После ухода западных аналогов — баз данных, трекеров и мессенджеров — бизнес чаще переходит на отечественные, чтобы не рисковать. Выбирая корпоративные сервисы, компании ставят в приоритет безопасность решений — сохранность данных в долгосроке, защиту от утечек и хакерских атак. В данной статье расскажу о нашем опыте общения с клиентами: какие критерии безопасности в сервисах им важны и почему.
Критерий № 1: полный контроль над данными и их защита
После опыта с западными облаками компаниям нужна уверенность, что сервис и все хранящиеся в нем данные никуда не денутся по щелчку пальцев. Даже если их предупредят в лучшем случае за пару недель до блокировки корпоративного аккаунта.
Что это значит на практике: теперь один из важнейших критериев — локальная (on-premise) установка корпоративных продуктов, с которой компания не зависит от сторонних вендоров и просто подключает сервис к собственной инфраструктуре.
Еще один вариант — частное облако (private cloud). Компании нуждаются в ИТ-независимости после опыта последних двух лет. Поэтому разработчики, которые готовы взять на себя весь процесс переноса сервиса в частное облако будут цениться еще больше — тогда клиенту не надо будет делать ничего лишнего и он сможет делегировать эту задачу.
А чтобы данные были защищены от внешних угроз, дополнительно нужны:
- Криптоконтейнер для хранения информации на сервере.
- Шифрование при передаче данных — с помощью протоколов TLS 1.3 или DTLS.
- Зашифрованное хранение данных на устройстве.
Плюсом будет сквозное (end-to-end) шифрование и дополнительные методы, например, возможность обнаружить взлом устройства и оповестить администратора сервиса.
Критерий № 2: дополнительный слой защиты, который не конфликтует с текущей ИТ-инфраструктурой
Так как компании сейчас активно используют DLP-, SIEM-системы и антивирусы, важно, чтобы корпоративный сервис не был за пределом этого контура безопасности. Иначе для ИБ-системы новое решение окажется слепым пятном. Тогда безопасники забракуют его, а ЛПР-ы откажутся от лишних заморочек и перейдут на сервисы, которые вписываются в текущий ИТ-контекст.
Это важный пойнт вообще для любых решений: важно, чтобы они сочетались с текущей ИТ-инфраструктурой, потому что проще найти то, что вписывается, чем перекраивать под новый сервис все остальное. При условии, что это остальное работает, конечно.
Что это значит на практике: бизнесу важны настроенные интеграции с DLP и SIEM, а еще встроенный антивирус.
Критерий № 3: отдельный контур безопасности и прав для внешних пользователей
Бизнес не работает в пузыре и строит много связей с внешними пользователями. С партнерами важно вести переговоры и согласовывать совместные продукты и материалы, с подрядчиками — вести отчетность и следить за процессом работ, с клиентами — отвечать на запросы.
Что это значит на практике: корпоративный сервис должен гарантировать, что данные компании никуда не утекут, а для каждого вида коммуникации будет свое окно с конкретными условиями доступа.
Если говорить точнее, отдельное требование бизнеса сейчас — дополнительный контур безопасности для внешних пользователей. Компании важно иметь возможность ограничивать видимость, права и доступы для гостей рабочего пространства — подрядчиков, партнеров и внештатных сотрудников.
Критерий № 4: конфиденциальность информации внутри компании
Помимо внешних угроз существуют и риски внутренних утечек — со стороны сотрудников компании.
Что это значит на практике: во-первых, компаниям важны гибкие настройки приватности рабочего пространства — от запрета на загрузку файлов до ограничения записи аудиосообщений.
Во-вторых, бизнес нуждается в том, чтобы дистанционно разлогинивать участников. А еще — удалять информацию приложения на устройстве сотрудника по команде с сервера. Это нужная функция, если сотрудник покинул компанию или потерял устройство.
Критерий № 5: регулярные аудиты безопасности
Профилактика систем проходит все чаще: бизнес не хочет терять репутацию и реально беспокоится о своих данных. Плюс, компании с аудитами привлекательнее для клиентов — современные пользователи часто смотрят на то, как производители обещают беречь их данные.
Что это значит на практике: во-первых, круто, если на сервисе есть встроенный антивирус, механизмы защиты данных и интеграции с ИБ-контуром. Это помогает на берегу предотвратить часть угроз. Во-вторых, здорово тестировать платформу на уязвимость, постоянно улучшать код и рассказывать об этом клиентам. В-третьих, особенно ценно мнение независимых экспертов по безопасности, которые показывают объективную картину. Так клиенты понимают, что у продукта есть независимая оценка.
Подводим итоги: пять критериев безопасности, на которые смотрит бизнес
Вот пять критериев, по которым наши и не только клиенты оценивают предложения на рынке и выбирают себе сервисы:
- Полный контроль над данными и их защита: хорошо вписываются локальные решения и частные облака. В идеале — криптоконтейнер, чтобы хранить данные на сервере, шифрование с протоколами TLS 1.3 или DTLS и зашифрованное хранение данных на устройстве.
- Синхронизация с DLP-, SIEM-системами и встроенный антивирус: если проще — ваше ИТ-решение не должно конфликтовать с текущей инфраструктурой компании.
- Отдельный контур безопасности для внешних пользователей: возможность настраивать уникальные права, видимость и доступы для подрядчиков, партнеров и клиентов.
- Конфиденциальность внутри компании: здесь важно давать возможность дистанционно разлогинивать и удалять аккаунты, чтобы избежать внутренних утечек, а еще иметь гибкие настройки приватности.
- Регулярные аудиты безопасности: у сервиса должна быть встроенная де-факто система безопасности от угроз и постоянные проверки — либо внутренние, либо независимые.