Zero Trust: почему «нулевое доверие» – это так важно?

Одна из самых распространённых проблем современности – это утечка данных из корпоративной сети. Новости о том, что злоумышленники украли очередную базу данных или получили конфиденциальную финансовую информацию, появляются регулярно. Ещё больше таких событий никогда в новости не попадают. Как защитить себя и свою организацию от подобных проблем? С помощью принципа «нулевого доверия», Zero Trust.

Что такое Zero Trust?

Сам принцип очень простой, понятный и прозрачный:

«Для обеспечения безопасности организация не должна доверять абсолютно никому, проверяя все возможные параметры перед предоставлением доступа к какой-либо информации».

В таком виде концепцию сформулировал в 2010-м году Джон Киндерваг, главный аналитик Forrester Research. На данный момент – спустя 9 лет – Zero Trust стал важнейшим постулатом кибербезопасности.

Основной плюс стратегии в её исключительной надёжности. С точки зрения IT, Zero Trust – это значит отключить совершенно весь доступ пользователям, которых сеть компании не может надёжно идентифицировать. Нет информации о том, кто пытается подключиться? Тогда это подключение по умолчанию обрывается: никакого доступа, ни к чему. И это работает.

Не слишком ли сурово?

Если посмотреть на статистику, становится ясно: не слишком. В 2015-м году общие потери бизнеса от киберпреступности составляли $3 триллиона, а к 2021-му году – по прогнозам Cybersecurity Ventures – сумма вырастет вдвое, до $6 триллионов. И пока этот прогноз оправдывается, несмотря на то, что с каждым годом организации тратят миллиарды долларов на обеспечение безопасности своих данных.

Именно поэтому так важно найти модель, которая по-настоящему работает – и Zero Trust становится именно таким решением. Нулевое доверие, ко всем.

А в чём отличие от старых методов?

До последних лет под «безопасностью компании» понимали прежде всего безопасность внешнего периметра. Организации концентрировали усилия на том, чтобы никто извне не мог получить доступ к важной информации… и по умолчанию предполагали, что все, кто этот периметр прошёл, уже не представляют никакой угрозы.

Что ж, мировая практика показывает, что этот подход не срабатывает. Эксперты по IT-технологиям и безопасности отмечают, что некоторые из наиболее масштабных киберпреступлений произошли именно из-за того, что хакеры смогли получить доступ к корпоративному брандмауэру, после чего они смогли без проблем забрать все нужные им данные.

По сути, проблема в том, что компании слишком доверяют «своим»: тем, кто прошёл внутрь системы. Ситуация усугубляется ещё и тем, что внешнего периметра – в его традиционном виде – больше не существует. Некоторые приложения работают локально, некоторые – на корпоративном сервере, некоторые – в облаке. Сотрудники, партнёры, клиенты: связанные с бизнесом люди получают доступ к его ресурсам из разных мест, из разных точек мира. Периметр – вся земля, а значит, обезопасить себя его защитой больше не получится.

Как работает Zero Trust?

Фактически «нулевое доверие» создаёт свой микропериметр вокруг каждого актива предприятия. Любые данные, любые приложения, любые функции – каждая часть бизнеса становится отдельной «крепостью», от которой пользователю нужны ключи. Соответственно, при обращении к любой системе происходит несколько проверок.

Идентификация пользователя. Прежде всего, система хочет узнать, кто пытается получить доступ – и удостовериться в том, что это именно тот, за кого пользователь себя выдаёт. Для этого используется многофакторная аутентификация: пароль, личный номер и т. д.;
Проверка прав. Далее система проверяет: есть ли у данного пользователя доступ к функциям, которыми он хочет воспользоваться, или к данным, которые он запрашивает;
Проверка безопасности соединения. К некоторым данным доступ можно получить из любой точки мира, к другим – только по защищённому каналу, а к некоторым – только с определённых компьютеров, находящихся непосредственно в офисе компании.

Если запрос успешно проходит все проверки, доступ предоставляется. Если хоть одна из проверок провалена, подключение блокируется. В итоге мы имеем комплексную систему, защищающую каждую часть вашего бизнеса.

Zero Trust – это только IT?

На самом деле, нет. Выше мы говорили о том, что «нулевое доверие» предполагает полный контроль над каждым подключением в компании, над каждым действием, над каждым запросом к данным и каждым действием в системе. А отсюда следует логичный вывод: вы должны контролировать в том числе и каждое действие своих сотрудников.

Может получиться так, что злоумышленник работает в вашей компании, имеет нужный доступ к данным и прямо сейчас думает, как их лучше продать? Вполне. А это значит, что для создания по-настоящему действенной системы безопасности вам нужно полностью контролировать все действия сотрудников за компьютерами.

Причет, вредным для компании может быть не только явный коллаборационистский акт, такой как похищение клиентской базы или слив конкурентам конфиденциальной информации. Ощутимый вред компании может принести и недобросовестное выполнение собственных обязанностей, ничегонеделание за счет работодателя.

Наша система учета рабочего времени Kickidler решает задачу контроля сотрудников на рабочих местах в полной мере. Благодаря функциям просмотра экранов сотрудников в реальном времени, записи видео с экранов, анализа посещаемых сайтов и приложений, записи клавиатурного ввода и контроля нарушений, совершаемых сотрудниками, Kickidler позволяет фиксировать каждое действие сотрудников за компьютером и легко обнаруживать противоправные действия.

Хотите узнать, как это работает? Вот вам подборка клиентских кейсов:

Как был обнаружен инсайдер, ворующий клиентскую базу

Хитрый программист или как был пойман «фрилансер»

Обман учета рабочего времени или как одному работать за пятерых?

Постройте полноценную систему Zero Trust, и ваш бизнес будет надежно защищён от злоумышленников.

Author photo. — Нателла Богданова
Как техноэнтузиаст и старший автор в Kickidler, я создаю содержательный и полезный контент, который помогает бизнесу оптимизировать управление персоналом.

Система учёта рабочего времени Kickidler

Ещё интересные статьи:

Дисциплинарные взыскания, их виды и практика применения

26 ноября 2024

9 минут

Дисциплинарное взыскание — это мера воздействия, применяемая работодателем к сотруднику за нарушение установленных правил или обязательств. Такие наказания регулируются Трудовым кодексом Российской Федерации (ТК РФ) и направлены на поддержание порядка в коллективе, обеспечение соблюдения трудовой дисциплины и предотвращение повторных нарушений. Однако если вы хотите, чтобы принятые дисциплинарные меры действительно пошли компании на пользу, к выбору конкретных действий нужно подходить с осторожностью.

Сегодня поговорим о том, какие виды дисциплинарных взысканий предусмотрены законодательством, в каких случаях их можно применять и как сделать это корректно.

Виды дисциплинарных взысканий

192 статья Трудового Кодекса РФ устанавливает всего три вида дисциплинарных взысканий:

Замечание. Самая мягкая мера наказания, она используется в случае, если сотрудник совершил незначительное нарушение и сделал это впервые. Например, ... Читать далее

Кто такой системный администратор и что он должен знать в 2025

12 марта 2025

15 минут

Системный администратор (сисадмин) — это специалист, который обеспечивает бесперебойную работу IT-инфраструктуры компании: от компьютеров сотрудников до облачных серверов. Сегодня подробно поговорим о том, что должен знать системный администратор, как на него выучиться и какие в этой сфере перспективы.

Что делает системный администратор

Обязанности сисадмина зависят от размера компании и её IT-зрелости. В стартапе чаще всего приходится брать на себя все возможные роли, связанные с поддержкой инфраструктуры – а иногда и за пределами этой области. В корпорации же вполне можно быть узким экспертом по совершенно определённому сегменту, а то и по конкретному оборудованию.

Базовые задачи

Если говорить о том, в чём заключается работа системного администратора в целом, список будет примерно такой:

Настройка и обслуживание оборудования:
- Установка серверов, рабочих станций, сетевых устройств.

Что делать, если подчиненные не выполняют ваши поручения?

04 февраля 2025

6 минут

Что делать, если подчиненный вас не слушается? Срывает сроки, находит отговорки, а то и вовсе напрямую отказывается выполнять поставленные задания… Причины тому могут быть самые разные. Перефразируя Толстого, каждый несчастный руководитель несчастен по-своему.

Как же подчинить подчиненных и заставить их выполнять ваши распоряжения? Если перед вами стоит такая задача, то решать ее нужно максимально быстро и эффективно. Ведь от этого напрямую зависит ваша компетентность, как руководителя.

Бывает, что подчиненный вроде и выполняет ваши поручения, но делает это неохотно, всем видом показывая, что не признает в вас лидера, а лишь соблюдает формальность. Такое поведение сотрудника также не прибавит вам авторитета в коллективе, и, следовательно, подобное проявление духа бунтарства тоже можно отнести к обозначенной группе проблем.

В этом посте мы рассмотрим основные способы борьбы с неповиновением подчиненных.

Поговорить с глазу на глаз

Как разрешить конфликт между сотрудниками в организации

22 августа 2024

9 минут

Конфликты в организации — это неизбежная часть любой рабочей среды, и каждому руководителю придётся с ними столкнуться. Сегодня разберём основные виды таких конфликтов, причины их возникновения и наиболее эффективные методы работы с ними.

Виды конфликтов в организации

Мы считаем, что конфликт на работе — это любое столкновение интересов, взглядов или целей, возникающее между сотрудниками или группами сотрудников. Опираясь на этом определении, все внутриорганизационные конфликты можно условно разделить на четыре больших категории:

Межличностные конфликты. Возникают между отдельными сотрудниками и связаны с личными разногласиями, различиями в характерах или недопониманием.
Межгрупповые конфликты. Происходят между разными отделами или группами сотрудников, зачастую из-за конкуренции за ресурсы или из-за разницы в подходах к выполнению задач.
Конфликты ролей. Возникают, когда... Читать далее

Тихое увольнение, тихий отпуск: как сотрудники незаметно отлынивают от работы

27 июня 2024

6 минут

Одно из потрясающих умений в арсенале последних поколений – это способность виртуозно избегать любых конфликтов путём собственного из них исчезновения.

Вышел на новую работу, и в первый день понял, что «как-то тяжеловато»? Ушёл на обед и не вернулся, трудовую из отдела кадров можно не забирать, в ней всё равно ничего нет. Проработал несколько месяцев, не понравилось, а зарплата нужна? Начинаешь работать спустя рукава: сделал необходимый минимум, потом листаешь соцсети – зарплата-то капает. Уволят? Так не сразу же, плюс ты в целом и не против. Для этой ситуации даже специальное название придумали, «тихое увольнение».

Ещё бывает «тихий отпуск»: ты устал, но отгулы или отпуск брать не хочешь. Вместо этого начинаешь красть на свой отдых рабочее время – занимаешься чем угодно, но не работой. Особенно удобно удалёнщикам: «камера сломалась», и вот уже можно дремать во время созвона. Пару-тройку рабочих писем вечером в отложку закинул, можно идти в клуб, утром види... Читать далее

Бизнес-метрики: что такое, зачем нужны и какие использовать

08 октября 2024

5 минут

Бизнес–метрики – это показатели, позволяющие оценить, насколько хорошо работает ваш бизнес. Существует множество таких параметров и подходов к их обработке, поэтому сегодня поговорим об основных метриках и способах их использования в повседневном управлении организацией.

Зачем бизнесу ключевые метрики

Любая метрика – это простой, понятный, сжатый до единственного короткого значения показатель результативности вашей работы в той или иной сфере. Например:

сколько денег вы заработали за месяц;
сколько человек заинтересовались вашим продуктом;
какая конверсия касаний в покупки и т. д.

Вместо того, чтобы тратить время и силы на изучение детального отчёта, вы просто смотрите метрику и сравниваете её с ожидаемыми, спрогнозированными на основании наблюдений за рынком и предыдущими периодами, результатами. Если показатель соответствует ожиданиям, всё в порядке. Если есть существенные отличия, это знак, что нужно де... Читать далее

Правда ли, что возрастные сотрудники работают хуже? Наше исследование

19 сентября 2024

8 минут

Мы провели исследование при помощи нашей программы мониторинга сотрудников Kickidler и выяснили, сотрудники из какие возрастных групп работают наиболее продуктивно. Результаты – в конце статьи.

Не секрет, что чем старше человек становится, тем сложнее ему найти новую работу по специальности. Возраст 45 лет становится для многих профессионалов поворотной точкой, за которой они начинают всё сильнее держаться за текущую должность – и всё чаще попадают в поле зрение кадрового департамента в связи с «политикой омоложения кадров». Мы заинтересовались этой темой и попробовали разобраться в том, насколько такой подход оправдан.

В чём проблема с заменой пожилых сотрудников на молодых

Размышляя над ситуацией на рынке труда, мы прежде всего оценивали ситуацию с точки зрения владельцев бизнеса, абстрагировавшись от социальных норм или моральных дилемм. Если применять сухую математику «выгодно/не выгодно», то у омоложения персонала на первый взгляд есть с... Читать далее

Административный метод управления персоналом

04 января 2025

6 минут

В современном менеджменте принято выделять три основных метода управления коллективом, которые в свою очередь имеют массу подвидов. Это административный, экономический и социально-психологический.

Причины, по которым компании останавливаются на определенном методе управления, могут быть самыми разнообразными, но чаще всего это специфика отрасли, функции компании, личность руководителя, уровень конкуренции на рынке.

В этом посте мы постараемся на живых примерах разобрать административный метод управления, выявить какие у него есть плюсы и минусы и для решения каких задач он наиболее эффективен.

Особенности административного стиля управления

Административный (организационно-распорядительный) метод управления базируется на строгих правилах внутреннего трудового распорядка, четкой иерархии в коллективе и распределении обязанностей. Приказы при таком стиле управления, как правило, не обсуждаются, авторитет руководства – без... Читать далее

Рейтинг лучших корпоративных антивирусов для малого и среднего бизнеса 2025

02 января 2025

5 минут

Работая над развитием своего бизнеса, вы всегда должны помнить: важно не только достигать новых вершин, но и защищать уже завоеванные позиции. Что им угрожает? Немного статистики от Генпрокуратуры: за первые восемь месяцев 2019 года в России было зарегистрировано 180 153 киберпреступления – это на 67% больше, чем в 2018-м. Для сравнения: количество краж выросло всего на 3.5%. Получается, что от обычных преступлений мы защищаться уже умеем, а вот борьба с хакерскими атаками остаётся открытым вопросом.

И действительно: ни у кого нет сомнений в том, что, уходя из офиса, стоит закрыть дверь на ключ и включить сигнализацию. Большинство бизнесменов уверены в полезности камер наблюдения. А вот сферу информационной безопасности многие просто игнорируют. Между тем для того, чтобы защитить своё дело от большинства цифровых угроз, достаточно просто поставить хороший антиви... Читать далее

ТОП-10 лучших таск-менеджеров для удаленного управления рабочим процессом

06 января 2025

5 минут

Что такое таск-менеджер?

Таск-менеджер – программное решение, предназначенное для управления проектами. Его функционал позволяет руководителю раздавать персонализированные и групповые задачи, разделять их на этапы, контролировать выполнение всех заданных процессов. Такие сервисы достаточно давно пользуются популярностью, ведь позволяют осуществлять общее управление и контроль над проектами с меньшими затратами времени. Не нужно ходить между столами и кабинетами – все можно увидеть на своем экране в любой момент.

Как выбрать таск-менеджер в 2025 году?

Внедрение и использование таск менеджеров было полезным и актуальным ранее. Но сейчас в условиях массового перехода на формат удаленной работы их применение становится жизненно необходимым. Ведь гораздо удобнее ставить и корректировать задачи, контролировать их выполнение, управлять командой в едином интерфейсе, чем отдельно общаться с каждым участником проекта.

В общем, переход на управле... Читать далее

Рейтинг систем сквозной аналитики 2025

04 января 2025

15 минут

Предлагаем вашему вниманию рейтинг топ 10 лучших систем и сервисов для сквозной аналитики: сравнение функций, цен и дополнительных возможностей. Хотите узнать, как выбрать сервис для сквозной аналитики – читайте нашу статью.

Что такое система сквозной аналитики

Система сквозной аналитики (end-to-end analytics) — это комплексное решение для сбора, анализа и интерпретации данных о бизнес-процессах, продуктах и клиентах. Она позволяет собирать информацию из разных источников, объединять и анализировать ее, выявлять проблемные места в работе компании и оптимизировать бизнес-процессы. Система сквозной аналитики позволяет отслеживать весь жизненный цикл клиента - от привлечения до удержания, анализировать продажи и доходы, оценивать эффективность маркетинговых кампаний, улучшать качество обслуживания клиентов и многое другое. В итоге, она помогает увеличить прибыль и улучшить отношения с клиентами.

Именно сквозная аналитика помогает маркетоло... Читать далее

Управление проектной командой: что нужно знать менеджеру

20 июня 2024

6 минут

Команда проекта – это слаженная группа специалистов, работающих над достижением единой цели, но до какой степени эта группа должна быть слажена? И нужно ли сотрудникам вообще задумываться над взаимодействием друг с другом? Рассказываем о том, как организовать процессы оптимальным образом.

Что такое команда проекта

Начнём с определения: команда проекта – это группа специалистов, которые объединились для достижения определённой цели в рамках конкретного проекта. Ключевое отличие от рабочей группы или подразделения компании заключается именно в том, что такие команды чаще всего формируются на временной основе и после завершения работ распускаются.

Отсюда несколько моментов, которые команде управления проектом – менеджменту – постоянно нужно держать в голове:

Уделите максимум внимания формированию команды проекта. Ещё на этапе предварительного планирования вам нужно чётко понять, какие специалисты, для каких задач и на к... Читать далее

RACI матрица: что это такое и как использовать эту методику в бизнесе

19 августа 2024

6 минут

RACI-матрица – это методика, созданная для решения одной из наиболее остро стоящих проблем практически любого бизнеса: проблемы распределения ответственности. Рассказываем о том, что это за инструмент и как пользоваться им с максимальной эффективностью.

Что такое матрица ответственности проекта RACI?

RACI — это аббревиатура, которая расшифровывается следующим образом:

R (Responsible) — исполнитель, который непосредственно отвечает за выполнение задачи и проведение работ.
A (Accountable) — руководитель, который осуществляет контроль и берёт на себя ответственность за конечный результат.
C (Consulted) — консультант, участие которого ограничивается предоставлением необходимой для проекта информации и рекомендаций по решению задач.
I (Informed) — лицо, которое не принимает активного участия в проекте, однако информируется о его статусе (например, топ-менеджер).... Читать далее

Сильные и слабые стороны руководителя: над чем работать, чтобы добиться успеха

12 июля 2024

10 минут

Эффективность любого бизнеса в большой степени зависит от личностных качеств руководителя, который этим бизнесом управляет. Чтобы привести компанию к успеху и выстроить отличную карьеру, вам важно чётко осознавать свои сильные и слабые стороны, а также понимать, как их грамотно использовать.

Поговорим о том, каким должен быть руководитель: какие качества менеджеру стоит развивать, от каких лучше избавиться, какие инструменты помогут вам в раскрытии собственного потенциала или компенсировать свои недостатки.

Сильные стороны руководителя

Начнём с того, какими качествами должен обладать хороший руководитель, чтобы его можно было назвать по-настоящему эффективным и успешным:

Ответственность. Занимая руководящую должность, вы автоматически принимаете на себя ответственность не только за себя, но и за своих подчинённых. Всегда помните: успехи и развитие ваших сотрудников напрямую зависят от вас – вы отвечаете за то, ... Читать далее

Что такое мониторинг работы сотрудников?

22 января 2025

5 минут

В этой статье мы расскажем, что такое мониторинг работы персонала, зачем это нужно, а также какие бывают программы для мониторинга сотрудников за компьютерами.

Мониторинг действий сотрудников всегда был достаточно сложной темой. С одной стороны, вы хотите держать руку на пульсе и точно знать, что ваши подчинённые действительно сфокусированы на работе. С другой стороны, у слишком пристального наблюдения есть свои недостатки, а право на неприкосновенность личной информации никто не отменял.

Поговорим о том, что такое мониторинг работы сотрудников, в каком виде он должен быть реализован, какие есть подводные камни и как организовать эффективное наблюдение за персоналом с технической точки зрения.

Что такое мониторинг деятельности сотрудников?

Мониторинг рабочего времени сотрудников обычно представляет собой наблюдение за активностью специалистов при использовании компьютеров. Для этого на ПК устанавливаются специальные программы,... Читать далее