Компания должна знать своих подрядчиков и грамотно оценивать их степень критичности

Это необходимо с точки зрения информационной безопасности, уверен Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies. Об этом он заявил в своём выступлении на конференции SOC Tech.

«В моей прошлой жизни в компании было 700 облачных провайдеров, услугами которых она пользовалась», — поделился докладчик.

Согласно различным отчётам, среднестатистическая компания пользуется услугами различных внешних поставщиков услуг — софта, железа, различных веб-хостингов, компаний типа «Консультант+», которые приходят и обновляют софт. Бывают также подрядчики со стороны интегратора.

«В конце концов обычные аудиторы и компании в области кибербеза, которые проводят оценку защищённости со своего ноутбука, подключаясь к инфраструктуре компании — это тоже внешний подрядчик, и соответственно через него могут произойти различные инциденты. И таких примеров было немало», — отметил Лукацкий.

По его мнению, всегда надо иметь список подрядчиков: взять его в ИТ, у кадров, в бухгалтерии, то есть у тех подразделений, которые пользуются услугами внешних компаний.

Ещё одна задача — нужно понимать, следует концентрироваться только на подрядчиках или же обращать внимание ещё и на субподрядчиков. «Например, мы покупаем софт или оборудование у компании Х, она же не сама его производит, а взяла у дистрибьютера, который, в свою очередь, взял его у вендора. В итоге нарушение может произойти на любом из этапов. Нужно понять, насколько глубоко будем смотреть всю цепочку и анализировать все элементы в этой цепочке», — пояснил эксперт.

Далее необходимо всю информацию приоритизировать, и в результате появится список из наиболее и наименее критичных подрядчиков. А также тех, кто совсем некритичен.

30 ноября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс
16.01.2025
Управляй киберрисками, защищая DNS. Компания Servicepipe обновила продукт Secure DNS Hosting
15.01.2025
Минцифры, вендоры и эксперты обсуждают будущее отечественного «опенсорса»
15.01.2025
От «Яндекса» до Rutube. Кто упал из-за январского нарушения связности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных