Реализация архитектуры безопасности с нулевым доверием: вторая редакция

Что такое ESG и зачем это нужно компаниям

ESG расшифровывается как «Environment, Social, Governance». В переводе с английского — «окружающая среда, общество, управление». Это стратегия развития компании, которая предусматривает прозрачность в менеджменте, заботу об экологии и людях, с которыми соприкасается компания.

Понятие появилось в 2004 году — его сформулировал Кофи Аннан, который тогда занимал пост Генерального секретаря ООН. Он обратился к CEO ведущих мировых компаний с предложением включить эти принципы в свои стратегии. Обращение называлось Who Cares Wins — «Неравнодушный побеждает». Концепция действительно победила — спустя почти 20 лет принципы ESG соблюдают не только большие корпорации, но и многие компании малого и среднего бизнеса.

Принципам ESG следуют:

  • Для привлечения инвестиций. ESG-рейтинги компаний уже существуют не только на Западе, но и в России. Российские банки оценивают нефинансовые кредитные риски заёмщиков. Наравне с финансовыми показателями предприятия учитываются стандарты управления бизнесом, риски загрязнения окружающей среды и выполнение социальных обязательств перед сотрудниками.
  • Для реализации PR-стратегии. Хорошая ESG-кампания может стать ярким инфоповодом, грубое нарушение этих правил — причиной серьёзного PR-кризиса. Так произошло, например, с «Норникелем»: в 2021 году компания сначала допустила разлив топлива, а после умолчала о масштабах утечки. Из-за этого ликвидацию последствий начали на несколько дней позже, что вызвало резкое недовольство общественности и представителей власти.

Создание растительных кроссовок от Reebok можно, напротив, считать хорошим инфоповодом

Дорожная карта по ESG-переходу

Базовые принципы ESG-перехода одинаковы, однако работа в этом направлении для каждой организации будет разной, поскольку зависит от специфики ее деятельности и амбиций.
Тем не менее, можно составить универсальную дорожную карту по ESG-переходу, выделив ключевые шаги на пути к достижению целей устойчивого развития.

Шаг 1. Начало работы и определение приоритетов
Для того чтобы сделать первый шаг к внедрению ESG-принципов, необходимо сформировать надежную команду из профессионалов, разобраться в проблеме в целом, систематизировать информацию и затем определить наиболее близкие по духу и соответствующие бизнес-профилю цели устойчивого развития.

Шаг 2. Планирование, выявление рисков и возможностей
На данном этапе проводится анализ проблемных области компании по всем сферам (водопотребление, утилизация отходов, управление кадрами, безопасность труда, финансовая составляющая и т. д.), определяются их причины и выявляется вероятность наступления рисков от ESG-перехода и новые возможности. К примеру, модернизация существующих производственных цепочек и использование наилучших технологий принесут экономическую выгоду компании в долгосрочной перспективе и повысят ее привлекательность для потребителей и инвесторов.

Шаг 3. Генерация, оценка и расстановка приоритетов и вариантов стратегии
После всестороннего анализа деятельности организации рассматриваются все возможные варианты развития компании с учетом ESG-принципов и оценки успешного опыта других компаний. Не нужно стараться охватить сразу все цели устойчивого развития. Приоритеты расставляются максимально четко, определяются главные направления с учетом потребностей компании на текущий момент. Менее важные моменты можно будет перенести на следующий этап стратегического планирования.

Шаг 4. Реализация стратегии
Для реализации выбранной оптимальной стратегии необходимо разработать план, детально прописав в нем обязанности каждого подразделения компании для достижения результата. Также на этом этапе следует позаботиться о создании профильной компетенции и обучении кадров, чтобы они смогли реализовать утвержденную стратегию. Организационная структура, которая будет курировать внедрение ESG-стратегии, может быть представлена на предприятии специально созданным подразделением или рабочей группой, состоящей из менеджеров компании различных направлений, а также уже действующим исполнительным или управленческим органом.

Шаг 5

Внешний и внутренний мониторинг
В процессе реализации ESG-стратегии важно проводить регулярный мониторинг как внутренних результатов компании, так и внешних процессов
При внутреннем мониторинге особое внимание уделяется пробелам в ESG-стратегии и сдерживающим факторам, при внешнем мониторинге — отслеживанию тенденции в области регулирования ESG. На данном этапе необходимо также проводить оценку успешных результатов внедрения этой стратегии на других предприятиях и своевременно реагировать на законодательные и государственные инициативы

Предложенные выше инструменты являются базовыми алгоритмами, которые позволят плавно и безболезненно перейти к новой концепции и достичь более высокого уровня ESG политики как новичкам бизнеса, так и крупным корпорациям. Ведь рано или поздно устойчивое развитие и ESG неизбежно затронут всех, причем каждый из вовлеченных участников получит свою выгоду от «устойчивой» и «зеленой» трансформации. Поэтому в настоящее время в России ESG — это не просто модный западный тренд и не эфемерный призрак грядущего дня. Это действительность современного бизнеса, без которой невозможно достичь экономического роста и построить благополучное будущее.

Какие передовые практики и технологии требуют нулевого доверия?

Существует несколько передовых практик, которые организация должна принять перед тем, как начать говорить о конкретных технологиях или поставщиках. Они есть:

  • Никакой попытке подключения к сети не может быть предоставлено автоматическое доверие, будь то автоматический доступ к компьютеру или пользователь. Доверие заслужено, каждый раз.
  • Организации должны реализовать «доступ с наименьшими привилегиями». Это требует от организаций выдачи учетных данных, которые разблокируют только те базы данных и функции, которые необходимы каждому сотруднику для выполнения своих функций, и запрещают доступ к любым другим.
  • Компания или организация должны знать, какие устройства подключены к ее сети и когда, чтобы она могла точно оценить текущую поверхность угрозы. Это означает осуществление строгого контроля над тем, могут ли личные устройства использоваться в рабочих целях и какие протоколы безопасности должны быть установлены.

Организации, которые хотят применить общий уровень безопасности в своих приложениях и веб-ресурсах, могут выбирать из нескольких поставщиков и функций.

Что мы можем сделать?

Мир нулевого доверия уже начался. Google покажет уведомление на вашем телефоне, если вы входите в Gmail с другого компьютера, чем обычно.

Apple уведомит ваш старый iPad, если вы войдете в iCloud на новом iPhone. Банковские приложения будут сканировать ваше лицо или отпечаток пальца каждый раз, когда вы открываете приложение. Или требуют установки программного обеспечения безопасности, прежде чем вы сможете войти в систему.

Технологии нулевого доверия продолжают внедряться в потребительские технологии. Но все еще существует множество платформ и сервисов, которые не обеспечивают принципов нулевого доверия.

Важно продолжать практиковать безопасные привычки кибербезопасности:

  • Используйте уникальные пароли, которые сложнее подобрать. Регулярно заменяйте их.
  • Обновляйте свои устройства и маршрутизатор с помощью последней версии программы.
  • Не нажимайте на неизвестные спам-ссылки с необычных или подозрительных адресов электронной почты.
  • Будьте бдительны с вашим антивирусом и защитой от спама при использовании каждого устройства, каждый раз.
  • Резервное копирование изображений и ценных документов на флэш-накопитель USB. Положите его в конверт и отнесите в сейф, если это действительно важная информация.

Лучшая кибербезопасность может стать привычкой для вас и вашей семьи, если вы практикуете ее каждый день

Внимание к тому, что происходит в мире киберпреступности, поможет защитить вашу ценную информацию. Если ваши устройства когда-либо будут украдены или учетные записи будут скомпрометированы

Как нулевое доверие останавливает хакеров?

Хотя архитектуры с нулевым доверием не созданы для борьбы с хакерами, они призваны максимально усложнить взлом всей системы. Вместо того, чтобы связывать все в сети, каждая ее часть имеет отдельный сегмент, который вынуждает потенциальных злоумышленников повторять процесс эксплуатации каждый раз, когда они хотят двигаться «в сторону».

Проще говоря: из-за этого сеть настолько трудно пережевывать, что хакеры сдадутся и будут искать более зеленые пастбища в другом месте. Если вы нарушите одну часть архитектуры, остальная часть останется в своем собственном пространстве, что сделает продвижение вперед невероятно громоздким.

Давайте применим эту идею на практике: если у вас есть отдел продаж, вы дадите ему доступ только к тем данным, которые необходимы им для выполнения своей работы. Это означает просто предоставить им доступ к данным о клиентах, которые имеют отношение к маркетингу (например, какие продукты они купили и т. Д.). С другой стороны, доступ к финансовой информации должен иметь только бухгалтерский отдел.

Такой тип модели сделает невозможным для хакера получить доступ к коммерческой базе данных, скомпрометировав учетные данные торгового представителя.

Помимо разделения, модель нулевого доверия должна иметь и другие принципы:

  • Ограничьте объем доступа каждого сотрудника, чтобы у него были только данные, необходимые для правильного выполнения своей работы.
  • Регистрируйте все и убедитесь, что вы можете видеть, как данные проходят через вашу инфраструктуру, что упрощает понимание пути атаки, когда она происходит.
  • Используйте многофакторную аутентификацию, чтобы избежать более простых атак.

Как я сказал ранее, нулевое доверие не предназначено для предотвращения атак, но оно работает как упреждающий метод, гарантирующий, что хакерам будет сложно делать то, что они хотят.

Почему это так сложно?

По мере развития ИТ-безопасности меняются и методы, на которые полагаются преступники. Это порочный круг. Вот несколько примеров, как классических, так и современных. Которые иллюстрируют, почему все пользователи онлайн должны готовиться к миру с нулевым доверием.

Спуфинг (Spoofing)

Киберпреступники могут обманывать, выдавая себя за другое лицо или источник информации. Мошенники могут легко узнать о вас многое. Ваш день рождения, возраст, адрес. Привычки и симпатии/антипатии находятся в свободном доступе для всех. Люди также могут исследовать ваших родственников и предыдущие знакомые адреса и телефоны. Преступники будут использовать все это против вас.

Атаки методом перебора (Brute force attacks): широко используемая форма атаки для взлома паролей. Атака методом грубой силы заполняют учетную запись комбинациями случайных слов. До тех пор, пока не будет найден правильный пароль.

Многие по-прежнему используют одни и те же пароли для нескольких учетных записей. Поэтому, как только злоумышленник вошел в одну учетную запись, скорее всего, он вошел в несколько.

Кража учетных данных (Credential stuffing)

Украденные имена пользователей и пароли из общедоступных данных используются для входа во все и вся. И поскольку повторное использование пароля все еще так распространено, если вы получите один, вы получите их все.

Социальная инженерия: “взлом” человека

Тактика высокого давления, например, дружеский голос звонит вам и говорит о “помощи” вам с дорогостоящей платой. Которую правительство взимает с вас в следующем году. “Если вы не зарегистрируетесь прямо сейчас”.

Даже если они не получат информацию о вашей учетной записи, они все равно получат информацию о вас. Включая тот факт, что вы ответите на звонок с неизвестного номера телефона.

Или кто-то с работы заставляет вас срочно отправить эту внутреннюю информацию, или у вас проблемы! Сделайте вдох. Ничто не является настолько срочным, что его не следует проверять. Остановитесь и обсудите со своими коллегами и командой безопасности, является ли это правильным или нет.

Какие принципы у бережливого производства

В теории бережливого производства выделяется множество принципов и инструментов. К основным относятся: определение ценности и продукта и постоянная оптимизация процессов. Об этом мы расскажем далее.

Коренными принципами также являются:

  • отличное качество продукции, обеспечивающее возможность сдачи без последующих доработок; 
  • формирование системы производства, которая позволит обнаруживать и разрешать проблемы при их возникновении;
  • долгосрочные отношения с потребителями;
  • гибкость и адаптивность всех систем. 

Особенное значение имеют принципы «точно вовремя» и автономизации. Первый особенно важен в рамках работы производственной линии любого предприятия. Необходимые детали, элементы и компоненты должны поступать вовремя и в необходимом количестве.

В чем заключается ценность продукта

Понятие ценности — ключевое положение бережливого производства. Собственно ценность — это набор свойств и качеств, ради которого клиент приобретает продукт. Ценность любого продукта определяет в первую очередь потребитель.

Ценность создается в ходе производственных процессов. Каждое производственное действие создает какую-то ценность либо нет. Например, длительное ожидание поставки не создает никакой ценности. Именно действия второго рода, в соответствии с концепцией lean-технологий, необходимо стремиться полностью исключить из производственного процесса. 

Для наиболее полного понимания потребительской ценности продукта проводятся исследования мнений клиентов

Важно регулярно получать обратную связь от ваших потребителей, чтобы постоянно стремиться к совершенству продукта

Мы открыты для любых комментариев и предложений от потребителей, внимательно изучаем отзывы к средствам на всех каналах продаж. Более того, продукты часто тестируются внутри компании, и мы собираем мнения сотрудников о потребительских качествах новинок. 

Основы нулевого доверия

На первый взгляд это может показаться обманчиво простым, но базовое описание безопасности с нулевым доверием выглядит примерно так: это модель безопасности для информационных технологий (ИТ), которая требует тщательной проверки личности каждого участника частной сети перед каждой попыткой подключения.

Ноль доверия не делает различий между клиент вне или внутри периметра сети. Каждый должен продемонстрировать надежность – то, что он является тем, кем он себя считает, – прежде чем ему будет предоставлен доступ.

Нулевое доверие не зависит от какой-либо одной технологии – для этого требуется сочетание нескольких лучших практик плюс подходящее аппаратное и программное обеспечение.

Более знакомые модели ИТ-безопасности напоминали «замки» и «рвы». Из-за этого плохим игрокам за пределами сети было непросто найти свой путь внутрь, но это означало дать проход клиентам, уже находящимся в системе. Это сделало опасное предположение, что, если кто-то сделает это так далеко, они, вероятно, должны быть там.

Тем не менее, подход с замком и рвом также означает, что как только плохой актер получает доступ, он получает почти бесплатное управление в сети

Решить проблему становится еще сложнее, если принять во внимание сочетание поставщиков облачных вычислений и других мест размещения современных бизнес-данных. Несколько репозиториев затрудняют применение единой политики безопасности

Суть нулевого доверия в том, что он признает, что современные угрозы безопасности могут исходить изнутри или вне организации и объекта. Это изменение модели «доверяй, но проверяй». Это становится: «сначала проверяй, потом доверяй».

Что такое ESG-отчётность и как её составить

ESG-отчётность составляется добровольно — в России к ней нет законодательных требований. Практика нефинансовой отчётности распространена у публичных компаний: они составляют её для своих акционеров и потенциальных инвесторов.

Их примеру может последовать любая компания, которая заинтересована в прозрачности. Банк России разработал подробные рекомендации по раскрытию нефинансовой информации — Информационное письмо от 12.07.2021 N ИН-06-28/49, а также по учёту ESG-факторов и вопросов устойчивого развития — Информационное письмо от 16.12.2021 N ИН-06-28/96.

Ярослав Ченчик даёт несколько рекомендаций по составлению ESG-отчётности.

Для отчётности важны три принципа: объективность, последовательность и сопоставимость информации. Вы должны показать, что ориентируетесь на стратегические цели компании учитываете интересы всех заинтересованных лиц. Для этого нужно рассказать о стратегии устойчивого развития компании, её бизнес-модели, корпоративном управлении, принятой политике, процедурах и результатах их реализации. А также об основных рисках, возможностях и ключевых нефинансовых показателях эффективности вашей компании.

В отчёте важно раскрыть информацию об экологических и социальных кампаниях фирмы. Отразить, что для вас важны трудовые отношения, соблюдение прав человека, борьба с коррупцией, коммерческим подкупом и подкупом иностранных должностных лиц

Также компании обычно показывают, что правильно управляют цепочками поставок: с учётом экологических, социальных и управленческих вопросов.

Опирайтесь на признанные международные стандарты и подходы. Самые известные из них — CDP, CDSB, GRI, IIRC, SASB, TCFD. Отчётность стоит составлять на русском языке, а дублировать, если у вас есть партнёрства с зарубежными организациями, — на иностранном. Денежные показатели указывать в рублях, по желанию дублировать в валюте.

Раскрыть информацию можно в годовом отчёте или в другой удобной форме. Самая распространённая форма для такого документа — «Отчёт о корпоративной социальной ответственности» либо «Отчёт об устойчивом развитии за календарный год». Утверждение документа стоит доверить совету директоров.

Какая технология хранения пищи НЕ используется на Международной космической станции СЕГОДНЯ?

Продукты питания — необходимая составляющая жизнедеятельности человека. Для поддержания здоровья человек должен быть обеспечен необходимой суточной нормой витаминов, белков и углеводов вне зависимости от того, где он находится и что делает. Особенно актуально этот вопрос стоит для тех мест, где здоровье человека подвержено опасности, например, для космоса. Существующие технологии не позволяют производить на орбите мясо и выращивать овощи и фрукты в объеме, необходимом для ежедневного питания всех членов экипажа Международной космической станции (до 6 человек), да и сроки хранения такой пищи очень короткие. Вся еда для космонавтов доставляется с Земли, пройдя предварительную обработку для увеличения сроков хранения и уменьшения веса. А какая технология хранения пищи НЕ используется на Международной космической станции СЕГОДНЯ?

Варианты ответа:

  • Космонавты не используют сублимированную еду, поскольку сублимация — технологически сложный и дорогостоящий процесс, и использовать его в «космическом питании» слишком затратно
  • Космонавты не используют тюбики с едой, поскольку при применении такой технологии обработки продуктов теряются необходимые для космонавтов витамины и полезные вещества
  • Космонавты не используют консервированную еду, поскольку в невесомости достаточно сложно изъять еду из консервной банки, не распылив повсюду частички еды
  • Космонавты не используют термовакуумную упаковку, поскольку в ней сложно разогревать пищу

Кулответ нашёл правильный ответ: Космонавты не используют тюбики с едой, поскольку при применении такой технологии обработки продуктов теряются необходимые для космонавтов витамины и полезные вещества

Как внедрять принципы ESG в компании: советы экспертов

Финансовый и ESG-аналитик «Банка России» Ярослав Ченчик рекомендует менеджменту компаний формировать полноценные стратегии, которые подойдут под специфику деятельности компании и будут созвучны с её бизнес-целями.

Вот как он советует внедрять ESG:

Определить ключевые для компании направления в рамках ESG-подхода. Например, сделать упор на создание безотходного производства, а не на борьбу с глобальным потеплением. Также стоит поставить измеримые цели и задачи и выбрать пути их достижения: разработать стратегию устойчивого развития и следовать ей

Для этого важно предусмотреть нефинансовые показатели эффективности работы и продумать подходы к её оценке. О том, как оценить эффективность, — .

Определить ESG-риски для своей компании и отрасли в целом

И выбрать практики, которые минимизируют самые серьёзные из них.

Вовлечь сотрудников в ESG. Стоит провести подготовительную работу внутри компании: рассказать сотрудникам о важности ESG-подхода и пересмотреть стратегию найма. Стоит искать людей, которым близки ваши ценности в рамках повестки. Намерение учитывать ESG-повестку должно исходить от руководства компании, его важно стимулировать на всех уровнях.

Сооснователь агентства Vinci Александр Изряднов добавляет, что при введении ESG на первый план выходит операционный менеджмент и разработка стратегии развития внутри коллектива

Важно вести прозрачный и регулярный диалог с сотрудниками, чтобы вместе устанавливать ориентиры ESG-развития

Самый простой способ начать применять подход — поддерживать здоровую атмосферу в коллективе. С этим поможет тимбилдинг и прозрачные критерии вертикального роста внутри компании.

Руководитель проектов компании «ЭкоТехнологии» Виктория Сафонова даёт несколько советов по организации экологических и социальных проектов:

Как оптимизировать процессы

Процессы постоянной оптимизации — это важнейший аспект lean-производства. Совершенствование продукта и процессов — ведущие принципы бережливого производства.

Процесс оптимизации в данной концепции — это процесс постоянного уменьшения издержек и поиска таких возможностей. Оптимизация процесса при этом должна идти не сверху, а снизу. Именно сотрудники лучше всего видят, от каких операций возможно безболезненно отказаться. 

Для этого наш отдел бережливого производства постоянно собирает предложения от сотрудников. Этот процесс возможен также благодаря инструментам, о которых мы поговорим ниже. 

Что такое принципы ESG и как они работают на практике

Вот как расшифровывается аббревиатура ESG:

  • Enviroment (окружающая среда). К этой части относится всё, что связано с экологией. Компании могут задуматься о безотходном производстве и раздельном сборе мусора на своей фабрике или, например, полностью отказаться от полиэтиленовых пакетов, если речь идёт о ретейле. Главная цель этих мер — сохранение или улучшение окружающей среды.
  • Social (общество). Этот принцип касается коммуникации фирмы со всеми, кто с ней взаимодействует: сотрудниками, клиентами, подрядчиками. Мерами ESG здесь могут быть премирование, медицинская страховка и, например, отсутствие переработок.
  • Governance (управление). На эту составляющую смотрят инвесторы. Группу факторов, которые относятся к Governance, называют «нефинансовыми». К «нефинансовым факторам» относится прозрачность отчётности, антикоррупционная политика внутри компании и отношения с акционерами. Многоголосые акции, например, считаются спорной практикой в контексте ESG — ведь голоса миноритариев при такой системе сильно обесцениваются.

Сооснователь Vinci Agency Александр Изряднов замечает, что сейчас есть активный спрос на ESG в области HR-коммуникаций. «Норникель», например, транслирует заботу о безопасности сотрудников. В этом году «Норникель» освещал создание промышленных экзоскелетов, созданных для работы в условиях, которые требуют повышенной безопасности. Такие кампании работает не только на внутреннюю, но и на внешнюю аудиторию, и демонстрирует общественности, включая инвесторов и партнёров, социальную ответственность бизнеса.

Фото: «Норникель»

Другой пример — на этот раз касающийся принципа Social. Компания Qiwi разработала собственный EdTech-портал Qampus с подборками обучающих материалов. На портале можно выбрать индивидуальный план развития и самостоятельно контролировать прогресс. Уже по итогам первого года сотрудники стали больше интересоваться саморазвитием и образованием: доля людей, которые посещают портал Qampus, увеличилась с 30 до 75%.

Qampus — обучающий портал для сотрудников QiwiИзображение: пресс-служба Qiwi

Руководитель проектов компании «ЭкоТехнологии» Виктория Сафонова говорит, что с каждым годом увеличивается число людей, для которых важна ответственность компаний-производителей, чью продукцию они покупают. По мнению Виктории, совсем не задумываться об экологическом следе компании сегодня — значит терять эту аудиторию сейчас и в будущем.

В компании, которые занимаются экологизацией бизнеса, обращаются с запросами:

  • на экопросвещение сотрудников и клиентов компании;
  • на анализ упаковки — компании интересует, можно ли её перерабатывать или заменить на перерабатываемую;
  • на организацию раздельного сбора отходов;
  • на подготовку экологичного мероприятия;
  • на установку оборудования для сбора упаковки — эту роль могут играть фандоматы, экопункты и обычные контейнеры для сбора;
  • на проекты замкнутого цикла — closed loop.

По словам Виктории Сафоновой, большая часть клиентов компании — крупные игроки, действующие в соответствии с международными ESG-стандартами. Поэтому проекты реализуют в рамках стратегий устойчивого развития этих компаний и в соответствии с ESG-критериями, которые важны для стейкхолдеров

Для многих компаний экопросвещение сотрудников и клиентов важно само по себе. Виктория говорит, что чаще всего сотрудники клиентов сами искренне вовлечены в повестку и хотят не только достичь корпоративной цели, но и сделать мир лучше

Поэтому здесь есть место и творчеству: компании часто обращаются в «ЭкоТехнологии» с запросом на ESG-проект и вместе создают что-то новое и уникальное.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: