Продолжительность 15:33
16+
Воспроизвести
Видео

Аудит бизнес процессов с точки зрения ИБ. С чего начинать?

Продолжительность 15:33
16+
Воспроизвести
Видео

Аудит бизнес процессов с точки зрения ИБ. С чего начинать?

Иван Бируля
Директор по безопасности в Redmond
  • Видео
  • Аудио
  • Тезисы
  • Видео
  • Аудио
Код ИБ Онлайн 2020
29 января 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Видеозапись
Аудит бизнес процессов с точки зрения ИБ. С чего начинать?
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
29
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Опыт работы в IT-отрасли — 12 лет, из них на управляющей должности — 10 лет.
Работал инженером-проектировщиком систем безопасности, руководил отделом безопасности ОАО «Паритетбанк», департаментом безопасности группы компаний T.E.L.S (Transeuropean Logistic Service).
Эксперт в области информационной безопасности, практикующий профайлер. Имеет обширный опыт проведения служебных расследований.
Разработал авторскую методику на основе нескольких школ и направлений профайлинга в России.
Обучался по программе МАШАВ (Израиль).
Постоянный спикер конференций в сфере информационной безопасности.

О докладе

Код ИБ ОНЛАЙН Взаимодействие с бизнесом

Поделиться

сегодня решил поговорить на такую тему аудит бизнес процессов с точки зрения информационной безопасности из чего начинать почему выбрал такую 00:00 тему Наверное потому что достаточно часто своей карьере сталкивался с подобными вопросами конечно же рассмотреть все 00:09 аспекты аудита бизнес-процессов с точки зрения информационной безопасности в целом Наверное мы не сможем потому что ну форматы временном 00:18 позволят но с какими-то проблемами которые существуют в этом направлении на своё мнение в этом направлении 00:28

я выскажу и уверен что у многих подобные проблемы возникают Почему при всё начинается у слова 00:38 мы возьмём нашего стандартного безопасника специалиста по информационной безопасности которые приходят в компанию устраивается Ну 00:48 естественно руководители и собственники директора для каждого сотрудника есть в отношении него какие-то ожидания и есть 00:57 предположение о том что он сейчас вот идёт порядок это Типовая фраза которую я ранее слышал Вот 01:07 вот тебе компания Ты очень замечательный специалист Наведи у нас порядок скажем так очень грамотная беда 01:17

да почему-то считается что специалиста по информационной безопасности это те как раз люди которые могут жить в паре могут 01:27 жить по правилам это правильно действительно например в отношении сравнении с людьми от бизнеса 01:36 в каких-то товарищи до специалиста по информационной безопасности живут по каким-то правил внутри компании прежде чем связано с 01:45 тем что ну осознаю трески понимаю. хаос и нарушение каких-либо правил и стандартов 01:55 к чему это может привести И какие потери могут быть для компании осуществлены Ну в виде состоит сложность в том 02:05

что нельзя начинать наводить порядок в компании исходя из информационной безопасности или безопасности в целом если не налажена 02:15 никакие бизнес-процессы и даже например неописанный эти бизнес-процессы наводить там порядок совершенно бесполезно невозможно 02:24 службы информационной безопасности сделать как драйвер для того чтобы компания существовала по правилам по какому-то компромиссу 02:33 Так у меня было в одной из компаний когда Казалось бизнес-процесс не описан в принципе А в компании 02:42

существуют институт скажем так указав когда лиц в 02:52 первых и вторых руководство компании издает никаких звуков что мол сегодняшнего дня живём вот по таким-то правилам делаем раз-два-три 03:02 машине такого-то бизнес-процесса дальше бизнес-процесс начинают виться дальше От этого от этих ветвей. спускается сверху от больших лиц 03:11 на исполнителей чаще всего на линейных руководителей от линейных руководителей непосредственно уже исполнителем исполнители могут 03:21 переходить из отдела в отдел могут увольняться приходи новые исполнители В итоге как по сути дела осуществляется бизнес-процессов стоит совершенно 03:31

непонятно Ну один из примеров в компании случилась беда когда падал сервер 03:41 CRM на котором крутился CRM соответственно бизнес не работал из админы бегали чего-то там восстанавливай не хотел 03:50 Там было очень тяжело очень часто в базе данных терялись какие-то данные Ну решили что надо всё-таки как-то наладить 04:00 бэкап бэкап в первое лицо компании спустило сверху указ прошу наладить Backup 04:10 второе лицо обратилось к системному администратору системы strator занялся этим вопросом Ну вместе с этим прилёг прилёг 04:17

специалиста который отвечает за CRM Service Play давай как-то ты тоже увлекаешься в этот процесс Всё наверное что бы 04:27 копы делаются ежедневно как положено по расписанию причём BK по сливаются не в одно место в несколько мест есть чтобы уже была совсем совсем 04:37 надежно К чему привела подобная вещь Когда не было написано ни регламент бизнес-процесса организации бизнес-процессов 04:47 никто не контролировал по сути дела Ну руководитель доверяет своим сотрудникам говорит Ну всё хорошо Молодцы справились 04:56

а случилось следующее по сути дела быка был организован вовне сотрудникам Pony зашифрованным каналам 05:05 в обычное публичное облако Ну и в итоге закончилось это всё тем что один из сотрудников которые ты бэкапов 05:15 внешних быка по сути дела передал доступ к нему конкурирующей компании вот 05:25 вопрос как обнаружить Этот бизнес процесс как его про аудировать когда он даже не описан в принципе ну и 05:33 создавался он системе указав поэтому первое из скажем так проблем выучите бизнес процессов с точки зрения 05:43

информационной безопасности это невозможно проводить аудит House вторую тему которую я затронуть это 05:52 когда всё-таки бизнес процессы существуют и описаны есть регламенты но существует другая проблема регламент 06:01 никто не исполняет наверно такая боль многих служба безопасности по крайней мере у меня в практике это было и 06:11 создавала ну скажем так они разные совершенно сложности простая практика 06:21 практика использование USB носителей рассказываем как В каких случаях можно использовать USB носителя кому можно использовать на USB носителе и когда 06:31

можно использовать всё описано всё контролируется всё замечательно бизнес продолжает нарушать любые правила нарушают эти 06:40 правила соответственно службы информационной безопасности фиксируют докладывать наверх в виде инцидентов Первые лица говорят 06:50 дам регламент нарушен Ну и ладно это было сделано в интересах бизнеса очень часто нарушение различных 06:59 бизнес-процессов и в том числе правил по информационной безопасности происходит под эгидой это нужно бизнесу Мы работаем так и по-другому нельзя 07:08

Как выступают служба безопасности в чаще всего они начинают работать с точки зрения пугало рассказывает Какие риски несут подобные 07:18 действия Ну то есть по сути дела то вот знаете на флешку там была скидка коммерческая информация о Ведь если бы попало конкурентом или вообще 07:28 непонятно кому Мы бы могли потерять вот столько столько столько денег хожу скажу из своей практики 07:38 страшилки не работают бизнес на них не обращает внимание он начинает говорить следующие Ну во-первых 07:45

безопасники всегда пугаете это ваше норма жизни нормы поведения а второй вопрос Ну могло это не значит что 07:54 произошло и вообще сколько у нас в компании таких случаях Что произошло не можете припомнить значит риска можно пренебречь то есть как вот многие 08:04 коллеги по цеху говорят что мы слишком много пугаем бизнеса и люди к этому привыкли и бизнес к этому привык много 08:14 мы кричали волки Что делать в этой ситуации Ну скажи наверное крамолу что нужно добиваться исполнения 08:24

регламентов но в пуще должен быть подход Ну индивидуальный индивидуально исходя из 08:33 личностей взглядов собственников компаний непосредственных руководителей и директоров то есть первых лиц расскажу маленький 08:42 кисы свои практики добился того чтобы вот руководитель даже на бумажном носителе подпись под регламентом 08:51 И следующий раз пришёл и говорю Не то что там резки произошло инцидент по безопасности чем это чревато а начал давить на то что 09:01 нарушаются потому что вас не уважают как руководителя вы издали указ людям плевать плевать на вашу кассу 09:11

плевать на то что вы здесь живете Вы пытаетесь регулировать компанию Удивительно но это сработало это 09:21 сработало и руководитель стал требовать исполнения регламентов в этом случае нужно взять какую-нибудь яркие серьезный инцидент с которым был 09:30 руководитель Пускай частично но согласился бы но и далее развивать успех и продлевать вот это вот вопрос установление власти 09:40 руководителя над компании распространяется волна все аспекты касаемые вопросов информационной безопасности 09:49

а третий Аспект который бы хотел затронуть вопросе аудита бизнес-процессов с которым я сталкивался в своей 09:59 практике И сложностью это не не понимание бизнес-процессов даже когда вы смотрите на описание понимаете 10:08 пытаетесь вникнуть что где крутится что куда падает и кто за что ответ всё равно тонкости бизнес-процесса 10:18 до конца понять невозможно потому что Вы не являетесь не его создателями не тем более исполнитель коллеги но очень 10:27 предлагают безопасником в какой-то части стать на сторону исполнителя то есть ну условно говоря побыть один день 10:35

бухгалтером побыть один день сервис мастером по ремонту не знаю кем угодно Ну не совсем Вот хорошо и достаточно сложно 10:45 но для того чтобы заметить точки уязвимости в любом процесс его всё-таки нужно понимать очень глубоко один из последних случаев 10:55 как бы столкнулись с тем что в одном из бизнес-процесс есть возможность Извне вмешаться 11:05 одному из сотрудников одно из категории сотрудников и его поменять причём это останется бесконтрольно Ну даже не будет заметь как 11:14

инцидент начали разбираться чуть поглубже обнаружились там есть проблемы с правами доступа но это уже вот как раз на стороне 11:24 информационной безопасности разбираться почему там есть проблема с правами доступа если не потому что никто даже не задавался в какой-то момент 11:33 ролевой моделью в 30 вот процесс создавался скажем так без участия службы информационной безопасности потому что бизнес 11:43 нужно было Быстро что я предпринимал например в своей практике 11:53 303 таких случаях когда Ну опять же ты не до конца понимаешь процесс А у 11:59

тебя карта что там какой-то не процентам Zara Zara на я привлекал сотрудников которые непосредственно работают просил оказать 12:09 помощь при чём какое-то не вслепую а раскрываем карты что мопсу мнение в этом бизнес-процессе есть очень серьёзные проблемы 12:19 которые ведут к потерям компании нужно оказать помощь Давай что-нибудь придумаем прямо сейчас сотрудники отказываются 12:28 потому что она мне не видит в этом не видят в этом смысла Да и тем более у них есть опасение что если безопасность вмешивается в какой-то из 12:38

бизнес-процессов изменение бизнес-процессов и чаще всего в сторону неудобства потому что большой уровень 12:46 безопасности высокий уровень безопасности и большой юзабилити удобно сейчас очень часто идут совершены в разных 12:56 направлениях Вот Но тем не менее я никогда не оставляю и ночью в бизнесе конкретных исполнителей 13:06 которые будут осознавать резки будут помогать службы информационной безопасности в настройки этих бизнес-процессов 13:15 вот поэтому привлекать к себе на сторону сотрудников которые полноценно могут рассказать где имеются проблемы и 13:24

проблемы решать Если говорить о том Какой должен быть этот сотрудник Кто по-моему тут чаще всего 13:34 обращаться к старейшим сотрудником компании некоторые стереотип о том что трава раньше было зелёный раньше было всё хорошо вот 13:43 сейчас вот на вернули куча сервисов и всё не работает и всё очень плохо и кругом Какие сотрудники чаще всего легко идут на 13:53 взаимодействие рассказывают как быть с тем или иным вопросам вот ну наверное 14:03 всё о чём я хотел сегодня поговорить потому что времени подготовиться было достаточно мало но тем не менее я отмечу одну 14:12

из тенденции в информационной безопасности когда она должна быть наиболее вовлечена в бизнес и именно Аудит в любых бизнес 14:22 процессов с точки зрения информационной безопасности в целом Я считаю что это отдельное направление под которые будут возникать специалисты 14:32 всё больше и больше будет развиваться ситуации состоит в том что люди занимающиеся бизнесом 14:41 не должны думать категориями резка любой бизнес это риск и в бизнесе добиваются люди которые 14:51 тевризском зачастую пренебрегают но свой штатную Параноик который находится внутри компании понимает как компания работает как 15:01

процесса в этой компании должен быть и вот этот штатный Параноик должен раскладывать в цепочке бизнес-процессов на 15:10 составляющие и анализировать Где же на какой почте процесс может споткнуться могут быть злоупотребление могут быть риски которые принесут 15:20 компании серьезный ущерб И вообще остановит 15:29

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Аудит бизнес процессов с точки зрения ИБ. С чего начинать?»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Похожие доклады

Илья Дубов
Руководитель отдела ИТ безопасность в РУ Квад Код
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Роман Жуков
Директор центра компетенций в Гарда Технологии
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Максим Лагутин
Ведущий консультант по защите персональных данных в Б-152
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Аудит бизнес процессов с точки зрения ИБ. С чего начинать?»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Conference Cast

ConferenceCast.tv — архив видеозаписей докладов и конференций.
С этим сервисом вы можете найти интересные лекции специально для вас!

Conference Cast
1080 конференций
29045 докладчиков
13162 часа контента