Безпека ІТ-бізнесу. Як правильно захистити те, що так довго будував?

Кожного року в Україні реєструється все більше і більше нових ІТ-компаній. Воно і не дивно, оскільки ми є фактично ІТ-осередком технічних спеціалістів у Східній Європі. І коли масштаби компанії починають зростати в геометричній прогресії, власнику варто подумати про те, як ефективно захищати свій бізнес.

IТ-бізнес - це складна система, яка потребує великої кількості затрат часу, фінансових ресурсів та аналітичних знань.

Хоча єдиного трактування безпеки ІТ-компанії немає, можна виділити такі її ознаки:

- ефективне використання усіх ресурсів для запобігання внутрішніх і зовнішніх загроз та забезпечення стабільного функціонування компанії зараз і в майбутньому;

- захищеність цифрового, технічного, технологічного, виробничого та кадрового потенціалу від прямих (активних) або непрямих (пасивних) загроз;

- підвищення фінансового потенціалу та забезпечення економічного приросту компанії в умовах жорсткої конкуренції та динаміки розвитку ІТ-галузі;

- захищеність комерційних інтересів від впливу різноманітних негативних процесів і «подразнюючих чинників»;

- захищеність діяльності від негативного впливу зовнішніх та внутрішніх факторів в оточенні, а також можливість оперативного усунення різноманітних загрожуючих чинникі» або швидкого адаптування до існуючих умов, які не відбиваються негативно на діяльності компанії та/або максимально мінімізують всілякі негативні фактори впливу. 

Відповідно, безпека IT-бізнесу передбачає собою стійкий та динамічний розвиток та ефективне використання усіх потрібних видів ресурсів і можливостей для цього розвитку та запобігання внутрішнім і зовнішнім негативним впливам (загрозам).

Отож, поговоримо про те, над захистом чого треба працювати в ІТ-компаніях.

Фізична безпека

Цей пункт не про те, що ви і ваша команда повинні всюди пересуватися в компанії «силової підтримки», однак нехтувати елементарними на перший погляд речами не варто.

Зокрема, але не виключно:

- потрібно подбати про доступ до вашого офісного приміщення. Навіть найпростіші елементи фізичного доступу (електронні та цифрові замки, наприклад) дозволять суттєво мінімізувати потік небажаних гостей, а у випадку застосування передових технологій взагалі унеможливлять присутність у вашому робочому просторі персонажів, які зайшли «просто запитати»;

- ефективним також буде декілька-рівневий формат доступу до приміщення. Наприклад, попередній контроль та ідентифікація відвідувачів на рецепції та в подальшому безпосередньо при вході до офісного приміщення не буде зайви;

- наявність систем постійної відеофіксації простору навколо офісу також створить певні незручності «небажаним гостям» або фейковим клієнтам;

- в окремих випадках доцільно також розглядати присутність так званого фізичного фільтру у вигляді фахівця із забезпечення безпеки.

Локації та офісні приміщення кожної компанії різняться між собою, а тому в кожному окремому випадку необхідно аналізувати достатні варіанти фізичного захисту в залежності від ситуацій та окремих побажань.

Має бути запроваджена культура в компанії щодо елементарних засобів безпеки та проводитись постійний інструктаж співробітників. Актуальною буде і документально оформлена та підписана усіма співробітниками компанії інструкція доступу до офісного приміщення, а також чіткий алгоритим дій при виявленні порушень чи під час обшуку. Тим паче якщо в компанії штат постійно зростає.

Люди та фактори ризику

Переважна більшість власників ІТ-компанії на початку своєї діяльності чи конкретного проєкту намагається формувати свою команду зі свого перевіреного оточення. Часто це колишні одногрупники, друзі, друзі друзів тощо. Однак з часом виникає необхідність у залученні зовнішніх фахівців. І якщо компанія зростає, то зростає і відповідальність за подальші дії власників, акціонерів.

Важливо розробити та затвердити концепцію діяльності ІТ-компанії, в якій встановити рівні доступу до інформації та обмеження доступу за фактичної потреби. Для прикладу, діловоду офісу не обов’язково потрібно знати, шо вчора ви здійснили транзакцію на $ 1 000 000,  а звичайному DevOps engineer не потрібен повний доступ до всіх проєктів та розробок компанії. Окрему увагу слід приділити наданню віддаленого доступу фахівцям. А при можливості та наявності відповідних ресурсів потрібно здійснювати додаткову спеціальну перевірку співробітників та фахівців, які залучаються до окремих важливих проєктів і яким можуть передаватися конфіденційні відомості.

Не завадить подумати і про хмарні технології такі як laaS, SaaS, PaaS.

Бажаним буде також і здійснення зонування в офісному приміщенні за проєктним принципом або за сферами діяльності фахівців.

Рекомендую також подумати про підписання корпоративного договору між учасниками долі компанії. Даний елемент складової безпеки ІТ-компанії дозволить узгодити дії учасників щодо управління компанією, особливо якщо ІТ-компанія швидко зростає. Корпоративний договір потрібен тоді, коли вам є що втрачати.

ІТ-безпека ІТ-компанії

Ось такий банальний підзаголовок, але мабуть один з ключових.

Часто ІТ-професіонали у зв’язку із зосередженістю на проєктах чи банальним браком часу можуть нехтувати безпекою власних внутрішніх мереж чи програмного забезпечення. А це призвести до витоку критичних та конференційних внутрішніх даних.

В контексті даного питання бажано здійснити комплекс технічних заходів, які направлені на оцінку захищеності комп’ютерної системи.

Такий процес включає активний аналіз системи з виявлення будь-якої потенційної вразливості, що може виникати внаслідок неправильної конфігурації системи, відомих і невідомих дефектів апаратних засобів та програмного забезпечення, чи оперативне відставання в процедурних чи технічних контрзаходах.

Не зайвим буде також унормування порядку доступу та обміну інформацією всередині мережі та при використанні тих чи інших програмних інструментів у компанії.

Варто також звернути увагу на можливість використання програмного забезпечення для захисту від витоку інформації, контролю продуктивності команди за ПК та управління подіями інформаційної безпеки. Однак в даній ситуації при прийняті рішення щодо впровадження такого ПЗ необхідно підготувати певну площину для того, щоб діяти в межах закону відповідно до обраної юрисдикції.

Юридичний захист ІТ-компанії

Як показує практика, про кваліфіковану правову роботу в компанії власники починають думати тільки після виникнення проблем. Це дуже велика помилка. Юрист завжди зможе передбачити ті чи інші ризики, і без кваліфікованої людини в штаті, до вас «в гості» можуть прийти дуже і дуже швидко.  Непоодинокими є випадки відсутності будь-якого унормування взаємовідносин із співробітниками та контрагентами врегульовання таких відносин за принципом «аби було».

Я, як і більшість моїх колег-юристів, дотримуюсь думки, що підписана угода про нерозголошення (NDA) змусить 10 разів продумати працівника про те, яка інформація може бути поширена, а яка ні. Ґрунтовний аналіз укладених договорів дасть можливість упередити можливі негативні наслідки для ІТ-компанії в майбутньому, а також узгодити та переформатувати окремі положення таких договорів відповідно до вимог законодавства країни, в юрисдикції якої працює ІТ-компанії чи її контрагенти.

Важливим є і приведення компанії до норм GDPR або HIPAA, порушення яких може потягнути непідйомні штрафи. Планування, страхування ризиків та підготовка визначають реальну можливість захисту ІТ бізнесу від юридичних ризиків.

Фінансова безпека

Стан захищеності життєво важливих інтересів IТ-бізнесу від нечесної конкуренції, некомпетентних рішень, недосконалих законів, а також здатність протистояти цим загрозам і реалізувати мету своєї діяльності вцілому і є економічною безпекою компанії.

Важливим аспектом в цьому ключі є:

- забезпечення високої фінансової ефективності роботи;

- підтримка фінансової стійкості та незалежності підприємства;

- досягнення високої конкурентноздатності;

- забезпечення високої ліквідності активів компанії;

- забезпечення захисту інформаційного поля і комерційної таємниці;

- ефективна організація безпеки капіталу та майна підприємства, а також його комерційних інтересів.  

Змістовний та якісний аналіз зазначених аспектів в діяльності ІТ-компанії дасть можливість швидко виявити слабкі місця фінансової безпеки, впровадити оптимальну економічну модель, врегулювати ключові аспекти обраної моделі функціонування компанії тощо. 

Висновок

ІТ-бізнес є дуже об’ємною складовою, як включає в себе величезну кількість процесів та правил. І якщо ці правила не виконувати, то у власника можуть бути вкрай неприємні наслідки. Тому не варто шкодувати фінансових ресурсів на захист. Адже це – інвестиція у спокій та мінімізацію проблем у майбутньому.