ИБ в стартапе на 50 человек: с чего начать, чтобы не сжечь время и деньги

ИБ в стартапе на 50 человек: с чего начать, чтобы не сжечь время и деньги

изображение: grok

Когда стартап вырастает до 30–50 сотрудников, вопрос информационной безопасности (далее — ИБ) перестает быть абстрактным. Появляются первые крупные клиенты, инвесторы или регуляторы — и они начинают спрашивать: «А как у вас защищены данные?»

При этом, бюджет на ИБ, как правило, минимален, а времени на раскачку нет. Каждый потраченный впустую рубль может обернуться задержкой в разработке, проблемами с наймом или риском срыва сделки.

В таких условиях нельзя копировать подходы крупных корпораций, так как они рассчитаны на другие масштабы и бюджеты. Вместо этого нужно честно оценить свои слабые места и выбрать те меры, которые дадут максимальный эффект при минимальных затратах. Стартапы и небольшие компании чаще всего сталкиваются с компрометацией корпоративной почты, утечкой клиентской базы, потерей доступа к инфраструктуре, ошибками в настройке сервисов и действиями собственных сотрудников. Также необходимо понимать, что стартап не может позволить себе значительные расходы бюджета, а значит действовать надо в парадигме того, какие меры дадут максимальный эффект при минимальных затратах, оценить, окупаются ли предлагаемые меры или просто поглотят львиную долю бюджета.

Сперва необходимо провести инвентаризацию. У ответственных сотрудников и у руководства должна быть полная информация о том, где хранятся данные, кто владеет облачной инфраструктурой, на какие учетные записи зарегистрированы домены, и кто имеет административный доступ к критическим сервисам. Именно потеря контроля над этими элементами чаще всего приводит к серьезным последствиям. Если в компании никто не знает, какие системы и как используются – продумать меры защиты невозможно.

Следующий шаг – управление учетными записями и доступами. В стартапах распространена ситуация, когда сотрудники используют личные аккаунты для регистрации облачных сервисов, репозиториев кода и прочих систем. В момент быстрого роста систематизация не всегда в приоритете, но впоследствии это может обернуться катастрофой. Если ключевой сотрудник увольняется или теряет доступ к своему аккаунту, компания рискует потерять контроль над частью инфраструктуры. Поэтому все критические сервисы должны принадлежать организации, а не частным лицам.

На следующем этапе можно внедрить средство многофакторной аутентификации. Это очень эффективная мера ИБ по соотношению стоимости и результата. Внедрение многофакторной аутентификации требует минимальных ресурсов, но значительно снижает риск компрометации и неправомерного доступа.

Следующей актуальной задачей является обеспечение безопасности корпоративной почты. В современной компании электронная почта выступает центральной точкой доверия. Через нее восстанавливаются пароли, подтверждаются действия в облачных сервисах и управляются многие бизнес-процессы. Если злоумышленник получает контроль над почтовым аккаунтом руководителя или администратора, он зачастую получает возможность атаковать всю организацию. Поэтому защита почты должна рассматриваться как один из первых приоритетов. Из базовых настроек самой почты необходимо выполнить защиту от спуфинга и фишинга, настроить антиспам и антивирус.

Отдельное внимание следует уделить резервному копированию. Для многих стартапов потеря данных оказывается более разрушительной, чем сама кибератака. При этом внедрение резервного копирования часто откладывается, поскольку не приносит непосредственной бизнес-ценности. На практике наличие корректно настроенных резервных копий позволяет пережить инциденты с программами-вымогателями (шифровальщиками, блокировщиками), ошибки сотрудников, сбои облачных платформ и множество других инцидентов. Причем важно не только создавать резервные копии, но и регулярно отрабатывать сценарии восстановления данных.

Одной из самых недооцененных мер безопасности остается управление паролями. Многие инциденты происходят из-за использования одинаковых паролей в разных сервисах или хранения учетных данных в таблицах, мессенджерах и заметках. Использование корпоративного менеджера паролей обычно дает гораздо больший эффект, чем внедрение многих дорогостоящих защитных решений.

Следующий важный вопрос касается принципа минимальных привилегий. В небольших компаниях существует порочная практика выдачи всем сотрудникам максимальных прав доступа, чтобы ускорить работу. Однако со временем это приводит к накоплению рисков. Сотрудник отдела маркетинга получает доступ к финансовым данным, разработчик сохраняет административные права после смены роли. Поэтому права доступа должны регулярно пересматриваться и предоставляться только в объеме, необходимом для выполнения рабочих задач.

Стартапу не следует сразу инвестировать значительные средства в дорогостоящие сложные администрируемые системы, например, такие как SIEM. Решения такого рода становятся оправданными на более зрелых этапах развития бизнеса, когда появляются выделенные специалисты по ИБ и достаточный объем инфраструктуры для их эффективного использования. На раннем этапе гораздо важнее обеспечить базовые меры ИБ и устранить наиболее вероятные сценарии компрометации. Например, необходимо для начала внедрить антивирусную защиту.

Важно держать во внимании и человеческий фактор. Большинство атак начинаются не со сложной технической эксплуатации уязвимостей, а с фишингового письма, поддельной ссылки и прочей подобной социальной инженерии. Поэтому обучение и тренировки сотрудников значительно повышают уровень ИБ в компании.

В целом, можно заметить, что для стартапов попытка решить вопросы ИБ исключительно через покупку продуктов является ошибочной. ИБ не возникает благодаря наличию конкретного программного обеспечения. Она становится результатом комплекса мер и организованных процессов. Например, простая процедура увольнения сотрудника, включающая отзыв доступов в день увольнения, снижает множество рисков ИБ.

Если сформулировать минимальный набор мер, который обеспечивает наибольшую отдачу для стартапа, он будет выглядеть так: полный учет активов, централизованное управление доступами, многофакторная аутентификация, защищенная корпоративная почта, резервное копирование, менеджер паролей, базовое обучение сотрудников и понятные процедуры управления учетными записями. Именно эти меры закрывают значительную часть реальных рисков, с которыми сталкиваются стартапы.

Автор: Юлия Сонина, Старший аналитик АЦ УЦСБ.

УЦСБ
Автор: УЦСБ
Компания УЦСБ специализируется на создании, модернизации и обслуживании базовых инфраструктурных элементов предприятий и организаций, включая: информационные и инженерно-технические системы, решения по обеспечению информационной и технической безопасности.
Комментарии: