Нам нечего терять! Безопасность для самых маленьких компаний

Если рассуждать об информационной безопасности малого бизнеса, лучше всего подойдёт такое определение: чтобы стать целью, вовсе не обязательно быть целью. Любая компания может стать жертвой атаки и попасть в неприятную ситуацию со скомпрометированным данными. Почему-то руководители малого бизнеса нередко отмахиваются от проблем информационной безопасности с аргументом кому мы нужны? Вы, может и нет, а данные о клиентах, сделках, платежах вполне. Если вы работаете в компании малого бизнеса или руководите ею, зайдите под кат. Этот небольшой ликбез для вас.

Злоумышленники могут казаться милыми и даже пушистыми. А потом возьмут то, что им нужно.

Symantec всё подсчитал: 40% кибератак совершаются на предприятия малого бизнеса (а теперь ещё добавьте риски и угрозы со стороны сотрудников).Бизнес смотрит, как подвергаются атакам гиганты и продолжает халатно относиться ко всем аспектам информационной безопасности в компании. Да что и говорить, у компаний СМБ на то есть причины:

экономия на расходах;
ложная уверенность в сотрудниках и надёжности инфраструктуры;
пренебрежение угрозами из-за халатного отношения к коммерческой информации;
в штате нет не то что безопасника, даже системного администратора.

Так себе аргументы, честно говоря. Например, каждый день создаётся до 360 000 вредоносных программ и приложений, большинство из них фишинг. Беспредельно выросли атаки с применением социальной инженерии. Почему вы думаете, что все угрозы и атаки обойдут именно вас? Если вам дороги данные (которые вам достались за деньги, если вы вдруг случайно забыли или не обратили внимание), информационная безопасность должна стать важным приоритетом в управлении. Она может быть недорогой и эффективной, если подойти к вопросу с умом.

Отслеживайте и будьте готовы

Даже крупные компании и технологические гиганты не способны предотвратить все атаки на корпоративные среды к сожалению, современные злоумышленники хорошо прокачаны и зачастую в своих методах опережают самые совершенные системы противодействия взлому и утечкам. А раз предотвратить нельзя, необходимы три вещи.

Бэкапы имейте по крайней мере по две копии всех ваших баз данных, хранящиеся в разных местах (например, на своём сервере и в двух разных ЦОДах провайдеров в облаке).
Мониторинг попросите системного администратора или аутсорсера создать систему мониторинга внешних и внутренних угроз. Важно не навязывать какое-то конкретное решение, а установить то, с которым спокойно и эффективно сможет взаимодействовать специалист, ответственный за безопасность: это могут быть платные комплексные сервисы, опенсорсные решения или комплекс из разных компонентов (например, базовый мониторинг ИТ-инфраструктуры + сетевой мониторинг + средства операционной системы). Обязательно спросите у специалиста, как он собирается узнавать о проблемах и насколько быстро реагировать. Если речь идёт о небольшой компании (самые незащищённые в малом бизнесе), то весь алертинг должен быть настроен на руководителя или другого абсолютно компетентного сотрудника с высокими правами доступа.
Оперативное реагирование на угрозы на любую угрозу важно вовремя среагировать: распознать, перекрыть кислород (остановить) и предотвратить последствия. Для этого нужен план действий на случай угроз чтобы все решения были заранее согласованными и однозначными (правда, иногда такой план никуда не годится, т.к. идёт нестандартная атака либо в компании произошёл неожиданный инцидент с сотрудником).

Дорогой инструмент ещё не признак ума, господа

Много лет мы развиваем свою CRM-систему: функционально насыщенную, но удобную и надёжную, как автомат Калашникова. Мы работаем для малого бизнеса и предлагаем цены ниже, чем за тот же набор возможностей просят наши российские и зарубежные конкуренты. При этом CRM эффективна и количество отказов от работы в системе минимальное. Просто потому что система подходит клиентам, а мы не стремимся раздеть клиента на дорогом и красивом консалтинге (проще говоря, не пускаем пыль в глаза). Так вот, с системами управления безопасностью ИТ-инфраструктуры (в частности, ITSM-системами, например) та же история: есть хорошие разработки, которые функционально не уступают крупным вендорам с именем, а работают даже лучше, потому что разработчики стремятся действительно помочь клиенту, т.к. довольный покупатель приведёт ещё двоих (ну или не навредит), а злой напишет гадость на Хабре (или ещё где-то).

Не нужно упираться в дорогие инструменты и звучные названия вендоров. Совет такой: разработайте детальный план информационной безопасности. Определите все параметры: от кого вы защищаетесь, что защищаете, какие угрозы и риски критичны, какие векторы атаки могут быть, в чём внутри и вне компании вы наиболее уязвимы. После того, как у вас будет план, приступайте к поиску поставщиков программного обеспечения. Выбирая технологии, помните, что злоумышленникам все они тоже доступны и многое будет зависеть от корректных настроек и добросовестного внедрения (всё, как и с CRM-системами, и с любым другим бизнес софтом).

Поскольку ПО для безопасности один из наиболее доступных путей защиты малого бизнеса, остановимся на этой теме подробнее и рассмотрим, чему ещё нужно уделить внимание.

Не инвестируйте в неэффективные технологии. В 2017 году Accenture (PDF) проводил исследование и выяснилось, что 5 из 9 технологий защиты компании разного типа имеют отрицательный инвестиционный эффект (то есть стоят дороже, чем приносят или сохраняют, вы в минусе). Когда затраты на софт превышают экономию, это серьёзный удар по бюджету компании, потому что возникает три безрадостных пути: либо бросить ПО и забыть о стоимости его покупки и внедрения; либо привлекать дорогих специалистов, раскачивать и поддерживать неподходящее ПО; либо платить дальше и использовать его на той же малой мощности. И да, чаще всего первый вариант самый выгодный и наименее рисковый.
Не покупайте сложное ПО, в котором не сможет разобраться ответственный за него сотрудник обязательно привлеките его для выбора и тестирования демо-версий программ, привлекайте к общению с разработчиком и обучайте.
Ищите решения, которые подходят вашей компании. Если у вас сеть на 15-20 ПК, 3 принтера, пара роутеров и скромный сервер или всё в облаке, вам точно не нужны решения за 7 млн. рублей (которые, к слову, изначально рассчитаны на крупные организации). Протестируйте варианты и выберите самый оптимальный. Когда ПО простаивает, вы окажетесь в пункте 1 этого списка.
Даже при найме самого гениального сисадмина, даже при наличии руководителя, окончившего ВМК или мехмат, даже при самом крутом и лояльном админе-аутсорсере заказывайте программное обеспечение для обеспечения инфобеза только с настройкой и внедрением. Это мы вам как разработчик CRM-систем говорим: все тонкости, детали на старте и доработки идеально может сделать только тот, кто спроектировал и разработал ПО, либо имеет по его практическому применению подтверждённые компетенции. Вот это реально толковое вложение ваш старт будет быстрым и безболезненным, ПО сразу встроится в инфраструктуру и начнёт работать на вас.
Обязательно накатывайте все обновления и патчи, которые выпускает разработчик для управления безопасностью это супер важно. Кстати, этот пункт касается всех корпоративных информационных систем, от корпоративного портала до CRM/ERP, ITSM и проч. Накатывайте обновления и патчи это такое же заклинание, как Делайте бэкапы (ну почти).
Запомните слова и фразы: система комплексной предиктивной аналитики, машинное обучение, искусственный интеллект (во всех сочетаниях), кибер-аналитика, искусственный интеллект для анализа поведения пользователей, нейросети (во всех формулировках). Если вы их слышите от вендора, вы гарантированно переплатите за решение, которое точно вам не подойдёт. Это мантры маркетинга и они волшебным образом удорожают программное обеспечение. Согласитесь вероятность наступления сделки, рассчитанная по Байесу звучит менее продающе, чем искусственный интеллект для скоринга. А фигня та же самая: чем больше сделок с параметрами X,Y, Z закончились покупкой, тем выше вероятность, что новая сделка с X,Y, Z тоже выгорит. С системами безопасности та же история, только часто проблема таких систем у небольшого бизнеса в том, что у него слишком мало данных, чтобы более или менее адекватно использовать подобные алгоритмы.

Сисадмин: домашний или на стороне

Часто в компаниях малого бизнеса (особенно неайтишных) нет своего сисадмина за работу рабочих компьютеров нередко отвечает самый продвинутый сотрудник, уровень которого порой не доходит даже до умения войти в биос. Свой сисадмин или надёжный админ-аутсорсер (от компании или частник) просто необходимы, если вы хотите мало-мальски защитить свою коммерческую информацию. Поэтому обязательно проведите несколько собеседований, обозначьте рабочие задачи и выберите своего джедая ИТ-инфраструктуры.

Не доверяйте облакам безоговорочно

Раньше нас упрекали в том, что мы как разработчики десктопной CRM-системы воевали с облачными сервисами. С тех пор прошло примерно сто лет и наши клиенты уже пользуются облачными сервисами геомониторинга GeoMonitor и саппорт-системой ZEDLine. Да откровенно говоря, мы всегда были по обе стороны облачных систем: и как пользователи, и как инженеры. Так вот, малый бизнес часто совершает ошибку, полагая, что облачные технологии во всём гарант безопасности. На самом деле, это масса рисков, связанных с человеческим фактором, атаками на хостинг, форс-мажорами и различными проникновениями и утечками в облачных сервисах. Увы, до сих пор они остаются менее надёжными, чем десктоп (а по-настоящему защищённые среды очень дорогие).

Есть ещё один неприятный аспект облачных сервисов: сотрудники могут хранить, обрабатывать и пересылать данные с помощью бесплатных Google Docs, различных хранилищ и т.д., к которым есть немало вопросов по уровню шифрования и безопасности. Да и сотрудники нередко создают публичные ссылки и раскидывают их уж совсем в ненадёжных каналах.

Сотрудники уровень опасности красный

Вот мы и пришли к самой большой дыре в безопасности. Если году так в 2010 успешная социальная инженерия была уделом умных злоумышленников и простое мошенничество с её помощью проваливалось из-за очевидной топорности, то сейчас даже сами безопасники не с первых актов общения или взаимодействия распознают атаку. Мошенники идеально воздействуют на человека и прекрасно понимают, что проще атаковать продажницу Василису, чем ломать корпоративные сети и тащить оттуда базу. Две-три неловких ошибки сотрудницы и вот он, доступ к нужным данным. Работать с безопасностью на стороне человеческого фактора тяжелее всего. Но несколько общих рекомендаций всё-таки есть.

Изучайте современные кибератаки (специализированные блоги, Хабр и телеграм вам в помощь) и информируйте о них сотрудников, разъясняя то, как могут действовать мошенники.
Проводите тренинги и теневые учения по безопасности: звоните сотрудникам, рассылайте фишинговые письма, провоцируйте коллег в чатах лучше они клюнут на вашу уловку и получат отповедь (а лучше ликбез), чем попадутся на удочку злоумышленников.
Объясните сотрудникам, что если им что-то кажется подозрительным, лучше спросить у сисадмина или руководителя, чем потом расхлёбывать проблемы и тем более их последствия.
Пропишите регламенты безопасности, работы с паролями, двухфакторной авторизации и т.д.
Разъясните сотрудникам правила пользования устройствами и Wi-Fi общего пользования.
Желательно, если вы позаботитесь о личных проблемах безопасности коллег и включите в тренинги атаки на личную почту, облачные хранилища и банковские карты. Это не альтруизм просто они могут спокойно оперировать рабочими данными в личных сервисах.

Главное правило: безопасность должна быть комплексной и непрерывной, включать мониторинг, меры защиты и работу с персоналом. Главный совет: бойтесь. Наверное, это один из немногих случаев, когда страх по-настоящему оправдан. Если отказаться от ложного чувства безопасности, взгляд на управление компанией становится более трезвым. А управление разумным.

Наши статьи о безопасности:

Корпоративная небезопасность
Основной инстинкт бизнеса: грани корпоративной безопасности

Минутка рекламы

Мы успешно автоматизируем малый и средний бизнес:

RegionSoft CRM универсальная десктопная CRM-система для малого и среднего бизнеса
RegionSoft GeoMonitor облачный сервис для управления выездными сотрудниками на основе GPS/ГЛОНАСС
ZEDLine Support простой и удобный облачный сервис для управления обращениями клиентов (тикет-система)

Подписывайтесь на наш Дзен, там много интересного об HR, работе и прочем нехабровском.

Когда начали строить новый красивый бизнес-центр недалеко от главной улицы города, мы с подругой были выпускницами престижного вуза и поступали в аспирантуру. Она задрала голову на этажи из стекла, бетона и металла и спросила: Хотела бы работать в таком здании, в огромной корпорации? Ага, может когда-то, кивнула я, думая об одной лишь карьере учёного. Но у жизни на моё ага были свои планы: я прошла и через корпорации, и через науку

Вы списывали в школе? Тогда наверняка помните, у кого вы списывали: либо у отличников, либо по причине вредности оных у более или менее доверенных, сообразительных одноклассников. Пришло бы вам в голову списать у новенького из параллельного класса, который пришёл один день назад? Нет, конечно, вы ведь рисковали своей оценкой и репутацией перед учителем и родителями. И как-то мы, школьники, интуитивно до этого доходили.

Но по

Доставка товаров и продуктов на дом облегчает жизнь, особенно, если это жизнь в условиях самоизоляции или удалённой работы из дома. 2020 год обрушил на наши головы и в наши мобильники почти десяток приложений с собственной доставкой и море интернет-магазинов привычных сетей с услугами сторонних доставщиков. А раз так, почему бы не провести небольшое исследование и не проанализировать, какие они, сервисы доставки, и насколько они от

Четыре года назад одноклассница попросила посоветовать, какое технологическое направление выбрать в вузе её брату: среди рассматриваемых вариантов были разработка ПО, алгоритмы и машинное обучение, математика. Я посмотрела актуальный список специализаций и как типичный бывший связист удивила ответом: "телекоммуникации и связь". Сейчас уже год как выпускник работает в операторе связи, увлекается безопасностью сетей связи и говорит,

Как вы думаете, для чего компании-разработчики создают CRM-системы? Изучают опыт клиентов, составляют ТЗ, реализуют фичи, анализируют рынок, постоянно накатывают обновления и выпускают новые релизы, готовят программы обучения и алгоритмы внедрения, содержат штат программистов и покупают дорогие среды разработки и вспомогательный софт? Исключительно для того чтобы великие бизнес-умы с пеной у рта доказывали, что нет СУБД надёжнее Эк

Большую часть своей жизни я жил и работал в Москве. Занимался тем, что менял здоровье на деньги. Правда, на очень хорошие, поэтому под занавес пятого десятка купил квартиру в тихом приморском городке, далеко от столичной суеты и ежедневной нервотрёпки.

Особой необходимости в работе у меня не было. Дети уже стали самостоятельными настолько, что запросто могут содержать нас с женой. Да и скопить удалось прилично. Однако, были

Слово Анонимус уже давно стало нарицательным его часто употребляют в отношении пользователей интернета, не желающих лишний раз светить своими персональными данными. В то же время термин Anonymous имеет вполне конкретное значение так называется международное движение хактивистов, прославившееся целым рядом громк

Компания Bolid лидер в разработке интегрированных систем безопасности - то, что вы услышите, если позвоните им по телефону. Это своего рода российский Apple в сфере

Exchange довольно мощный и популярный почтовый сервер в мире энтерпрайза. Против угроз малварей и фишинга он имеет как встроенные механизмы защиты, так и возможность использования сторонних продуктов. Но в реальности этих возможностей не всегда достаточно для отлова всех вредоносных писем: малвари проходят к пользователям до того, как их сигнатуры попадут в антивирусные базы, а URL-адреса в репутационные списки. Поэтому мы разработ

Наверное, все разработчики слышали, что нужно писать чистый код. Но не менее важно писать и использовать безопасный код.

Python-разработчики обычно устанавливают модули и сторонние пакеты, чтобы не изобретать велосипеды, а использовать готовые и проверенные решения. Но проблема в том, что они не в

Цель статьи - собрать интересные инструменты, техники и команды, которые можно использовать для выполнения задач при проведении тестирования на проникновение. Краткий список того, что будет в этой статье:

Что такого с DNSAdmins?

Представьте ситуацию: вам нужно воспользоваться оплаченным (как вы думаете) сервисом и вдруг оказывается, что он отключен за неуплату. Такая неприятность портит впечатление от бренда, снижая поток прибыли, а внезапно отключенный клиент может не вернуться к сервису. К старту ку

Я как-то видел, когда в команду разработки закинули задачу распилить монолит. И всё. Люди должны были работать в два раза больше это ужасно.

Когда поступает похожий запрос, важно не наворотить дел и понять, как избежать новых трудностей. Об этом рассказал Марсель Ибраев, технический директор Слёрма.

Марсель поделился непростым кейсом из своего опыта, высказал мнение, что всё начинаетс

Что такое single sign-on?

Технология единого входа (Single sign-on SSO) метод аутентификации, который позволяет пользователям безопасно аутентифицироваться сразу в нескольких приложениях и сайтах, используя один набор учетных данных.

Как работает SSO?

SSO базируется на настройке доверительных отношений между приложением, известным как провайдер услуг, и системой управления до

Привет! Меня зовут Мирослав, я инженер-разработчик проекта по реализации BPM-решений для внутренней автоматизации КРОК.

Наш проект не гоняет миллионы строк каждую ночь через фильтры и правила, это не сложная система, которая отвечает за кадровую информацию, бюджетирова

Согласно последнему отчету Yole Developments, внедрение новой памяти DDR5 будет происходить, по меркам сегмента, практически молниеносно. Аналитики компании считают, что уже к 2023 году сумма поставки модулей памяти нового поколения превысят $200 млрд, а к 2026 году новая память займет 90% мирового компьютерного

Всем привет! В вот и наша ежемесячная подборка вебинаров и митапов, которые будут полезны для тех, кто связан с созданием бизнес-приложений. В этот раз у нас будет 4 мероприятия, 2 из которых полностью на русском, и еще 2 - с субтитрами на русском. Присоединяйтесь!

1.

Но по

Знаем, как сложно родителям выбрать профессию для своего ребенка. Этот выбор определит, будет ли он доволен своей жизнью и будет ли он с удовольствием просыпаться по утрам, чтобы пойти на работу. Для того, чтобы немного облегчить выбор родителей, команда школы программирования для детей Пиксель провела серию интервью с состоявшимися специалистами в мире IT. В предыдущем интервью мы рассказали о

Каждый день к нам приходят сервисные компании, управляющие штатом мобильных сотрудников и подрядчиков, с задачами оптимизации сервисных процессов на базе нашей ИТ-платформы HubEx. Чтобы помочь определиться с целями внедрения и системно ступить на путь автоматизации сервиса,

Эта статья появилась после общения с товарищами из группы 1С франчайзи. Не так давно они меня пригласили на неформальную встречу, где представили, как автора публикации Что такое 1С и почему это плохо. В процессе общения я сам признал, что та статья была недостаточно глубокой. Кроме того, со времени написания публикации мое мнение также несколько изменилось. Потому пообещал провести анализ программных решений 1С с экономической точ

19 мая, на английском с субтитрами на русском

Сегодняшний мир, который становится все более цифровым, требует гибкой стратегии электронной коммерции. Виртуальный учебный

Всем привет,

Минутка деанона, меня зовут Анатолий Маковецкий, я Security Team Lead в Exness.
Сразу извинюсь перед теми, кто ожидает увидеть технический write-up, здесь его не будет. Также в материале описаны настолько очевидные на первый взгляд вещи, что

Численность зарегистрированных плательщиков налога на профессиональный доход (НПД) в феврале 2021 года достигла 1,7 млн человек. На практике плательщиков НПД обычно называют самозанятыми, хотя в законодательстве и нет такого термина. Расскажу о плюсах и минусах сотрудничества с самозанятыми для бизнесменов.

Всем привет! Я ведущий системный аналитик в компании МойСклад и сейчас мы с командой Производство запускаем внутренний стартап внутри стартапа Производство 2.0. Недавно я написала о том, с чего начать процесс разработки в новоиспеченном проекте, а сейчас хочу продолжить рассказ из горящего танка.

К началу второго спринта мы сошлись на том, что

Что сложнее: запустить стартап-проект в чистом поле или встроить его в готовый продукт? На самом деле одинаково сложно все.

Когда ты начинаешь что-то с нуля, то у тебя есть простор для творчества, одновременно с этим нет ничего для запуска нужно много человеко-ресурсов, а бонус потенциально нет пользователей.

В случае с запуском внутреннего стартапа, нового направления развития внутри продукта, мы име

Почему два человека в отделе продаж часто бывают эффективней, чем шесть?

Проблема часто скрывается в стремительном расширении команды продаж. Камерная

	Русский
	English

Нам нечего терять! Безопасность для самых маленьких компаний

Отслеживайте и будьте готовы

Дорогой инструмент ещё не признак ума, господа

Сисадмин: домашний или на стороне

Не доверяйте облакам безоговорочно

Сотрудники уровень опасности красный

Минутка рекламы

Сейчас читают

Блог компании regionsoft

Работа в малом бизнесе в ИТ 7 важных уроков

Дай списать CRM?

Доставка, которая доставляет субъективные мысли и выводы простого клиента

С Днём Радио! Размышления о будущем связи