Компания должна знать своих подрядчиков и грамотно оценивать их степень критичности

Это необходимо с точки зрения информационной безопасности, уверен Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies. Об этом он заявил в своём выступлении на конференции SOC Tech.

«В моей прошлой жизни в компании было 700 облачных провайдеров, услугами которых она пользовалась», — поделился докладчик.

Согласно различным отчётам, среднестатистическая компания пользуется услугами различных внешних поставщиков услуг — софта, железа, различных веб-хостингов, компаний типа «Консультант+», которые приходят и обновляют софт. Бывают также подрядчики со стороны интегратора.

«В конце концов обычные аудиторы и компании в области кибербеза, которые проводят оценку защищённости со своего ноутбука, подключаясь к инфраструктуре компании — это тоже внешний подрядчик, и соответственно через него могут произойти различные инциденты. И таких примеров было немало», — отметил Лукацкий.

По его мнению, всегда надо иметь список подрядчиков: взять его в ИТ, у кадров, в бухгалтерии, то есть у тех подразделений, которые пользуются услугами внешних компаний.

Ещё одна задача — нужно понимать, следует концентрироваться только на подрядчиках или же обращать внимание ещё и на субподрядчиков. «Например, мы покупаем софт или оборудование у компании Х, она же не сама его производит, а взяла у дистрибьютера, который, в свою очередь, взял его у вендора. В итоге нарушение может произойти на любом из этапов. Нужно понять, насколько глубоко будем смотреть всю цепочку и анализировать все элементы в этой цепочке», — пояснил эксперт.

Далее необходимо всю информацию приоритизировать, и в результате появится список из наиболее и наименее критичных подрядчиков. А также тех, кто совсем некритичен.

30 ноября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

14.06.2024
Два попадания из ста — такое себе сафари. Официальный «яблочный» браузер не смог в рыбалку
14.06.2024
Матвеев: Россия может захватить технологическое лидерство в области внутренней ИБ
14.06.2024
ЛК: Кибермошенники добрались до персонала гостиниц
14.06.2024
Использование генеративного ИИ в разработке ПО медленно, но растёт
14.06.2024
Указ о новых мерах по обеспечению кибербезопасности России подписан
14.06.2024
Работающие без выходных безопасники готовы увольняться
13.06.2024
Летний санкционный комбо-сет: Мосбиржа, «Точка» и техкомпании
13.06.2024
«Ростелеком» создаст ещё один фонд для инвестиций в ИТ-сектор
13.06.2024
Ляпунов: Сосредоточение функций ИБ-надзора в новой госструктуре усилит киберустойчивость страны
13.06.2024
Британская корона также ввела санкции против российских бирж

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных