Беспокойство относительно масштабов и влияния пандемии COVID-19 постоянно растет, что заставляет организации занять проактивную позицию и выстроить стратегию ведения бизнеса в условиях кризисных ситуаций. Директор по информационным технологиям (CIO) и директор по информационной безопасности (CISO) играют ключевую роль в этом процессе. Именно они должны разработать и реализовать комплекс мероприятий, направленных на непрерывное и защищенное функционирование организации в условиях внедрения мероприятий по сдерживанию пандемии. Далее приведен контрольный список, подготовленный специалистами KPMG, который поможет на этом пути.
Может ли ваш бизнес эффективно функционировать в условиях удаленной работы?
Вам нужно убедиться, что ваш бизнес может работать удаленно и гибко, а ваши работники способны это обеспечить. Это может заставить вас еще раз пересмотреть решение относительно прав доступа, полномочий и уровней риска.
Вопросы, которые следует учесть:
- Достаточное ли у вас количество VPN каналов, порталов и шлюзов для удаленной работы большого количества сотрудников и третьих лиц, например потенциальных ключевых поставщиков, подрядчиков и разработчиков?
- Тестировалась ли инфраструктура на ее способность справиться с ожидаемыми нагрузками?
- Есть ли отдельные «слабые» звенья в инфраструктуре и можете ли вы дополнительно обеспечить их устойчивость?
- Нужно ли ослабить механизмы контроля доступа или предоставить дополнительные учетные записи или полномочия для удаленного входа?
- Имеет ли служба поддержки достаточно ресурсов для обработки любых запросов пользователей, которые не могут войти в систему или которым ранее не приходилось иметь дело с удаленной работой?
- Если работникам необходимы ноутбуки для удаленной работы, есть достаточный резерв лэптопов или возможность приобрести дополнительное количество для удовлетворения спроса, а также как следует определять приоритетность их распределения?
- В тех случаях, когда резерв оборудования ограничен, рассматривали ли вы возможность, перехода на облачные технологии (например, Office 365 и One Drive)?
- Рассматривали ли вы возможность внесения в «белый список» только определенных приложений в этот период и блокировки всех несущественных сервисов?
- Есть ли у вас ограничения относительно возможностей видео– и аудио-телеконференций и можете ли вы сделать что-нибудь для масштабирования этой инфраструктуры?
- Рассматривали ли вы альтернативные облачные решения для конференций и удаленной работы?
- Имеют ли сотрудники необходимые номера или ссылки для доступа к видео– и аудио-телеконференций, доступны ли учебные материалы, нужно ли организовать справочную линию?
- Можете ли вы обеспечить удаленное функционирование службы поддержки в условиях, когда ее работники вынуждены работать из дома?
- Подготовлены ли простые раздаточные материалы для персонала, с ответами на основные вопросы, с которыми обращаются в службу поддержки:
- Как войти в систему?
- Как изменить пароль?
- Как получить доступ к ключевым сервисам?
- Как я могу получить помощь в службе поддержки?
- Кто будет моими ключевыми контактами в случае возникновения у меня кризисных ситуаций?
Можете ли вы масштабировать цифровые каналы, чтобы удовлетворить спрос?
Ограничения на передвижение в условиях распространения вируса может привести к новым моделям спроса и увеличению трафика в цифровых каналах.
- Больше клиентов и заказчиков могут ожидать взаимодействия с вами с помощью цифровых каналов, следовательно, можете ли вы масштабировать эти системы и услуги, чтобы справиться с изменениями в спросе?
- Каким образом вы бы отслеживали загрузки и производительность и кто уполномочен принимать решение о масштабировании мощностей или выборе и приоритетности в случае нехватки мощностей?
- Четко ли понятно вам, от каких сервисов возможно придется отказаться или как могут измениться процедуры взаимодействия с клиентами, если системы перегружены?
- Зависите ли вы от ключевых контакт-центров, и если эти центры закрыты или недоступны, могут ли клиенты и заказчики взаимодействовать с вами через другие каналы?
- Есть ли возможность позволить работникам контакт-центра работать удаленно или перенести их нагрузку на другой контакт-центр?
- Анализировали вы взаимодействие между контакт-центрами и службами поддержки или справочными службами, а также возможности любых договоренностей об аутсорсинге?
- Обсуждали ли вы такие возможные договоренности с ключевыми поставщиками этих сервисов и то, как они будут определять приоритетность ваших нужд и потребностей других клиентов?
Зависите ли вы от ключевого ИТ-персонала?
К сожалению, работники могут заразиться или могут оказаться неспособными передвигаться или вынуждены ухаживать за членами семьи; вам следует запланировать значительное количество отсутствующих сотрудников на рабочих местах.
- Что будет, если ключевой ИТ-персонал (в том числе подрядчики) будет не в состоянии передвигаться или заболеет. Зависимы ли вы от небольшого количества ключевых сотрудников?
- Каким образом вы могли бы уменьшить эту зависимость, например, обеспечив наличие аварийной процедуры, которая позволила бы другим администраторам получить доступ к критическим системам?
- А как насчет группы по безопасности? Кто ее ключевые лица, и если CISO недоступен, то кто будет принимать решения по мерам безопасности и какими будут приемлемые риски для компании?
Что будет, если произойдет прерывание в работе центра обработки данных?
Центры по обработке данных также могут подвергнуться воздействию вируса. Положительный тест сотрудников может привести к эвакуации и требовать глубокого обеззараживания здания; нарушение транспортной инфраструктуры может препятствовать доступу, а персонал ЦОДа может оказаться неспособным работать.
- В случае, если один из ваших центров обработки данных эвакуирован, предусматривают ваши планы восстановления после аварий такой сценарий, и протестовали вы эти планы?
- Как быстро вы можете перейти на другой сайт и кто руководит этим процессом?
- Зависите ли вы от ключевых лиц (включая поддержку подрядчика) для обеспечения работы ЦОДа и как вы можете управлять этой зависимостью?
Можете ли вы масштабировать свои облачные решения?
Могут возникнуть дополнительные требования к облачным сервисам, которые потребуют от вас масштабирования имеющейся вычислительной мощности, что может повлечь дополнительные расходы. Другие услуги могут демонстрировать падение в спросе.
- Можете ли вы отслеживать спрос на вычислительные мощности и эффективно управлять распределением ресурсов?
- Подготовлены ли меры реагирования на случай дополнительных расходов, которые могут быть понесены из-за масштабирования или предоставления других облачных услуг?
Насколько вы зависимы от конкретных поставщиков?
На ваших поставщиков и партнеров также будет оказываться давление, и их деятельность тоже будет нарушена.
- Кто является вашими критически важными поставщиками и что бы вы делали, если бы они были не в состоянии работать, в том числе в случае нарушения в работе ключевых поставщиков услуг?
- Есть ли сейчас меры, которые можно принять, чтобы уменьшить эту зависимость, включая использование ресурсов вашей команды?
- Обсуждаете ли вы последствия со своими ключевыми поставщиками и имеете ли вы правильные контактные данные этих поставщиков?
- Определили ли вы, какие поставщики ИТ-услуг могут оказаться под финансовым давлением, и какова была бы ваша альтернативная стратегия обеспечения ресурсами, если бы они «выбыли бы из игры»?
Что будет, если произошло нарушение информационной безопасности («киберинцидент»)?
Организованные преступные группировки используют страх перед COVID-19 для проведения высоко таргетированных фишинговых атак и создания фальшивых веб-сайтов, что приводит к увеличению риска нарушения кибербезопасности.
- Объяснили ли вы работникам, где можно получить доступ к точной информации о пандемии COVID-19 и о том, как реагирует ваша фирма на COVID-19?
- Предупреждены ли сотрудники о повышенном риске фишинговых атак, использующих информацию о COVID-19 в качестве «прикрытия»?
- Если вы зависимы от альтернативных систем или решений, в том числе, закупаемых в виде облачных сервисов, кому бы вы доверили решать вопросы нарушения информационной безопасности, связанные с этими системами?
- Нужно ли менять подход к процедурам по безопасности во время пандемии, включая меры по мониторингу событий нарушения безопасности?
Что будет, если произойдет ИТ-инцидент?
В то время как COVID-19 занимает главное место в новостях, вы все-таки должны быть осведомлены о возможности сбоя в ИТ-системах из-за изменений требований к вашей инфраструктуре или возможной кибератаке.
- Сможете ли вы скоординировать реагирование на инцидент удаленно, и есть ли у вас необходимые конференц-средства и доступ к сайтам/ процессам и пособия по управлению инцидентами?
- Есть ли у вас виртуальный кабинет для чрезвычайных случаев, если физический доступ ограничен?
- Зависимы ли вы от ключевых лиц по реакции на инцидент, и если да, что вы можете сделать, чтобы уменьшить эту зависимость?
- Как меняется структура управления кризисными ситуациями/ инцидентами и реагирования на них, если ключевые менеджеры по инцидентам/ лица, ответственные за восстановление работы систем не доступны?
- Уверены ли вы, что ваши резервные копии актуальны и что при худшем сценарии вы можете восстановить жизненно важные корпоративные данные и системы?
- Как вы будете действовать в случае возникновения ИТ-инцидента из-за атаки, вызванной вирусом-вымогателем, когда значительное количество ваших сотрудников работает из дома?
Наилучшим ли образом вы используете свои ресурсы?
Вам нужно будет уметь обеспечивать функционирование с ограниченным количеством сотрудников и четко определять приоритеты для задач, которые ваша команда должна выполнить.
- Определили вы приоритеты в деятельности своей команды, есть ли задачи, которые можно отложить и высвободить сотрудников для разработки и планирования действий в чрезвычайных ситуациях и подготовки приоритетных задач?
- Есть ли у вас возможность получить доступ к аварийным фондам (фондам для чрезвычайных обстоятельств), если вам нужно обеспечить оборудование или оперативную дополнительную поддержку подрядчика/ специалиста?
- Если вы столкнулись с необходимостью уменьшения дискреционных расходов для сохранения денежных средств, понятно ли вам, какие расходы нужно защитить и на чем можно сэкономить?
Является ли ваша модель поведения примером для других?
На фоне всех этих организационных аспектов вы являетесь руководителем, и ваша команда будет искать у вас лидерство и поддержку.
- Сделали вы все необходимое, чтобы ваша команда внедряла соответствующие гигиенические меры, включая гибкую и удаленную работу для удовлетворения потребностей, которые меняются?
- Есть ли у вас актуальные контактные данные всей вашей команды? Знает ли ваша команда, к кому обратиться в чрезвычайных ситуациях?
- Существует ли модель поведения, которую вы ожидаете от своей команды и что произойдет, если вы будете недееспособными? Кто сможет вас заменить?
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365