Это необходимо с точки зрения информационной безопасности, уверен Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies. Об этом он заявил в своём выступлении на конференции SOC Tech.
«В моей прошлой жизни в компании было 700 облачных провайдеров, услугами которых она пользовалась», — поделился докладчик.
Согласно различным отчётам, среднестатистическая компания пользуется услугами различных внешних поставщиков услуг — софта, железа, различных веб-хостингов, компаний типа «Консультант+», которые приходят и обновляют софт. Бывают также подрядчики со стороны интегратора.
«В конце концов обычные аудиторы и компании в области кибербеза, которые проводят оценку защищённости со своего ноутбука, подключаясь к инфраструктуре компании — это тоже внешний подрядчик, и соответственно через него могут произойти различные инциденты. И таких примеров было немало», — отметил Лукацкий.
По его мнению, всегда надо иметь список подрядчиков: взять его в ИТ, у кадров, в бухгалтерии, то есть у тех подразделений, которые пользуются услугами внешних компаний.
Ещё одна задача — нужно понимать, следует концентрироваться только на подрядчиках или же обращать внимание ещё и на субподрядчиков. «Например, мы покупаем софт или оборудование у компании Х, она же не сама его производит, а взяла у дистрибьютера, который, в свою очередь, взял его у вендора. В итоге нарушение может произойти на любом из этапов. Нужно понять, насколько глубоко будем смотреть всю цепочку и анализировать все элементы в этой цепочке», — пояснил эксперт.
Далее необходимо всю информацию приоритизировать, и в результате появится список из наиболее и наименее критичных подрядчиков. А также тех, кто совсем некритичен.