Александр Мерзляков, руководитель отдела информационной безопасности и технической защиты ТС «Монетка» о карьерном пути и работе подразделения информационной безопасности.
— Александр, как Вы стали руководителем отдела информационной безопасности и технической защиты?
— Свою карьеру в компании начал в Департаменте информационных технологий, далее, в связи с динамичным ростом торговой сети и цифровизацией бизнес-процессов, подразделению, отвечающему за безопасность, потребовался специалист, способный «общаться на одном языке» с департаментом информационных технологий и решать различные технические задачи по недопущению и минимизации потерь. Накопленный опыт работы в компании и знание инфраструктуры помогли достаточно быстро адаптироваться и приступить к работе. В январе 2019 г. в Департаменте предотвращения потерь произошла реорганизация, связанная с оптимизацией штатного расписания, в ходе которой мне было предложено занять должность руководителя отдела информационной безопасности и технической защиты.
— Что нового Вы привнесли в работу департамента предотвращения потерь после перехода?
— После перехода передо мной сразу же был поставлен целый «пул» задач, одними из самых значимых оказались: введение контроля за действиями пользователей, фрод-мониторинг и предотвращение утечек информации за пределы предприятия. Для успешного решения в установленные сроки потребовалось «с нуля» внедрить несколько различных программно-аппаратных решений, а также инициировать работы по введению в компании режима коммерческой тайны и конфиденциальной информации.
— Что входит в круг обязанностей подразделения информационной безопасности и технической защиты?
— В текущий момент подразделение информационной безопасности и технической защиты состоит из 5 сотрудников: Руководителя, Ведущего специалиста по ИБ, Специалиста по ИБ, Специалиста по техническим средствам защиты и пожарной безопасности, Специалиста по расчетам.
Основные функциональные обязанности:
- комплексная реализация мер по обеспечению безопасности компании и ее бесперебойной работы;
- осуществление руководства, организации, координации, планирования исполнения сроков и распределения работы отдела;
- организация оснащения объектов компании системами видеонаблюдения, интеллектуальной видео-аналитики, контроля доступа, мониторинг и аудит смет на оснащение системами пожарной сигнализации;
- регулярное изучение и внедрение новых программных и аппаратных продуктов в области информационной безопасности и технической защиты;
- контроль работоспособности установленных систем безопасности, исправление выявленных неисправностей;
- договорная и тендерная работа, взаимодействие с контрагентами;
- формирование технических заданий на разработку или доработку функционала модулей информационных систем с целью минимизации потерь или определения фрод-действий;
- выявление фактов нарушения режима конфиденциальной информации и коммерческой тайны, проведение служебных проверок;
- осуществление работы по минимизации расходов компании, формирование и контроль соблюдения бюджета департамента;
- принятие участия в совещаниях по информационной безопасности, внесение предложений и корректив по улучшению работы в пределах своей компетенции;
- рассмотрение служебных записок на доступ к критичным информационным ресурсам;
- участие и техническое сопровождение в проведении служебных расследований, сбор электронных документов и предоставление значимых сведений в отдел экономической безопасности по фактам совершенных правонарушений.
— Зачем торговой сети контролировать информационную безопасность?
— Обеспечение должного уровня информационной безопасности является достаточно важной задачей любой коммерческой организации, так как от нее зависит устойчивость на рынке и конкурентоспособность организации в целом.
— Что является рисками для ИБ? И как эти риски могут повлиять на функционирование организации?
— Ключевыми рисками ИБ являются: утечка конфиденциальных данных третьим лицам, действия неблагонадежных сотрудников, внешние атаки на информационные системы, вредоносное ПО. Данные риски могут серьезно повлиять на функционирование различных бизнес-процессов организации, например, в случае негативного сценария может произойти остановка в какой-либо информационной системе или повреждение ИТ-инфраструктуры компании. В случае же с коммерческой тайной передача конфиденциальной информации третьим лицам может линейно повлиять на рентабельность компании и увеличить значение упущенной выгоды, например, если будут «слиты» закупочные цены, данные об объемах продаж конкретных точек, условия аренды или планы развития торговой сети.
— К чему может привести отсутствие контроля за использованием сотрудниками ресурсов компании?
— Отсутствие контроля за информационным контуром компании также приведет к невозможности выявления и привлечения к ответственности, в соответствии с законодательством РФ, сотрудников компании за совершение мошеннических действий. Соблюдение правил информационной безопасности так же является положительным фактором при прохождении компанией ежегодного аудита. Помимо этого, наше структурное подразделение стремится к многозадачности и при помощи инструментов ИБ решает текущие задачи по контролю нецелевого использования ресурсов компании, таких как доступ в интернет, контроль печати документов и тп.
— С учетом пандемии многие работники вышли на удаленную форму работы. Повлиял ли данный факт на работу отдела информационной безопасности?
— Удаленный доступ это не какая-то новая технология, ранее неизвестная нашей организации. Мы уже достаточно давно использовали технические средства осуществления доступа к корпоративным ресурсам извне, это был как доступ с рабочих станций, так и, например, доступ к корпоративной почте с личных мобильных устройств или через браузер. Наличие данных базовых технологических возможностей в значительной мере облегчило работу в дальнейшем. Тем не менее настолько массовый переход на удаленную работу потребовал значительно пересмотреть подходы, методы и основания представления доступа. В первую «волну» пандемии совместно с Департаментом ИТ была проведена огромная работа по реализации как технических мер, с выбором и тестированием оптимального продукта для осуществления защищенного удаленного доступа с личных устройств, так и организационных мероприятий.
— Расскажите, какие меры предпринимались, чтобы максимально защитить организацию от возникших рисков?
— С целью минимизации рисков части ИБ сотрудникам, работающим с критичными данными, были выданы корпоративные рабочие станции с предустановленным программным обеспечением, другой части было предложено программное решение для использования на личных устройствах. Предприняты технические меры защиты, запрещающие копирование и перенос информации из корпоративного информационного поля по средствам удаленного доступа. Помимо этого, был проведен базовый инструктаж сотрудников в области информационной безопасности и удаленной работы. Дополнительно масштабный переход на дистанционную работу потребовал переработки и создания новых правил и алгоритмов контроля действий пользователей на рабочих станциях. В частности, стал использоваться новый механизм оценки «активности» работы за компьютером, который позволяет не только отслеживать время включения и отключения от ПК, но и активность работы с приложениями, количество нажатых клавиш, активность общения в мессенджерах и несколько других метрик.
Считаю, что благодаря использованию комплексного подхода к решению данной задачи нам удалось сохранить защищенный информационный контур предприятия без каких-либо значимых инцидентов — это является ключевым показателем эффективности принятых мер и позволило сохранить нашей компании лидирующие позиции на рынке продуктового ритейла всех регионов присутствия.
— Лучший совет по безопасности, который Вам давали?
— Для ответа на данный вопрос я использую цитату знаменитого американского криптографа и специалиста по компьютерной безопасности, являющего автором нескольких книг, членом совета директоров Международной ассоциации криптологических исследований и членом консультационного совета Информационного центра электронной приватности – Брюса Шнаейра: «Безопасность — это процесс, а не продукт. Продукты обеспечивают некоторую защиту, но единственный способ эффективно вести бизнес в небезопасном мире — это внедрить процессы, которые распознают присущую продуктам небезопасность. Хитрость заключается в том, чтобы снизить риск воздействия независимо от используемых продуктов или патчей».
