4 Min. Read

3 шага по минимизации уязвимостей безопасности, исходящих от третьих лиц

Guy Flechter Jun 03, 2019

Компании не существуют в вакууме. Как бы нам ни хотелось верить, что используемых внутренних мер безопасности достаточно для защиты, реальность такова, что это всего лишь одна деталь целого пазла. Каждая компания полагается на другие организации, будь то провайдер сервиса электронной почты, серверная ферма или кафе, из которого по пятницам доставляют обеды. Если ваши меры безопасности не охватывают другие организации и сервисы, которыми вы пользуетесь, то у вас большие проблемы.

За последние десять лет множество компаний столкнулись с непредвиденными нарушениями безопасности в цепочках поставок, которые буквально пошатнули бизнес. Крупнейшие мировые бизнесы стали жертвами наличия уязвимостей у собственных вендоров.

Проверкой вендоров нужно заниматься так же, как любым другим элементом корпоративной безопасности. Если вы закрываете глаза на уровень безопасности сторонних организаций, то с той же легкостью можно оставлять двери в офис открытыми на ночь и поменять все пароли на 1234567. Инвестировать во внутреннюю безопасность, но игнорировать возможные риски извне — это как повесить замок на входную дверь и настежь открыть окно. Уязвимость есть уязвимость, и третьи лица могут стать источником серьезного риска.

Как и любая другая компания, AppsFlyer взаимодействует с рабочим окружением и средой. В продукты AppsFlyer интегрированы некоторые сторонние решения. Кроме того, мы нанимаем вендоров для оказания внутренних услуг в разных департаментах. Управление безопасностью вендоров зачастую играет решающую роль в формировании общей защиты AppsFlyer, и поэтому требует должного внимания со стороны нашей команды по обеспечению безопасности.

В этой статье я расскажу о шагах и мерах, которые нужно предпринять, прежде чем подписывать договор с новым сторонним вендором.
С точки зрения безопасности, необходимо уделить внимание следующим 3 направлениям:

1. Оценка рисков
2. Приоритизация, автоматизация и прозрачность
3. Непрерывный мониторинг

Начнем.

 

Пролог: «Все ли подрядчики одинаковые?»

Нет.

Разные вендоры — разные риски. Кафе, которе доставляет обеды по пятницам не создает тот же риск, что и провайдер сервиса электронной почты.

В условиях ограниченных ресурсов важно знать, где концентрировать внимание. Определить, каких вендоров нужно проверить тщательнее других, — первый важный шаг при выборе сторонних услуг. Здесь поможет оценка рисков. При расширении компании и сопровождающим этот процесс сокращении ресурсов именно оценка рисков поможет определить, куда направить усилия по обеспечению должного уровня безопасности.

 

1. Оценка рисков

Оценка рисков — это ключевой элемент любой программы по обеспечению информационной безопасности. В рамках оценки организации определяют потенциальные риски, источниками которых могут быть сторонние организации.

Для проведения тщательной оценки рисков, нужно рассмотреть несколько основных вопросов:

  1. Будет ли у вендора доступ к конфиденциальной информации?
  2. Какую проблему будет решать вендор?
  3. Есть ли у компании уже готовое решение?

Я не могу предоставить вам формулу решения этих вопросов или схему, на которую можно опираться. У каждой компании особая инфраструктура и потребности, которые определяют, какой будет оценка рисков. В долгосрочной перспективе процессы оценки рисков сэкономят вам время и силы, а отвечать на вопросы, приведенные выше, станет проще.
Ответы на эти вопросы помогут вам принимать решения и расставлять верные приоритеты.

Ваши требования к безопасности должны быть изложены в договоре с вендором. Это ускорит оценку безопасности вендора за счет централизации всех требований в едином формате.

За свою карьеру я часто видел, как поставщики, чтобы создать благоприятный имидж, давали ложную информацию при ответах на вопросы о безопасности. Важно, чтобы разговор шел при участии команды по обеспечению безопасности. Так вы сможете напрямую выяснить все необходимые моменты, а также поддерживать открытый и профессиональный диалог.

Наконец, если вендоры сразу отказываются соблюдать какие-либо положения или требования, это показатель того, как они в целом относятся к безопасности, и в каких областях риска нужна более тщательная проверка.

2. Приоритизация решений, автоматизация процессов и обеспечение прозрачности

Замедлять процессы, повышать секретность и ограничивать обсуждение вопросов безопасности — не лучший подход.

Приоритизация решений. В AppsFlyer к вопросам безопасности подходят с гибкостью. Такой подход доказал свою эффективность, когда компания выросла. Поддерживая постоянный контакт с различными департаментами, мы решаем вопросы безопасности не замедляя рабочие процессы (или как минимум делаем все возможное, чтобы не создавать узких мест). «Двери» нужно держать открытыми, но обязательно оставлять кого-нибудь на страже.

Конечно, это не значит, что мы игнорируем правила обеспечения безопасности, однако если доказано, что риск от определенного вендора крайне мал, мы не считаем нужным дополнительно проверять его.  

Автоматизация процесса. Постарайтесь максимально автоматизировать работу, например, купить ПО для управления процессами оценки рисков и отношениями с вендорами (только сначала проверьте поставщика ПО, ну, вы понимаете). Это поможет всем департаментам вашей компании не тратить время на ожидание ответа от команды по обеспечению безопасности.

Обеспечение прозрачности. Сделайте процессы и принципы в их основе понятными не только команде, которая занимается вопросом безопасности, но и сотрудникам, которые просят нанять вендора, а также самому вендору. Убедитесь, чтобы все участники знали, в какой стадии процесс, а также о возникающих вопросах и проблемах (если они есть).

 

3. Непрерывный мониторинг

Безопасность динамична, а не статична. Непрерывный текущий мониторинг крайне важен для безопасности вашей компании. Организации развиваются, их покупают, а данные переводят в другие компании, меняются используемые стандарты, штаб-квартиры переезжают. Если вендор, с которым вы работаете, например, купили, то процесс проверки следует начать сначала. По сути, вы будете оценивать совершенно новую компанию. Стоячая вода тухнет. Обязательно периодически проверяйте нанятых поставщиков повторно.

 

Как внедрить безопасность в корпоративную ДНК

В вопросах обеспечения безопасности риски от третьих лиц — это всего лишь одна из многих частей процесса. Ставя безопасность во главу каждой стадии инноваций и роста, вы всегда будете на шаг впереди, когда дело дойдет до минимизации рисков.

Управляйте рисками в работе с третьими лицами и не позволяйте им управлять вами.

 

Посмотрите, как наш CEO, Орен Кэниел, обсуждает риски в работе с третьими лицами, один из 4 столпов жизненно необходимой маркетинговой платформы.