Экономия для ИТ: пять популярных способов и их риски. Часть II

24 февраля 2025 г.

Окончание, начало тут

3. «Сервисная экономика» требуют внимания

Возможность отдать внешним компаниям технические задачи, которые не имеют прямого отношения к «core business», потенциально интересна любому корпоративному заказчику. Сегодня можно получать «как сервис» широкий спектр услуг — от клининга до серверов из «облака». Сервисы гибкие, масштабируемые в ряде случаев оказываются очень выгодны экономически. Однако они требуют контроля не только в плане качества результата.

Прежде всего, необходим контроль безопасности — как кибер-, так и физической — причем за всеми сервисами. Тезис «уборщица — идеальный шпион» кажется шуткой только на первый взгляд. Сотрудник, занимающийся клинингом, имеет доступ к офису, причем даже к кабинетам высшего руководства, поэтому может легко выполнять задачи, нужные для промышленного шпионажа (например, многое становится просто, если есть доступ к бумагам, оставленным на рабочих столах или попавшим в корзины) или для целевых атак (например, можно разбросать зараженные флэшки, а может и напрямую подключить их к рабочим компьютерам сотрудников). Пример канонический, но не утративший актуальности.

Для противодействия рискам — которые совсем не иллюзорны! — компаниям придется сменить много регламентов. Например, вести активное видеонаблюдение за офисными помещениями в нерабочее время, добавить в видеоаналитику дополнительные «алерты», требовать от всех сотрудников актуальные документы хранить в ящиках под замком, а ставшие ненужными — даже черновики! — не выбрасывать в корзины, а пропускать через шредер, «внезапно» появившиеся флэш-стики сдавать службе безопасности и т. д.

Компании, состоящие в партнерстве, нередко интегрируют свои ИТ-системы для упрощения/ускорения/удешевления взаимодействий. Нередко сотрудники одной компании получают права на определенные действия в инфраструктуре другой. Примеры: работники технической поддержки «на аутсорсе», аудиторы, компьютерные криминалисты и т. д. Сегодня это нормально, но должно находиться под пристальным контролем админов и «безопасников». Про системы «управления идентичностью» (IAM) мы писали. Сегодня такие решения становятся актуальными как для людей, так и для программных роботов.

В контексте разговора про новые риски, связанные с сервис-подходом, стоит напомнить про удаленных, частично занятых и временных сотрудников — они тоже могут быть потенциально опасны! Такие люди получают доступ к корпоративным информационным ресурсам, возможности которых могут использовать для блага прямых конкурентов работодателя. Чтобы этого не случилось, дополнительные инструменты безопасности не нужны, но следует обновить и переработать политики настроек и для IAM, и для DLP.

4. Восстановленные системы — доступны, но...

Срок эксплуатации большинства компьютерных систем можно продлить за пределы стандартного цикла обновления корпоративного «железа», который обычно принимают равным пяти годам. Сказанное справедливо как для ПК, так и для другого оборудования — например, принтеров, МФУ и пр. Процесс refurbished хорошо отлажен: устройства разбирают, корпуса и компоненты чистят, неисправные элементы заменяют, иногда по желанию выполняют апгрейд (например, добавляют «оперативки» и пр.), потом все собирают обратно, тестируют, упаковывают и отправляют пользователям.

Как показывает практика, восстановленные устройства демонстрируют в процессе эксплуатации вполне приемлемую надежность — расширенный ресурс оборудования для коммерческого использования оказывается достаточным для работы за пределами штатного пятилетнего срока. Кроме того, на обновленное изделие предоставляют гарантию. Однако есть два момента, создающих дополнительные риски.

Во-первых, внутри восстановленных устройств могут присутствовать скрытые проблемы, традиционным тестированием не выявляемые, но способные проявиться в любой момент. Например, от вибраций и толчков на платах могут появляться микротрещины, которые со временем постепенно расширяются — 3-5-7 лет эксплуатации устройства, согласитесь, достаточно серьезный срок для возникновения трещин — и в произвольный момент времени могут привести к полному выходу из строя данного девайса. Напомним, что деградации подвержены и отдельные компоненты электроники — от конденсаторов до микросхем.

Во-вторых, дополнительные компоненты для обеспечения безопасности, которые присутствуют в значительном количестве устройств для корпоративного рынка, на восстановленных девайсах будут безнадежно устаревшими. Решения в возрасте 5 лет и более сегодня вряд ли будут отвечать и требованиям современного «кибербеза», и предписаниям регуляторов.

5. BYOD — эффективен ли с точки зрения экономики?

Принцип «принеси свой компьютер» используют все более активно. Возможность «обнулить» затраты на клиентские устройства по понятной причине нравится компаниям, особенно в условиях, когда растет доля «удаленщиков», занятых на условиях part-time, привлеченных фрилансеров и других работников. Снабжать таких сотрудников корпоративными ПК было бы странно с экономической точки зрения, а в ряде случаев — проблематично по техническим причинам.

Однако устройство, которое используют как коммерческий компьютер, но при этом находящееся вне контроля корпоративного заказчика, несет целый спектр рисков. Прежде всего, непонятным является техническое состояние этого устройства. Компьютер, который, возможно, еще во времена первого локдауна был в преклонном возрасте, может в любой момент выйти из строя, что с высокой вероятностью станет причиной сбоев в бизнес-процессе на стороне заказчика. Убытки от таких ситуаций, которые зависят от их длительности, предугадать непросто.

Даже полностью исправная, надежно работающая и соответствующая современным требованиям по вычислительной мощности система, используемая по формату BYOD, оставляет множество вопросов о ее безопасности. Причем инфобезопасность следует трактовать в широком смысле: от «насколько надежно защищен этот компьютер от вирусов?» до «что мы будем делать, если систему у работника украдут, причем вместе с нашими документами?» и от «не станет ли эта система „точкой входа“ при целевой атаке?» до «а можно ли передавать на этот компьютер материалы, содержащие персональные данные?»

Ответы на эти вопросы найти — или создать — конечно, можно. Только для этого заказчику зачастую приходится перестраивать ряд подсистем в своем ИТ-рельефе, обеспечивать контроль работника, который становится сам-себе-админ, в плане соблюдения кибергигиены и т. д. Все это требует затрат, причем настолько значительных, что компании зачастую с удивлением понимают, что хотя сам компьютер обошелся им «бесплатно», но если посчитать ТСО, то оно окажется сравнимым или даже более высоким, чем в случае с приобретением современной системы, изначально рассчитанной на бизнес-применение.

Если компания решается на использование формата BYOD — или CYOD, который полностью упомянутые проблемы не решает, хотя некоторые смягчает — тогда уже следует, как минимум, сотруднику обеспечить доступ в режиме «удаленного рабочего стола». Это позволит решить проблемы с конфиденциальностью (на локальной машине не должно быть размещено ничего), с централизованным администрированием рабочей среды (становятся легко доступными регулярные обновления, коррекции примененных политик безопасности и пр.) и с возможностью быстрого возвращения сотрудника к работе в ситуации, когда его компьютер утрачен, вышел из строя, подвергся вирусной атаке и т. д.

Вместо заключения

ИТ пронизывают практически все составляющие бизнес-процессов, а также администрирование, выработку стратегий и прочие управленческие практики. Но, с другой стороны, управленческие практики все глубже проникают в ИТ. На рассмотренных примерах мы видим необходимость приложения классических инструментов риск-менеджмента к задачам ИТ.

Все ровно по управленческой классике, определяющей риск-менеджмент как процесс принятия и реализации решений, направленных на снижение вероятности возможных потерь в бизнесе, что в итоге повышает эффективность работы компании. Предусмотреть и полностью исключить все угрозы практически нереально, поэтому нужно их выявлять и ими правильно управлять. Решения, связанные с этим, обычно принимают на основе экспертизы и с учетом требований разных подразделений организации.

За экспертизой риск-менеджмента, связанного с ИТ, в большинстве случаев приходится обращаться к внешним подрядчикам, наработать нужное внутри компании проблематично. Внешние компании могут быть разной специализации: консалтеры, интеграторы и т.д. Также можно попробовать обратиться к страховым компаниям, которые в последнее время стремительно нарабатывают компетенции.

Источник: Александр Маляревский, внештатный обозреватель IT Channel News