хакеры против хакеров
Мне часто задают вопрос — как можно противостоять киберугрозам. Должны ли быть в штате уважающей себя службы безопасности собственные хакеры?
На мой взгляд, все зависит от уровня и размера компании, насколько она готова инвестировать в тот или иной вопрос. Если мы берем солидную компанию, то практически в каждой есть IT-специалисты, которые занимаются информационной безопасностью. Это те самые люди, которые создают барьеры для того, чтобы внешние хакеры не пробились в систему компании. Для того, чтобы не смогли украсть внутреннюю информацию, нарушить работу корпоративных серверов. Внутри отделов информационной безопасности есть и специалисты с узкими задачами, которые обладают экспертными знаниями в области информационных технологий и которых, наверное, можно назвать «хакерами» по характеру их деятельности.
Еще один нюанс, о котором многие забывают — конфиденциальность корпоративной электронной почты. Эти расшифровки иногда приводят к громким разоблачениям и скандалам. Но почему-то служащие забывают, что если почта корпоративная, то она принадлежит компании, а не сотрудникам. Люди должны быть проинформированы об этом. Также полезно помнить, что в каждой компании существует система DLP (Data Leak Prevention), которая контролирует утечку информации из компании путем пересылки сообщений в почте или переноса данных через внешние накопители. Данный инструмент отслеживает информационные потоки и своевременно информирует отделы информационной безопасности о произошедшей утечке информации, составляющей, например, коммерческую тайну.
Угрозы меняют форму
Не будем скрывать, что мы живем в ситуации экономического кризиса, более того, мирового уровня. В этой ситуации бизнес не просто пытается больше зарабатывать. Компании ищут дополнительную эффективность в сокращении расходов. Улучшая EBITDA компании и размер ее прибыли для владельцев. Вот как раз в сокращении расходов безопасность и помогает бизнесу. Контролируя сохранность активов компании, безопасность регулирует уровень потерь, а потери компании напрямую связаны с ее финансовым результатом. Другой пример: безопасность занимается борьбой с коррупцией в компании, тем самым вычищая коррупционную составляющую из закупочных цен товара. Что означает меньшую закупочную стоимость единицы товара, и, соответственно, меньшую розничную стоимость на полке. Не могу не отметить, что безопасность защищает бизнес и от внешних агрессий: будь то внешняя преступная среда, защита от конкурентной разведки, или защита от различного рода чрезвычайных ситуаций.
Размер не имеет значения
Есть ли формула — сколько компания должна тратить на безопасность?
Назовете трехзначную цифру? И ошибетесь. Этой суммы попросту не существует. Все зависит от отрасли бизнеса, его размера, задач. Безопасности не должно быть слишком много и не должно быть слишком мало, она должна быть достаточной для решения поставленных задач. Задача директора по безопасности — определить уровень достаточности, не нужно из бизнеса делать тюрьму с закрытыми клетками и решетками. Нужно определить уровень риск-аппетита в различных направлениях бизнеса, который компания допускает, и работать с отклонениями свыше этого установленного уровня.
Не нужно забывать, что желание заниматься всем и свести к нулю все возможные нарушения или отклонения — задача практически невыполнимая, которая влечет за собой слишком большие траты на безопасность. Если сформулировать более правильно, то задача директора по безопасности — определить уровень затрат на безопасность относительно выручки компании, который позволит все затраты на безопасность окупать за счет ее положительного эффекта на финансовые показатели компании.
Нужны ли службам безопасности компаний собственные хакеры
Российская Газета 15 часов назад
Начнем с того, что для служб безопасности государственных и частных компаний, банков наличие человека в сети — отличный способ вполне легально узнать о клиенте практически все: его доходы, круг общения, привычки, образ жизни. Я бы рекомендовал разделять реальную жизнь от виртуальной и аккуратно заниматься публикацией личной информации. Иногда ей могут воспользоваться, например, квартирные воры. Они тоже в «тренде», и если 20 лет назад преступники собирали информацию о жертве, общаясь с соседями, наблюдая за квартирой сутками, то благодаря Facebook или ВКонтакте на «раз — два» вычисляют образ жизни, точки передвижения и время отсутствия владельцев квартир. Если не терпится поделиться с друзьями фотографиями из отпуска, то лучше это сделать по приезду домой.
Хакеры против хакеров
Мне часто задают вопрос — как можно противостоять киберугрозам. Должны ли быть в штате уважающей себя службы безопасности собственные хакеры?
На мой взгляд, все зависит от уровня и размера компании, насколько она готова инвестировать в тот или иной вопрос. Если мы берем солидную компанию, то практически в каждой есть IT-специалисты, которые занимаются информационной безопасностью. Это те самые люди, которые создают барьеры для того, чтобы внешние хакеры не пробились в систему компании. Для того, чтобы не смогли украсть внутреннюю информацию, нарушить работу корпоративных серверов. Внутри отделов информационной безопасности есть и специалисты с узкими задачами, которые обладают экспертными знаниями в области информационных технологий и которых, наверное, можно назвать «хакерами» по характеру их деятельности.
Еще один нюанс, о котором многие забывают — конфиденциальность корпоративной электронной почты. Эти расшифровки иногда приводят к громким разоблачениям и скандалам. Но почему-то служащие забывают, что если почта корпоративная, то она принадлежит компании, а не сотрудникам. Люди должны быть проинформированы об этом. Также полезно помнить, что в каждой компании существует система DLP (Data Leak Prevention), которая контролирует утечку информации из компании путем пересылки сообщений в почте или переноса данных через внешние накопители. Данный инструмент отслеживает информационные потоки и своевременно информирует отделы информационной безопасности о произошедшей утечке информации, составляющей, например, коммерческую тайну.
Угрозы меняют форму
Не будем скрывать, что мы живем в ситуации экономического кризиса, более того, мирового уровня. В этой ситуации бизнес не просто пытается больше зарабатывать. Компании ищут дополнительную эффективность в сокращении расходов. Улучшая EBITDA компании и размер ее прибыли для владельцев. Вот как раз в сокращении расходов безопасность и помогает бизнесу. Контролируя сохранность активов компании, безопасность регулирует уровень потерь, а потери компании напрямую связаны с ее финансовым результатом. Другой пример: безопасность занимается борьбой с коррупцией в компании, тем самым вычищая коррупционную составляющую из закупочных цен товара. Что означает меньшую закупочную стоимость единицы товара, и, соответственно, меньшую розничную стоимость на полке. Не могу не отметить, что безопасность защищает бизнес и от внешних агрессий: будь то внешняя преступная среда, защита от конкурентной разведки, или защита от различного рода чрезвычайных ситуаций.
Размер не имеет значения
Есть ли формула — сколько компания должна тратить на безопасность?
Назовете трехзначную цифру? И ошибетесь. Этой суммы попросту не существует. Все зависит от отрасли бизнеса, его размера, задач. Безопасности не должно быть слишком много и не должно быть слишком мало, она должна быть достаточной для решения поставленных задач. Задача директора по безопасности — определить уровень достаточности, не нужно из бизнеса делать тюрьму с закрытыми клетками и решетками. Нужно определить уровень риск-аппетита в различных направлениях бизнеса, который компания допускает, и работать с отклонениями свыше этого установленного уровня.
Не нужно забывать, что желание заниматься всем и свести к нулю все возможные нарушения или отклонения — задача практически невыполнимая, которая влечет за собой слишком большие траты на безопасность. Если сформулировать более правильно, то задача директора по безопасности — определить уровень затрат на безопасность относительно выручки компании, который позволит все затраты на безопасность окупать за счет ее положительного эффекта на финансовые показатели компании.
Нужны ли службам безопасности компаний собственные хакеры
