Игра по вашим правилам
Все больше компаний в РК выбирают сервисную модель оказания услуг, кроме того, значительный рост ИТ-систем и прочих цифровых решений зачастую не оставляет иного выбора, кроме стороннего обслуживания той или иной системы
Полагаясь на поставщика, который плотно контактирует с вашей инфраструктурой, крайне важно с самого начала устанавливать безопасные и прозрачные партнерские ИТ-отношения и стандарты.
Почему вас должна волновать безопасность чужих систем?
В рамках сервисного обслуживания предоставляемый вами доступ внутрь защищенного контура генерит набор управляемых ИБ-рисков. Например, подрядчики могут использовать незащищенные персональные устройства со слабыми паролями или устаревшим ПО с уязвимостями. Часто подрядчики могут переключаться с одной задачи на другую, с одной компании на другую, и все это в рамках одного набора устройств и людей. В процессе к вам может прийти заражение из другой сети, а если сотрудник подрядчика подвергся атаке и был взломан — пострадают все его клиенты. Вот почему крайне важно общаться с подрядчиками в контексте кибербезопасности и говорить о важности ИБ-правил и политик компании.
Call2Action: как управлять безопасностью подрядчиков?
Относительным открытием для рынка систем ИБ-менеджмента стал новый класс продуктов — ПО для управления ИБ-подрядчиков. Такие системы, подобно системам кадрового документооборота, позволяют компаниям оптимизировать контрактование подрядчиков, их онбординг, установку ИБ-правил и проверку комплаенса на соблюдение мер безопасности, равно как и соблюдение ИБ-политик в ходе выполнения проекта. Эффективная платформа управления подрядчиками должна позволять организациям устанавливать средства контроля доступа, ограничивающие то, к чему подрядчики могут получить доступ или что могут изменить в зависимости от их ролей. Такие платформы также помогают организациям управлять протоколами аутентификации для подрядчиков, требуя многофакторной аутентификации (MFA) и использования надежного пароля перед доступом к конфиденциальным системам. Вишенка на торте — отслеживать деятельность подрядчиков и обнаруживать подозрительное поведение в режиме реального времени.
Что еще важно учесть в безопасной работе с подрядчиками?
- Важно автоматически отзывать доступ после завершения проекта или завершения работы подрядчика. Это минимизирует риск, предотвращая дальнейший доступ после завершения работы с компанией.
- Эффективно создавать по своим стандартам безопасное виртуальное рабочее место как для внутренних работников, так и для сторонних подрядчиков, тем самым снижая риски, связанные с внешними контрактами.
- Критично установить четкие протоколы кибербезопасности подрядчиков. Эти протоколы должны быть включены в их договоры и определять защитные действия в процессе возможной атаки.
- Ограничение доступа к данным: подрядчики должны получать доступ только к тем файлам и системам, которые необходимы для выполнения их обязанностей.
- Уведомления об инцидентах: подрядчики должны быть обязаны оперативно сообщать обо всех инцидентах безопасности, таких как утечки данных или утерянные или украденные устройства.
Также стратегически важно проводить регулярные занятия по повышению осведомленности в области кибербезопасности для подрядчиков. Не все из них обладают знаниями в области цифровой безопасности, поэтому образование должно восполнять любые существующие пробелы в знаниях. Хорошо продуманная программа обучения должна охватывать фишинг и социальную инженерию, безопасное использование интернета и защиту данных. Инвестируя в знания ваших подрядчиков, вы защищаете свой бизнес.
