55%
сотрудников демонстрируют более высокую производительность при гибком рабочем графике
россиян оценивают свой уровень владения компьютером как профессиональный по данным опросов
5%
Почему аудит защищенности – одна из самых актуальных задач в эпоху глобальной цифровизации
Гибридное будущее
Как узнать, защищена ли ИТ-инфраструктура компании?
За последний год бизнес-среда претерпела существенные изменения, которые неминуемо сказываются на требованиях к защите ИТ-инфраструктуры организаций. Например, как заметил в рамках выступления на форуме PHDays-10 глава Минцифры России Максут Шадаев, темпы цифровизации в последнее время резко возросли, в том числе благодаря пандемии. Государство запускает много крупных проектов, связанных с цифровыми технологиями во все отрасли – здравоохранение, образование, госуслуги. Несмотря на такое проникновение новых цифровых сервисов, конечно, все риски, связанные с кибербезопасностью, обостряются кардинально. И новые вызовы требуют новых решений: нельзя рассчитывать на другой результат, действуя старыми способами.
В течение многих лет считалось, что доступ к ИТ-системам предприятия для любого сотрудника в любое время из любого места невозможен, да и мало кому в действительности нужен. В 2020–2021 годах это стало реальностью благодаря техническим и социальным сдвигам, которые случились из-за ограничений, вызванных глобальной пандемией.
Последствием этой трансформации, по мнению экспертов, будет широкое распространение гибридных рабочих мест. Если раньше гибридный подход к организации бизнес-процессов применялся достаточно редко, то теперь он будет (а на самом деле уже стал) стандартом.
Инфобезопасность: эпоха трансформации
Таким образом, перед бизнесом стоит очень серьезная задача: обеспечить защиту организации в цифровом пространстве в условиях гибридной работы с учетом различного уровня ИТ-грамотности персонала.
Текущая ситуация, безусловно, требует не только трансформации ИТ-инфраструктуры компаний, но, как следствие, и изменений в подходах к обеспечению безопасности. В таких условиях бизнесу в первую очередь необходимо понять, защищены ли ИТ-системы организации и какие угрозы для нее наиболее актуальны.
Решить эту задачу самостоятельно могут далеко не все компании: причина – в отсутствии нужных компетенций и возможной необъективности при проверке собственных процессов внутренними специалистами. На эту проблему весной 2021 года указывал, к примеру, вице-президент Gartner по исследованиям Питер Фестбрук. По его словам, первая глобальная проблема – это нехватка навыков. 80% организаций говорят, что им трудно найти и нанять специалистов по безопасности, а 71% – что это влияет на способность реализовывать проекты безопасности в их организациях.
Так что оптимальный вариант – провести аудит, анализ защищённости с помощью проверенного и компетентного партнера. Это будет первым шагом на пути минимизации угроз, уязвимостей и возможных потерь.
Аудит актуален для большинства компаний. В первую очередь он необходим тем, кто попадает под требования регулятора относительно защиты ИТ-инфраструктуры: соблюсти их непросто, нужно учитывать много нюансов, и внешний аудит это умеет.
Кому нужно проводить аудит защищенности ИТ-инфраструктуры?
Также важно проводить аудит тем организациям, которые хранят персональные данные, – в последнее время этому процессу уделяется все больше внимания, а злоумышленники активно охотятся за персональными данными. Их потеря может оказаться критичной для всего бизнеса, так что знать уязвимости жизненно необходимо.
Но даже если компания никак не связана с персональными данными и не должна выполнять требования регулятора, но у нее есть значимая ИТ-составляющая (сайт, цифровые каналы взаимодействия, серверная инфраструктура), получить точную экспертную оценку защищенности стоит.
Что касается отраслевой специфики, то еще недавно можно было бы говорить о том, что та или иная отрасль далека от цифры, поэтому и вопросы кибербезопасности для нее не так актуальны. Сейчас же, после того как переход в цифровую среду стал необходимым условием существования бизнеса, стало понятно: аудит необходим всем индустриям – от финансов и торговли до здравоохранения и производства.
«Аудит защищенности – это инвестиция в безопасность, так как незакрытые вовремя уязвимости могут привести к многомиллионным потерям и удару по имиджу компании в случае успешной атаки. Кроме того, могут быть и другие сложности – например, потеря доверия клиентов и партнеров, что скажется на будущем всего предприятия. Так что вопросами защиты пренебрегать нельзя: в эпоху цифровизации аудит защищенности – необходимый сервис, который позволит более уверенно смотреть в будущее бизнеса», – комментирует руководитель по облачным платформам и инфраструктурным решениям, компании «МегаФон» Александр Осипов.
80%
организаций утверждают, что им трудно найти и нанять специалистов по безопасности
Например, по данным первого ежегодного исследования Work Trend Index 2021, 73% опрошенных работников во всем мире выступают за сохранение гибкого формата работы. Как результат, 66% руководителей бизнеса говорят о том, что их компании перестраивают офис под гибридную работу.
Плюсом гибридной работы является не только возможность сократить затраты на содержание офиса, но и повысить эффективность. По данным Gartner, 55% сотрудников демонстрируют высокую производительность, когда им предлагают большую гибкость, чем при работе с 9 до 6 часов в офисе.
Однако есть и сложности. Например, даже по собственным оценкам россиян их ИТ-грамотность невысока. Так, по данным опроса «ФОМнибус», проведенного весной 2021 года, лишь 12% респондентов оценивают свой уровень владения компьютером как продвинутый, а еще 5% – как профессиональный.
Материал подготовлен в партнерстве с ПАО МегаФон. Лицензии
В зависимости от специфики компании и ее инфраструктуры можно выбрать разные варианты проверки безопасности – например, в портфеле компании «МегаФон» есть целый ряд различных решений.
Если главная головная боль – защита персональных данных или критической информационной инфраструктуры, то стоит обратить внимание на аудит на соответствие требованиям ФЗ-152 или ФЗ-187. Представителям банковской отрасли согласно положениям Банка России необходимо проведение ежегодного аудита на соответствие индустриальным требованиям инфобезопасности.
Какие варианты проверки выбрать?
Если же вопрос кибербезопасности только недавно встал ребром, то хорошим вариантом будет общая проверка с консультацией по разбору наиболее опасных рисков. Существуют и нестандартные варианты – проверка безопасности нового приложения, сайта, сервиса и т.д.
Можно выделить три основных этапа аудита. В начале проводится обсуждение представителем компании с командой экспертов требований к проекту: необходимо выяснить, какие объекты проверять, каковы основные опасения представителей компании, какие регуляторные требования необходимо соблюсти и т.д.
Далее выполняются необходимые для аудита работы, по мере которых компания получает промежуточные отчеты. По итогам аудита организация получает финальный отчёт по проведённым работам с рекомендациями по дальнейшим действиям.
При этом существуют два уровня проверок: автоматизированное сканирование, призванное проверить только самые распространённые векторы атаки, и комплексные проекты, которые выполняются экспертами по кибербезопасности.
Как проводится аудит?
От того, какой вариант организация выбирает, зависит стоимость проекта. Автоматизированное сканирование дешевле и быстрее, но оно позволяет защититься только от самых базовых угроз. Ценообразование при комплексном аудите обычно очень индивидуально и зависит от объёма проекта и включённых в него работ.
Аудит нужен вовсе не для того, чтобы поставить галочку в каком-либо отчете и дальше жить так же, как и раньше. Во-первых, аудит дает ответ на вопрос, выдержит ли ИТ-инфраструктура организации попытку хакерского вторжения. Во-вторых, с помощью аудита можно определить наиболее вероятные и, что важно, опасные векторы атак на ИТ-системы.
Кроме того, результатом аудита будут пошаговый план устранения обнаруженных проблем и подробные рекомендации по повышению уровня защищённости. Они являются основой стратегии развития информационной безопасности в компании – в том числе для обоснования бюджета. Помимо этого, в результате аудита можно получить заключение о соответствии требованиям регулятора.
Каковы результаты аудита защищенности ИТ-инфраструктуры?
66%
73%
67%
работников испытывают
необходимость в личном взаимодействии после окончания пандемии.
необходимость в личном взаимодействии после окончания пандемии.
работников предпочитают гибкий формат с сохранением возможности работать удаленно
руководителей бизнеса собираются перестроить офис под гибкий формат работы
ввод данных, использование электронной почты, распечатка документов, поиск в сети интернет и т.п.)
использование текстовых редакторов, например, Word; работа с таблицами, например, Excel и т.п.
анализ информации, дизайн, работа с базами данных с использованием пакетов статистического анализа и т.п.
программирование, администрирование компьютерных сетей и т.п.
Как жители России оценивают свой уровень владения компьютером?
27% — элементарный / базовый
37% — средний
12% — продвинутый
5% — профессиональный
19% — никогда не пользовался /
пользовалась компьютером
финансы, банки, страхование
ритейл, электронная коммерция
здравоохранение
государственные организации
энергетика
промышленное производство
розничные услуги и торговля
информационные технологии
добывающие компании
Резюме
В современном постоянно меняющемся мире бизнесу критически важно четко понимать наиболее актуальные и важные для его жизнедеятельности угрозы. Это позволит не действовать наугад, а сосредоточить доступные средства защиты и бюджет на направлении возможных главных ударов. Именно такой, предупрежденный и вооруженный средствами киберзащиты бизнес, и окажется в итоге наиболее конкурентно- и жизнеспособным.
Отрасли, для которых наиболее актуален аудит информационной безопасности.
Почему аудит защищенности – одна из самых актуальных задач в эпоху глобальной цифровизации
Гибридное будущее
Как узнать, защищена ли ИТ-инфраструктура компании?
За последний год бизнес-среда претерпела существенные изменения, которые неминуемо сказываются на требованиях к защите ИТ-инфраструктуры организаций. Например, как заметил в рамках выступления на форуме PHDays-10 глава Минцифры России Максут Шадаев, темпы цифровизации в последнее время резко возросли, в том числе благодаря пандемии. Государство запускает много крупных проектов, связанных с цифровыми технологиями во все отрасли – здравоохранение, образование, госуслуги. Несмотря на такое проникновение новых цифровых сервисов, конечно, все риски, связанные с кибербезопасностью, обостряются кардинально. И новые вызовы требуют новых решений: нельзя рассчитывать на другой результат, действуя старыми способами.
В течение многих лет считалось, что доступ к ИТ-системам предприятия для любого сотрудника в любое время из любого места невозможен, да и мало кому в действительности нужен. В 2020–2021 годах это стало реальностью благодаря техническим и социальным сдвигам, которые случились из-за ограничений, вызванных глобальной пандемией.
Последствием этой трансформации, по мнению экспертов, будет широкое распространение гибридных рабочих мест. Если раньше гибридный подход к организации бизнес-процессов применялся достаточно редко, то теперь он будет (а на самом деле уже стал) стандартом.
Как жители России оценивают свой уровень владения компьютером?*
Таким образом, перед бизнесом стоит очень серьезная задача: обеспечить защиту организации в цифровом пространстве в условиях гибридной работы с учетом различного уровня ИТ-грамотности персонала.
Текущая ситуация, безусловно, требует не только трансформации ИТ-инфраструктуры компаний, но, как следствие, и изменений в подходах к обеспечению безопасности. В таких условиях бизнесу в первую очередь необходимо понять, защищены ли ИТ-системы организации и какие угрозы для нее наиболее актуальны.
Решить эту задачу самостоятельно могут далеко не все компании: причина – в отсутствии нужных компетенций и возможной необъективности при проверке собственных процессов внутренними специалистами. На эту проблему весной 2021 года указывал, к примеру, вице-президент Gartner по исследованиям Питер Фестбрук. По его словам, первая глобальная проблема – это нехватка навыков. 80% организаций говорят, что им трудно найти и нанять специалистов по безопасности, а 71% – что это влияет на способность реализовывать проекты безопасности в их организациях.
Так что оптимальный вариант – провести аудит, анализ защищённости с помощью проверенного и компетентного партнера. Это будет первым шагом на пути минимизации угроз, уязвимостей и возможных потерь.
Аудит актуален для большинства компаний. В первую очередь он необходим тем, кто попадает под требования регулятора относительно защиты ИТ-инфраструктуры: соблюсти их непросто, нужно учитывать много нюансов, и внешний аудит это умеет.
Инфобезопасность: эпоха трансформации
Также важно проводить аудит тем организациям, которые хранят персональные данные, – в последнее время этому процессу уделяется все больше внимания, а злоумышленники активно охотятся за персональными данными. Их потеря может оказаться критичной для всего бизнеса, так что знать уязвимости жизненно необходимо.
Но даже если компания никак не связана с персональными данными и не должна выполнять требования регулятора, но у нее есть значимая ИТ-составляющая (сайт, цифровые каналы взаимодействия, серверная инфраструктура), получить точную экспертную оценку защищенности стоит.
Что касается отраслевой специфики, то еще недавно можно было бы говорить о том, что та или иная отрасль далека от цифры, поэтому и вопросы кибербезопасности для нее не так актуальны. Сейчас же, после того как переход в цифровую среду стал необходимым условием существования бизнеса, стало понятно: аудит необходим всем индустриям – от финансов и торговли до здравоохранения и производства.
«Аудит защищенности – это инвестиция в безопасность, так как незакрытые вовремя уязвимости могут привести к многомиллионным потерям и удару по имиджу компании в случае успешной атаки. Кроме того, могут быть и другие сложности – например, потеря доверия клиентов и партнеров, что скажется на будущем всего предприятия. Так что вопросами защиты пренебрегать нельзя: в эпоху цифровизации аудит защищенности – необходимый сервис, который позволит более уверенно смотреть в будущее бизнеса», – комментирует руководитель по облачным платформам и инфраструктурным решениям, компании «МегаФон» Александр Осипов.
Например, по данным первого ежегодного исследования Work Trend Index 2021, 73% опрошенных работников во всем мире выступают за сохранение гибкого формата работы. Как результат, 66% руководителей бизнеса говорят о том, что их компании перестраивают офис под гибридную работу.
Плюсом гибридной работы является не только возможность сократить затраты на содержание офиса, но и повысить эффективность. По данным Gartner, 55% сотрудников демонстрируют высокую производительность, когда им предлагают большую гибкость, чем при работе с 9 до 6 часов в офисе.
Однако есть и сложности. Например, даже по собственным оценкам россиян их ИТ-грамотность невысока. Так, по данным опроса «ФОМнибус», проведенного весной 2021 года, лишь 12% респондентов оценивают свой уровень владения компьютером как продвинутый, а еще 5% – как профессиональный.
Материал подготовлен в партнерстве с ПАО МегаФон. Лицензии
сотрудников демонстрируют более высокую производительность при гибком рабочем графике
В зависимости от специфики компании и ее инфраструктуры можно выбрать разные варианты проверки безопасности – например, в портфеле компании «МегаФон» есть целый ряд различных решений.
Если главная головная боль – защита персональных данных или критической информационной инфраструктуры, то стоит обратить внимание на аудит на соответствие требованиям ФЗ-152 или ФЗ-187. Представителям банковской отрасли согласно положениям Банка России необходимо проведение ежегодного аудита на соответствие индустриальным требованиям инфобезопасности.
66%
руководителей бизнеса собираются перестроить офис под гибкий формат работы
73%
работников предпочитают гибкий формат с сохранением возможности работать удаленно
67%
работников испытывают
необходимость в личном взаимодействии после окончания пандемии.
необходимость в личном взаимодействии после окончания пандемии.
ввод данных, использование электронной почты, распечатка документов, поиск в сети интернет и т.п.)
использование текстовых редакторов, например, Word; работа с таблицами, например, Excel и т.п.
анализ информации, дизайн, работа с базами данных с использованием пакетов статистического анализа и т.п.
программирование, администрирование компьютерных сетей и т.п.
27% — элементарный / базовый
37% — средний
12% — продвинутый
5% — профессиональный
19% — никогда не пользовался /
пользовалась компьютером
55%
Кому нужно проводить аудит защищенности ИТ-инфраструктуры?
организаций утверждают, что им трудно найти и нанять специалистов по безопасности
80%
Отрасли, для которых наиболее актуален аудит информационной безопасности:
финансы, банки, страхование
ритейл, электронная коммерция
здравоохранение
государственные организации
энергетика
промышленное производство
розничные услуги и торговля
информационные технологии
добывающие компании
Какие варианты проверки выбрать?
Если же вопрос кибербезопасности только недавно встал ребром, то хорошим вариантом будет общая проверка с консультацией по разбору наиболее опасных рисков. Существуют и нестандартные варианты – проверка безопасности нового приложения, сайта, сервиса и т.д.
Как проводится аудит?
Можно выделить три основных этапа аудита. В начале проводится обсуждение представителем компании с командой экспертов требований к проекту: необходимо выяснить, какие объекты проверять, каковы основные опасения представителей компании, какие регуляторные требования необходимо соблюсти и т.д.
Далее выполняются необходимые для аудита работы, по мере которых компания получает промежуточные отчеты. По итогам аудита организация получает финальный отчёт по проведённым работам с рекомендациями по дальнейшим действиям.
При этом существуют два уровня проверок: автоматизированное сканирование, призванное проверить только самые распространённые векторы атаки, и комплексные проекты, которые выполняются экспертами по кибербезопасности.
От того, какой вариант организация выбирает, зависит стоимость проекта. Автоматизированное сканирование дешевле и быстрее, но оно позволяет защититься только от самых базовых угроз. Ценообразование при комплексном аудите обычно очень индивидуально и зависит от объёма проекта и включённых в него работ.
Каковы результаты аудита защищенности ИТ-инфраструктуры?
Аудит нужен вовсе не для того, чтобы поставить галочку в каком-либо отчете и дальше жить так же, как и раньше. Во-первых, аудит дает ответ на вопрос, выдержит ли ИТ-инфраструктура организации попытку хакерского вторжения. Во-вторых, с помощью аудита можно определить наиболее вероятные и, что важно, опасные векторы атак на ИТ-системы.
Кроме того, результатом аудита будут пошаговый план устранения обнаруженных проблем и подробные рекомендации по повышению уровня защищённости. Они являются основой стратегии развития информационной безопасности в компании – в том числе для обоснования бюджета. Помимо этого, в результате аудита можно получить заключение о соответствии требованиям регулятора.
Резюме
В современном постоянно меняющемся мире бизнесу критически важно четко понимать наиболее актуальные и важные для его жизнедеятельности угрозы. Это позволит не действовать наугад, а сосредоточить доступные средства защиты и бюджет на направлении возможных главных ударов. Именно такой, предупрежденный и вооруженный средствами киберзащиты бизнес, и окажется в итоге наиболее конкурентно- и жизнеспособным.