среда, 22 апреля 2020 г.

Растущие риски удаленной работы и как с этим справиться

Прошло уже больше месяца после начала карантина, а компании перевели на удаленную работу сотрудников.

За это время большинство компаний: 

1. Начали экономить и остановили часть проектов.
2. Перевели сотрудников на удаленную работу.
3. Урезали бонусы и выплаты.
4. Ограничили или отменили внешние обучения.
5. Остановили набор сотрудников, а некоторые и вовсе сократили штат. 

Как следствие
1. Периметр информационной инфраструктуры размыт.
2. Количество утечек растет.
3. Сотрудники менее лояльны.
4. Бюджеты на решения и функции безопасности сокращаются.
5. Риски увеличиваются.

Но у хакеров таких проблем нет, они с радостью пользуются ситуацией, новыми возможностями и новыми уязвимостями систем и инфраструктуры. 
1. Появились вирусы, рассылки и приложения посвященные COVID (1, 2, 3).
2. Zoom и TeamViewer не панацея, а угроза (1 и 2).
3. Проникновение в инфраструктуру (1).

Хотелось бы написать, что для решения актуальных вопросов безопасности нужно внедрять DLP, IDM, SSO, BYOD и прочие мудреные и дорогие системы, но в ограниченных сроках и уменьшающихся бюджетах для большинства компаний это не реально. 

Что же реально можно сделать? 
1. Пересмотреть или провести анализ рисков.
2. Проанализировать и описать новые процессы.
3. Провести обучения персонала требованиям безопасности. 
4. Уделить дополнительное внимание мониторингу инцидентов.
5. Обратить внимание как организован удаленный доступ.
6. Построить процессы передачи информации. 
7. Попросить у производителей бесплатные лицензии на ограниченный период, если они предоставляют такую возможность. Рассмотреть внедрение бесплатных или условно бесплатных решений (но не решений с взломанными или ворованными ключами). Ничего совсем бесплатно не бывает - вы просто сами таким образом установите троян в своей инфраструктуре.
8. Внедрить везде где используется удаленный доступ - 2FA. 
9. Отдать часть функций сотрудникам смежных сфер, ресурсы которых освободились, если того позволяет их компетенция. Например, провести аудит учетных записей систем, проектному менеджеру или qa вполне по силам. Возможно, в будущем из кого то из них получится профильный специалист.
10. Привлечь специалиста по безопасности на контрактной основе с четко оговоренными KPI, что эффективнее и дешевле, чем специалист в штате.

Также будет полезно прочесть предыдущую статью по данной теме. 

среда, 8 апреля 2020 г.

Лицензия DLT для “криптокомпаний”

Около двух лет назад, с 1 января 2018 года для компаний, которые работают с технологиями блокчейн доступна лицензия DLT, которая предоставляется комиссией по финансовым услугам Гибралтара (GFSC). 

Требования содержат в себе ряд финансовых и репутационных требований, а также требований по взаимодействию с клиентами, раскрытии их данных и пр.  

Отдельно выдвигается ряд требований к информационным системам и информационной безопасности компании. Особенно в части возможных расследований утечек и иного клиентского ущерба. Кроме того, требуется наличие процессов KYC для верификации клиентов и противодействия мошенничеству.  

Стоимость - 2000 фунтов для рассмотрения заявки.
Лицензирование от 10 до 30 000 тысяч фунтов.

Как правило получение такой лицензии занимает от 6 месяцев до 1 года.

Получение данной лицензии позволяет как стандартизировать процессы, так и показать серьезность данного вида деятельности для клиентов.