работе, регулярно проводите проверки, чтобы убедиться, что они придерживаются установленных правил. Дайте недвусмысленно понять, что вы будете проводить такие проверки, и оговорите, в чем они будут заключаться. Компания может потребовать от подрядчиков тех же мер контроля, которые применяет сама: проверку сотрудников на наличие судимостей, отслеживание достоверности данных кандидатов о предыдущих местах работы, контроль доступа к своим данным и рабочим приложениям с целью выявления несанкционированной деятельности, а также предотвращение физического проникновения злоумышленников в служебные помещения, где работают с конфиденциальной информацией.
Наблюдать за сотрудниками
Дайте сотрудникам понять, что у вас есть возможность контролировать их сетевую активность и что вы будете это делать – в той мере, в какой это разрешено законом. Нельзя полностью оставлять вопросы кибербезопасности на усмотрение экспертов, вы должны ежедневно следить, какая информация исходит из вашей компьютерной системы, а какая поступает к вам. Это означает, что службы безопасности или поставщики услуг должны регулярно проводить оценку рисков: анализ источников угроз, уязвимых сотрудников и сетей, а также возможных последствий в случае, если риск выльется в настоящую атаку. Следует также отслеживать действия, направленные на снижение риска, в частности время реагирования на оповещения.
Роутеры или файерволы способны отслеживать исходящую информацию, однако необходимо убедиться, что эта функция активирована. Если у вас нет оборудования для мониторинга исходящего трафика, его нужно приобрести. Кроме того, следует вести учет и наблюдение за всеми устройствами, через которые возможна утечка, – USB-накопителями и другими портативными носителями информации, распечатками и так далее. Это возможно осуществить путем выборочных проверок или даже постоянного, как в аэропортах, досмотра людей, входящих в здание и выходящих из него (General Electric и Wipro применяют подобные методы в Бангалоре).
Чтобы мониторинг был эффективным, необходимо тщательно регламентировать предоставление привилегий всем сотрудникам – включая тех, кто имеет наивысший уровень допуска к корпоративным системам, поскольку часто именно они и становятся инициаторами инсайдерских атак. Регулярно пересматривайте список наиболее привилегированных пользователей и наблюдайте за теми, кто в нем остается, чтобы убедиться, что они заслуживают доверия. Подберите подходящие системы обнаружения инсайдерских угроз, способные предупреждать то, что можно предотвратить, а также распознавать уже случившиеся опасные события. Большие данные могут помочь при сопоставлении получаемых сигналов и вынесении предупреждений сотрудникам.
Также может быть полезным антивирусное программное обеспечение. В частности, при сотрудничестве «внешних» злоумышленников с работниками компании, первым важным шагом будет внедрение вредоносной программы в сеть организации. При обнаружении вируса всегда следует учитывать, что он может быть частью инсайдерской атаки: анализ работы этого вредоносного кода может дать ключ к установлению личности преступника и пониманию его основных целей.
Такой детальный мониторинг увеличит нагрузку на всех сотрудников, но окупится за счет снижения рисков вашей компании и повышения ее устойчивости к внешним воздействиям.
____________________________________
Наиболее эффективная стратегия защиты от киберугрозы, исходящей от инсайдеров, заключается в использовании доступных средств защиты и устранении слабых мест. Но в первую очередь следует сосредоточиться на главном – добиться безопасного поведения от каждого, кто работает в компании. Сотрудники должны знать, какое поведение приемлемо, а какое нет. Напоминайте им, что, защищая организацию, они также защищают и свои рабочие места.
Впервые опубликовано в выпуске за сентябрь 2014 года.
Климатическая стратегия для защиты вашего будущего
Джозеф Олди, Джанфранко Джанфрате
ПО МЕРЕ ТОГО КАК ПОГОДНЫЕ условия в мире становятся все более неблагоприятными, угроза, которую представляет для бизнеса изменение климата, перестает быть умозрительной. Предприятия работают над тем, чтобы защитить свои активы и цепочки поставок от ураганов, становящихся все более и более разрушительными, от аномальной жары, пожаров и засух. Все чаще компании включают в свои расчеты такой «климатический» риск; инвесторы также уделяют ему пристальное внимание. Но с этим связана еще одна угроза, которую не все осознают в полной мере, – это «углеродный» риск, т. е. влияние, оказываемое политикой в области изменения климата на стратегию компании и ее доходность. В связи с усиливающимся глобальным потеплением бизнесу следует ожидать более жестких правительственных мер, которые приведут к росту платежей за выбросы углекислого газа. Если компании будут не готовы к этому, то, возможно, останутся за бортом. В этой статье мы предлагаем рассмотреть подход, к которому все чаще и чаще прибегают компании, чтобы с уверенностью смотреть в будущее и даже прийти к процветанию: внутренние тарифы на выброс углекислого газа (см. раздел «Рост внутренних тарифов на выбросы углекислого газа»). В основе этого подхода лежит оценка (в денежном выражении) собственных выбросов компании, отражающая установленную плату за выбросы углекислого газа. К 2017 году около 1400 компаний уже установили или собирались установить внутренние тарифы на выбросы углекислого газа. Как мы убедимся, это позволяет компаниям лучше оценивать инвестиции, управлять рисками и вырабатывать стратегию развития.
Прежде чем углубиться в детали, давайте рассмотрим сложившуюся обстановку. Руководители американских компаний могут решить, что, учитывая старания администрации Трампа по упразднению действующей политики в отношении климата и энергетики, давление на них прекратилось. Однако остальной мир и многие американские штаты все активнее борются с изменением климата. Более 60 государственных, региональных и субнациональных правительств (на долю их стран приходится около половины мировой экономики) проводят эту политику – устанавливают плату за выбросы углекислого газа. Уже более 180 стран ратифицировали Парижское соглашение, направленное на их снижение. Власти Мексики, Швеции, Британской Колумбии и других государств в настоящее время вводят соответствующие налоги. А Китай, Евросоюз и Калифорния – среди тех, кто разворачивает программы ограничения и торговли квотами, которые устанавливают лимит на общий объем выбросов для создания стимулов к их сокращению (см. раздел «Как власти устанавливают плату за выбросы углекислого газа»).
Рост внутренних тарифов на выбросы углекислого газа
Число транснациональных компаний, внедривших внутренние тарифы на выбросы углекислого газа, стремительно растет.
Идея вкратце
Проблема
Компании, как правило, учитывают угрозы для бизнеса и активов, связанные с изменением климата. В то же время они не уделяют должного внимания рискам, которые политика в области изменения климата создает для их доходов и стратегического развития.
Решение
Предвидя, что в результате проведения такой политики выбросы углекислого газа будут обходиться компаниям все дороже и дороже, многие из них устанавливают расчетную стоимость своих выбросов в денежном выражении, что помогает им проводить оценку инвестиций, управлять рисками и вырабатывать стратегию.
Порядок действий и ожидаемая выгода
Компании должны прогнозировать цены на углеродные квоты в тех регионах, где они ведут свою деятельность, а затем устанавливать внутренние тарифы с учетом объемов своих выбросов
