Duration 15:33
16+
Play
Video

Аудит бизнес процессов с точки зрения ИБ. С чего начинать?

Duration 15:33
16+
Play
Video

Аудит бизнес процессов с точки зрения ИБ. С чего начинать?

Иван Бируля
Директор по безопасности at Redmond
  • Video
  • Audio
  • Table of contents
  • Video
  • Audio
Код ИБ Онлайн 2020
January 29 2020, Екатеринбург, Россия
Код ИБ Онлайн 2020
Video
Аудит бизнес процессов с точки зрения ИБ. С чего начинать?
Available
In cart
Free
Free
Free
Free
Free
Free
Add to favorites
32
I like 0
I dislike 0
Available
In cart
Free
Free
Free
Free
Free
Free
  • Description
  • Transcript
  • Discussion

About speaker

Иван Бируля
Директор по безопасности at Redmond

Опыт работы в IT-отрасли — 12 лет, из них на управляющей должности — 10 лет. Работал инженером-проектировщиком систем безопасности, руководил отделом безопасности ОАО «Паритетбанк», департаментом безопасности группы компаний T.E.L.S (Transeuropean Logistic Service). Эксперт в области информационной безопасности, практикующий профайлер. Имеет обширный опыт проведения служебных расследований. Разработал авторскую методику на основе нескольких школ и направлений профайлинга в России. Обучался по программе МАШАВ (Израиль). Постоянный спикер конференций в сфере информационной безопасности.

View the profile

About the talk

Код ИБ ОНЛАЙН Взаимодействие с бизнесом

Share

сегодня решил поговорить на такую тему аудит бизнес процессов с точки зрения информационной безопасности из чего начинать почему выбрал такую 00:00 тему Наверное потому что достаточно часто своей карьере сталкивался с подобными вопросами конечно же рассмотреть все 00:09 аспекты аудита бизнес-процессов с точки зрения информационной безопасности в целом Наверное мы не сможем потому что ну форматы временном 00:18 позволят но с какими-то проблемами которые существуют в этом направлении на своё мнение в этом направлении 00:28

я выскажу и уверен что у многих подобные проблемы возникают Почему при всё начинается у слова 00:38 мы возьмём нашего стандартного безопасника специалиста по информационной безопасности которые приходят в компанию устраивается Ну 00:48 естественно руководители и собственники директора для каждого сотрудника есть в отношении него какие-то ожидания и есть 00:57 предположение о том что он сейчас вот идёт порядок это Типовая фраза которую я ранее слышал Вот 01:07 вот тебе компания Ты очень замечательный специалист Наведи у нас порядок скажем так очень грамотная беда 01:17

да почему-то считается что специалиста по информационной безопасности это те как раз люди которые могут жить в паре могут 01:27 жить по правилам это правильно действительно например в отношении сравнении с людьми от бизнеса 01:36 в каких-то товарищи до специалиста по информационной безопасности живут по каким-то правил внутри компании прежде чем связано с 01:45 тем что ну осознаю трески понимаю. хаос и нарушение каких-либо правил и стандартов 01:55 к чему это может привести И какие потери могут быть для компании осуществлены Ну в виде состоит сложность в том 02:05

что нельзя начинать наводить порядок в компании исходя из информационной безопасности или безопасности в целом если не налажена 02:15 никакие бизнес-процессы и даже например неописанный эти бизнес-процессы наводить там порядок совершенно бесполезно невозможно 02:24 службы информационной безопасности сделать как драйвер для того чтобы компания существовала по правилам по какому-то компромиссу 02:33 Так у меня было в одной из компаний когда Казалось бизнес-процесс не описан в принципе А в компании 02:42

существуют институт скажем так указав когда лиц в 02:52 первых и вторых руководство компании издает никаких звуков что мол сегодняшнего дня живём вот по таким-то правилам делаем раз-два-три 03:02 машине такого-то бизнес-процесса дальше бизнес-процесс начинают виться дальше От этого от этих ветвей. спускается сверху от больших лиц 03:11 на исполнителей чаще всего на линейных руководителей от линейных руководителей непосредственно уже исполнителем исполнители могут 03:21 переходить из отдела в отдел могут увольняться приходи новые исполнители В итоге как по сути дела осуществляется бизнес-процессов стоит совершенно 03:31

непонятно Ну один из примеров в компании случилась беда когда падал сервер 03:41 CRM на котором крутился CRM соответственно бизнес не работал из админы бегали чего-то там восстанавливай не хотел 03:50 Там было очень тяжело очень часто в базе данных терялись какие-то данные Ну решили что надо всё-таки как-то наладить 04:00 бэкап бэкап в первое лицо компании спустило сверху указ прошу наладить Backup 04:10 второе лицо обратилось к системному администратору системы strator занялся этим вопросом Ну вместе с этим прилёг прилёг 04:17

специалиста который отвечает за CRM Service Play давай как-то ты тоже увлекаешься в этот процесс Всё наверное что бы 04:27 копы делаются ежедневно как положено по расписанию причём BK по сливаются не в одно место в несколько мест есть чтобы уже была совсем совсем 04:37 надежно К чему привела подобная вещь Когда не было написано ни регламент бизнес-процесса организации бизнес-процессов 04:47 никто не контролировал по сути дела Ну руководитель доверяет своим сотрудникам говорит Ну всё хорошо Молодцы справились 04:56

а случилось следующее по сути дела быка был организован вовне сотрудникам Pony зашифрованным каналам 05:05 в обычное публичное облако Ну и в итоге закончилось это всё тем что один из сотрудников которые ты бэкапов 05:15 внешних быка по сути дела передал доступ к нему конкурирующей компании вот 05:25 вопрос как обнаружить Этот бизнес процесс как его про аудировать когда он даже не описан в принципе ну и 05:33 создавался он системе указав поэтому первое из скажем так проблем выучите бизнес процессов с точки зрения 05:43

информационной безопасности это невозможно проводить аудит House вторую тему которую я затронуть это 05:52 когда всё-таки бизнес процессы существуют и описаны есть регламенты но существует другая проблема регламент 06:01 никто не исполняет наверно такая боль многих служба безопасности по крайней мере у меня в практике это было и 06:11 создавала ну скажем так они разные совершенно сложности простая практика 06:21 практика использование USB носителей рассказываем как В каких случаях можно использовать USB носителя кому можно использовать на USB носителе и когда 06:31

можно использовать всё описано всё контролируется всё замечательно бизнес продолжает нарушать любые правила нарушают эти 06:40 правила соответственно службы информационной безопасности фиксируют докладывать наверх в виде инцидентов Первые лица говорят 06:50 дам регламент нарушен Ну и ладно это было сделано в интересах бизнеса очень часто нарушение различных 06:59 бизнес-процессов и в том числе правил по информационной безопасности происходит под эгидой это нужно бизнесу Мы работаем так и по-другому нельзя 07:08

Как выступают служба безопасности в чаще всего они начинают работать с точки зрения пугало рассказывает Какие риски несут подобные 07:18 действия Ну то есть по сути дела то вот знаете на флешку там была скидка коммерческая информация о Ведь если бы попало конкурентом или вообще 07:28 непонятно кому Мы бы могли потерять вот столько столько столько денег хожу скажу из своей практики 07:38 страшилки не работают бизнес на них не обращает внимание он начинает говорить следующие Ну во-первых 07:45

безопасники всегда пугаете это ваше норма жизни нормы поведения а второй вопрос Ну могло это не значит что 07:54 произошло и вообще сколько у нас в компании таких случаях Что произошло не можете припомнить значит риска можно пренебречь то есть как вот многие 08:04 коллеги по цеху говорят что мы слишком много пугаем бизнеса и люди к этому привыкли и бизнес к этому привык много 08:14 мы кричали волки Что делать в этой ситуации Ну скажи наверное крамолу что нужно добиваться исполнения 08:24

регламентов но в пуще должен быть подход Ну индивидуальный индивидуально исходя из 08:33 личностей взглядов собственников компаний непосредственных руководителей и директоров то есть первых лиц расскажу маленький 08:42 кисы свои практики добился того чтобы вот руководитель даже на бумажном носителе подпись под регламентом 08:51 И следующий раз пришёл и говорю Не то что там резки произошло инцидент по безопасности чем это чревато а начал давить на то что 09:01 нарушаются потому что вас не уважают как руководителя вы издали указ людям плевать плевать на вашу кассу 09:11

плевать на то что вы здесь живете Вы пытаетесь регулировать компанию Удивительно но это сработало это 09:21 сработало и руководитель стал требовать исполнения регламентов в этом случае нужно взять какую-нибудь яркие серьезный инцидент с которым был 09:30 руководитель Пускай частично но согласился бы но и далее развивать успех и продлевать вот это вот вопрос установление власти 09:40 руководителя над компании распространяется волна все аспекты касаемые вопросов информационной безопасности 09:49

а третий Аспект который бы хотел затронуть вопросе аудита бизнес-процессов с которым я сталкивался в своей 09:59 практике И сложностью это не не понимание бизнес-процессов даже когда вы смотрите на описание понимаете 10:08 пытаетесь вникнуть что где крутится что куда падает и кто за что ответ всё равно тонкости бизнес-процесса 10:18 до конца понять невозможно потому что Вы не являетесь не его создателями не тем более исполнитель коллеги но очень 10:27 предлагают безопасником в какой-то части стать на сторону исполнителя то есть ну условно говоря побыть один день 10:35

бухгалтером побыть один день сервис мастером по ремонту не знаю кем угодно Ну не совсем Вот хорошо и достаточно сложно 10:45 но для того чтобы заметить точки уязвимости в любом процесс его всё-таки нужно понимать очень глубоко один из последних случаев 10:55 как бы столкнулись с тем что в одном из бизнес-процесс есть возможность Извне вмешаться 11:05 одному из сотрудников одно из категории сотрудников и его поменять причём это останется бесконтрольно Ну даже не будет заметь как 11:14

инцидент начали разбираться чуть поглубже обнаружились там есть проблемы с правами доступа но это уже вот как раз на стороне 11:24 информационной безопасности разбираться почему там есть проблема с правами доступа если не потому что никто даже не задавался в какой-то момент 11:33 ролевой моделью в 30 вот процесс создавался скажем так без участия службы информационной безопасности потому что бизнес 11:43 нужно было Быстро что я предпринимал например в своей практике 11:53 303 таких случаях когда Ну опять же ты не до конца понимаешь процесс А у 11:59

тебя карта что там какой-то не процентам Zara Zara на я привлекал сотрудников которые непосредственно работают просил оказать 12:09 помощь при чём какое-то не вслепую а раскрываем карты что мопсу мнение в этом бизнес-процессе есть очень серьёзные проблемы 12:19 которые ведут к потерям компании нужно оказать помощь Давай что-нибудь придумаем прямо сейчас сотрудники отказываются 12:28 потому что она мне не видит в этом не видят в этом смысла Да и тем более у них есть опасение что если безопасность вмешивается в какой-то из 12:38

бизнес-процессов изменение бизнес-процессов и чаще всего в сторону неудобства потому что большой уровень 12:46 безопасности высокий уровень безопасности и большой юзабилити удобно сейчас очень часто идут совершены в разных 12:56 направлениях Вот Но тем не менее я никогда не оставляю и ночью в бизнесе конкретных исполнителей 13:06 которые будут осознавать резки будут помогать службы информационной безопасности в настройки этих бизнес-процессов 13:15 вот поэтому привлекать к себе на сторону сотрудников которые полноценно могут рассказать где имеются проблемы и 13:24

проблемы решать Если говорить о том Какой должен быть этот сотрудник Кто по-моему тут чаще всего 13:34 обращаться к старейшим сотрудником компании некоторые стереотип о том что трава раньше было зелёный раньше было всё хорошо вот 13:43 сейчас вот на вернули куча сервисов и всё не работает и всё очень плохо и кругом Какие сотрудники чаще всего легко идут на 13:53 взаимодействие рассказывают как быть с тем или иным вопросам вот ну наверное 14:03 всё о чём я хотел сегодня поговорить потому что времени подготовиться было достаточно мало но тем не менее я отмечу одну 14:12

из тенденции в информационной безопасности когда она должна быть наиболее вовлечена в бизнес и именно Аудит в любых бизнес 14:22 процессов с точки зрения информационной безопасности в целом Я считаю что это отдельное направление под которые будут возникать специалисты 14:32 всё больше и больше будет развиваться ситуации состоит в том что люди занимающиеся бизнесом 14:41 не должны думать категориями резка любой бизнес это риск и в бизнесе добиваются люди которые 14:51 тевризском зачастую пренебрегают но свой штатную Параноик который находится внутри компании понимает как компания работает как 15:01

процесса в этой компании должен быть и вот этот штатный Параноик должен раскладывать в цепочке бизнес-процессов на 15:10 составляющие и анализировать Где же на какой почте процесс может споткнуться могут быть злоупотребление могут быть риски которые принесут 15:20 компании серьезный ущерб И вообще остановит 15:29

Cackle comments for the website

Buy this talk

Access to the talk “Аудит бизнес процессов с точки зрения ИБ. С чего начинать?”
Available
In cart
Free
Free
Free
Free
Free
Free

Buy this video

Video

Access to the talk “Аудит бизнес процессов с точки зрения ИБ. С чего начинать?”
Available
In cart
Free
Free
Free
Free
Free
Free

Conference Cast

With ConferenceCast.tv, you get access to our library of the world's best conference talks.

Conference Cast
515 conferences
20060 speakers
7325 hours of content