Компания должна знать своих подрядчиков и грамотно оценивать их степень критичности

Это необходимо с точки зрения информационной безопасности, уверен Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies. Об этом он заявил в своём выступлении на конференции SOC Tech.

«В моей прошлой жизни в компании было 700 облачных провайдеров, услугами которых она пользовалась», — поделился докладчик.

Согласно различным отчётам, среднестатистическая компания пользуется услугами различных внешних поставщиков услуг — софта, железа, различных веб-хостингов, компаний типа «Консультант+», которые приходят и обновляют софт. Бывают также подрядчики со стороны интегратора.

«В конце концов обычные аудиторы и компании в области кибербеза, которые проводят оценку защищённости со своего ноутбука, подключаясь к инфраструктуре компании — это тоже внешний подрядчик, и соответственно через него могут произойти различные инциденты. И таких примеров было немало», — отметил Лукацкий.

По его мнению, всегда надо иметь список подрядчиков: взять его в ИТ, у кадров, в бухгалтерии, то есть у тех подразделений, которые пользуются услугами внешних компаний.

Ещё одна задача — нужно понимать, следует концентрироваться только на подрядчиках или же обращать внимание ещё и на субподрядчиков. «Например, мы покупаем софт или оборудование у компании Х, она же не сама его производит, а взяла у дистрибьютера, который, в свою очередь, взял его у вендора. В итоге нарушение может произойти на любом из этапов. Нужно понять, насколько глубоко будем смотреть всю цепочку и анализировать все элементы в этой цепочке», — пояснил эксперт.

Далее необходимо всю информацию приоритизировать, и в результате появится список из наиболее и наименее критичных подрядчиков. А также тех, кто совсем некритичен.

30 ноября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.10.2024
Ответственен ли TikTok за влияние на выборы? Узнаем в ноябре
04.10.2024
Банки смогут блокировать вызывающие подозрение операции с цифровым рублём
04.10.2024
Роскомнадзор присмотрится к серийной передаче ПДн россиян за рубеж
04.10.2024
Банк России: НСПК — арбитр в системе универсального QR-кода
04.10.2024
Технология NASA позволит обмениваться HD-видео с марсианами
03.10.2024
ООО на смарт-контрактах. Минфин даст дорогу киберпредпринимателям
03.10.2024
Банк России прописал требования по работе с ГИС электронного правительства
03.10.2024
В госсекторе удвоился спрос на серверы для работы с ИИ
03.10.2024
Банкиры будут проверять ментальное состояние потенциальных заёмщиков?
03.10.2024
Девиз кибергода в Европе — ThinkB4UClick. На повестке — борьба с социнженерами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных