"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Как обеспечить защиту от сторонних лиц и организаций

 

В современном взаимосвязанном мире бизнес не может нормально функционировать без множества нитей, связывающих его с поставщиками, подрядчиками, аффилированными структурами, партнерами и прочими третьими организациями и личностями. В то время как эксперты продолжают называть «безответственного инсайдера» наиболее уязвимым звеном в системе охраны предприятия, внешний партнер с точки зрения рисков и угроз достоин такого же, если не большего, внимания службы безопасности.

Р. Райзер и С. Ганов, адвокаты компании Faruki Ireland & Cox., авторы Белой книги под названием “Traitors in Our Midst: The risk of employee, contractors and third parties in the age of the Internet of Things and why security in depth remains critical to risk management.”, отмечают, что «межсетевые экраны, системы кодов и паролей по-прежнему играют важную роль, но не обеспечивают полную защиту бизнеса» (csoonline, June 30, 2014).
Относительно недавний пример: взлом баз данных крупного ритейлера Target. Хакеры осуществили фишинговую атаку с использованием электронной почты партнера Target – компании, занимающейся установкой систем отопления и кондиционирования. Один из сотрудников этой компании легкомысленно щелкнул на вредоносную ссылку и, в конечном счете, скомпрометированными оказались миллионы кредитных карт, принадлежащих клиентам Target.

Хакерские взломы через сторонние организации становятся все более распространенными, считает Поль Трюлав, вице-президент SailPoint. Даже такой гигант рынка как корпорация AT&T подверглась мощной атаке через одного из провайдеров, в результате чего хакеры овладели персональной информацией клиентов AT&T, обладателей мобильных девайсов, в том числе данными о датах рождения и номерах страховок.

Причина подобных провалов, по мнению экспертов, заключается в том, что при заключении партнерских и подрядных договоров не уделяется должного внимания вопросам обеспечения безопасности бизнеса со стороны контрактора. Другая причина – наем временных работников, зачастую без участия службы безопасности и управления кадров. Плюс ко всему такие работники нередко остаются вне контроля СКУД и других систем безопасности, отслеживающих доступ и перемещения постоянного (штатного) персонала. Работники по контракту обычно приносят на временную работу собственные компьютеры и программы, которые не проходят очистку и контроль в корпоративной сети. Прибегая к аутсорсингу, популярность которого из года в год растет, компании интересуются, главным образом, стоимостью услуг, а не уровнем безопасности.

Чтобы минимизировать риски, эксперты советуют не забывать о базовых мерах защиты предприятия. Например, менять пароли всякий раз при приобретении (в том числе через партнеров) новых девайсов, использовать мульти-факторную идентификацию.

Кроме того, во время подготовки контракта с третьей стороной необходимо предусматривать такие компоненты как:

- информационная защита;

- охрана прав личности (в т.ч. персональных данных);

- анализ рисков и угроз;

- обязательство следовать правилам и инструкциям по безопасности;

- согласие на проведение внутренних аудитов и расследований;

- меры борьбы с коррупцией.

Особенно важно в этом перечне заручиться согласием партнера на проведение аудитов безопасности и такие аудиты  практиковать. 

 

вернуться назад

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru