С каждым годом доля представления бизнеса в Интернет растет. Если в начале интернет-эпохи компании содержали корпоративные сайты лишь для информационных и рекламных целей, то сегодня это - мощные платформы продаж и предоставления сервисов on-lineЛогично, что интернет рынок породил конкуренцию. Конкуренция в Интернет присутствует на каждом шагу - от позиций в поисковых системах по ключевым словам до самых модных дизайнерских решений на сайтах. На борьбу с конкурентами в интернет-пространстве тратят безумные деньги. Но при в этой «гонке вооружений» участники рынка очень часто забывают о безопасности.
Информационные риски
Риски бизнеса напрямую зависят от информационной безопасности. Проанализируем различные варианты возможных действий конкурентов.
Итак, возьмем промышленный шпионаж. Представим себе такую картину: компания А является прямым конкурентом на рынке компании Б. Клиентская база компании А стала бы ценным достоянием компании Б, следовательно для ее получения компания Б заказывает услуги специалиста (хакера), который техническими методами незаметно получает несанкционированный доступ к конфиденциальной информации компании А. Таким образом, компания Б, воспользовавшись похищенной информацией, получает преимущество на рынке.
Игнорирование безопасностью приводит к снижению уровня доверия клиентов. Представим еще такой пример. Клиенты компании А ежедневно посещают корпоративный сайт с целью получения свежей информации об услугах и ценах. Злоумышленники получают доступ к
сайту компании и вносят изменения в структуре сайта, таким образом, что вместе с прайсом компании в браузере открывается, например, яркая подборка порно-сайтов. Понятно, что после такого инцидента клиент перестанет доверять этому сайту (если, конечно, это не ярый фанат порнухи) да и компании в целом. А, как известно, плохие слухи расходятся намного быстрее, чем хорошие.
Кризис безопасности приводит и к остановке рабочего процесса. Например, компания-конкурент перед подготовкой к важному тендеру делает компании А “выходной” с помощью технических средств, удаленно выводит из строя почтовый сервер компании, забросав все доступные извне почтовые ящики спамом.
И это только вершина айсберга. Примеров можно привести намного больше. Как и способов получить преимущество на интернет-рынке.
Управлениями рисками информационных систем
Risk Management Information Systems (RMIS) - консолидация имущественных ценностей, политик безопасности, и открытости информации, что вместе с отслеживанием отчетов по имеющимся инцендентам дает возможность отслеживать и контролировать общие расходы на риски.
Разделяют 3 ключевых процесса управлениями рисками: выявление риска и его оценка, писк контроля и риск финансирования.
С точки зрения бизнеса управление этими рисками должно ложиться на плечи руководства IT-отдела компании, и как показывает практика, лишь в профильных IT-компаниях это выполняется качественно, поскольку оценку состояния безопасности делают люди, которые за нее и должны отвечать.
Безопасность своими руками
Сколько же стоит поддержка информационной безопасности собственными силами?
Цена, как известно зависит от качества, поэтому попробуем разобраться на примере компании, профессиональная деятельность которой не связана с IT-бизнесом. Входными данными для нашего расчета будет компания, которая имеет 3 сайта, один внешний сервер, и 5 серверов для обеспечения работы офисов в регионах. Для проверок безопасности нам понадобится:
1. Специалист по информационной безопасности (можно использовать имеющийся IT ресурс и это сделает невозможным контроль качества) - зарплата специалиста приличного уровня $1500/месяц.
2. Аппаратное обеспечение работника, одноразово, сервер и лицензия на ОС - $900.
3. Программное обеспечение для аудита безопасности сайта и серверов - $5000.
Итого, по скромным подсчетам, цена владения комплексом для обеспечения внешней информационной безопасности составит 24 тыс. долл. в год. И не каждая средняя компания захочет нести такую дополнительную нагрузку.
Аутсорсинг услуг безопасности
Поэтому на помощь приходит внешний аудит информационной безопасности.
На западе очень распространена практика - заказ услуги аудита информационной безопасности у профессиональных компаний. Преимущества такого подхода очевидны — это обойдется как минимум вдвое дешевле, чем поддержка безопасности собственными силами, а качество самих услуг будет выше, поскольку посторонние аудиторы не будут закрывать глаза на проблемы, которые сложно устранить IT-отделу.
При чем у профессионалов отработана методика тестирования. Так, например, компания SHALB Украина проводит свыше 25 тысяч тестов сайта на все известные уязвимости и сценарии проникновения. При этом эмулируется попытка взлома. Как результат, заказчик получает детальное описание найденных уязвимостей на сайте, возможные последствия их злоумышленного использования, а также детальные рекомендации по их устранению.
