#модуль_compliance — Public Fediverse posts

Почему ритейл продолжает терять деньги из-за неэффективной ИБ — и что с этим делать

Информационная безопасность в ритейле всегда была сложным аспектом бизнеса. В отличие от многих других отраслей, здесь любой сбой моментально становится финансовым: если остановился сайт или платёжный шлюз, клиент буквально разворачивается и уходит. Если не работает кассовое ПО — магазин стоит. Если произошла утечка клиентских данных — в ход идут штрафы, репутационные потери и утрата доверия. За последние годы я неоднократно сталкивался с ситуацией, когда ритейлинговая компания вкладывает значительные средства в ИБ — покупает новые средства защиты, нанимает людей, масштабирует инфраструктуру — а проблемы только нарастают. Инциденты не исчезают, атаки проходят успешно, аудиты показывают низкую зрелость процессов. Снаружи всё выглядит так, будто ИБ-служба просто «не справляется», но на деле корень проблемы совершенно другой. И почти всегда это не из-за бюджета или людей, а из-за процессов.

https://habr.com/ru/companies/securitm/articles/973274/

#ИБ_в_ритейле #Утечка_CRMбазы #модуль_compliance #Подготовка_к_аудитам #информационная_безопасность #Блог_компании_SECURITM

Как автоматизация отчётности избавляет службы ИБ от рутины

Любой, кто работает в корпоративной информационной безопасности, знает, что отчётность отнимает больше времени, чем хотелось бы. Формирование отчётов, согласование данных между подразделениями, бесконечные Excel-файлы, ручное копирование показателей из систем — всё это не только демотивирует специалистов, но и напрямую снижает эффективность ИБ. Пока команда занята сводками для аудиторов и контролёров, реальные риски могут оставаться без внимания. Я нередко наблюдаю, как крупные организации с развитой ИБ-службой тратят недели на подготовку ежеквартальных отчётов, четверть, а то и треть от всего периода, чтобы закрыть квартал. И речь не только о государственных организациях или финансовых компаниях, работающих по различным нормативным требованиям, таким как 152-ФЗ (и подзаконные НПА) или ГОСТ 57580. Даже коммерческие структуры, не обременённые строгим регулированием, сталкиваются с тем, что любая проверка превращается в проект на полгода. Особенно если речь идет про построение различных систем менеджмента информационной безопасности, или соответствие лучшим практикам. Данные о системах, уязвимостях, инцидентах и планах устранения собираются вручную из множества источников, а после — проходят цепочку проверок и уточнений. Почему ручная отчётность перестала работать Цель любой отчётности — показать текущее состояние безопасности и уровень зрелости процессов. Но из-за ручного подхода результаты часто оказываются устаревшими уже в момент передачи. В одной из компаний я видел, как данные о внедрённых мерах защиты собирались вручную: сначала в таблицах Excel, затем в документе Word, а потом превращались в PDF для аудита. Всё это выливалось в десятки часов потраченного времени, множество неточностей и полное отсутствие решений, основанных на достоверных данных.

https://habr.com/ru/companies/securitm/articles/968454/

#информационная_безопасность #автоматизация_отчетности #архитектура_данных #Модуль_Compliance #Модуль_Активов #метрики #ручное_управление_данными