InspirationalDesign

Безопасность 4.0

VB-Trend 2017

ИНЦИДЕНТЫБЕЗОПАСНОСТИ

ИНЦИДЕНТЫБИЗНЕС-ПРОЦЕССОВ

Традиционный подход к сокращению потерь фокусируется лишь на части инцидентовДаженауровнетерминологииобатерминамыможемразделитьвсюсовокупностьинцидентовприводящихкпотерямбизнеса,надвегруппы.(вангл.терминологииэтоSafety иSecurity имеютодинаковыйсмысл,иотличаютсямеждусобойисключительноэмоциональнойокраской).Несмотрянато,чтонегативнымследствиемлюбогоинцидента,внезависимостиотеготипаявляетсяпрямойущерббизнесу,впрактикеэтоделениеприводитктому,чтоосновнойфокусотдаетсяинцидентамбезопасности.Ониболеезаметны,ущерботподобногородаинцидентовзначителен,ихсхемыболеепонятныарискипросчитываемы.

ПодSecurityмыотносиминцидентысвязанныесагрессивнойвнешнейсредойилидевиантнымисостояниямипсихологиичеловека.Кражи,ограбления,мошенническиедействия,коррупционныесхемы.

Следствиемданныхинцидентовявляетсяпотериденежныхсредствилиматериальныхценностей.Аварийныеостановкивработепроизводственногооборудования.Нарушениявзаимоотношенийсклиентами.

ТогдакакSafety длянасэтоинцидентысвязанныеснезначительныминарушениямирегламентов,инструкцийилидругихформализованныхдокументовописывающихпринципыиправилаработы.Подобныеинцидентычастодаженесвязаныспопыткойизвлечькакуюлибовыгоду,аявляютсяпроявлениемпсихологическогосвойствачеловекаискатьболеелегкиепутивыполнениястоящихпередсобойзадач.

Следствиемданныхинцидентовявляетсяотхождениеоттехнологическихкарт,увеличениесебестоимостипроцесса,падениепоказателейкачествапроцессов,т.е.тепотерикоторые«традиционно»относятсякпроизводственнымпотерям

Предпосылкиквнедрению

МОШЕННИЧЕСТВО

инцидентыБЕЗОПАСНОСТИ

Ущербявляющийсяследствиеминцидентоввбольшейсвоейчастилежитименновобластиинцидентоввнутрибизнес-процессов.Поотдельностикаждыйизинцидентовподобногородавыглядитнезначительным,искореевоспринимаетсякакошибкачемзлонамеренноедействие.Однаковобщейсвоеймассе,совокупныйущерботподобногородаинцидентов– значителен.Чтоважно!Этонеотложенныерискиспрогнозируемойвероятностьюнаступления.Ущербот инцидентоввнутрибизнес-процессов,этофактическиежедневныепотериимеющиепрямуюкорреляциюсоперационнымипоказателямикомпанииикачествомвыпускаемогопродукта.

Соотношение потерь от инцидентов в корпоративной среде

20%80% инциденты

БИЗНЕС-ПРОЦЕССОВ

ПРОЦЕССПРОДУКТ

1

2

3

4

5

6

7

E-mail/WEB/MessengerКаналыкоммуникации

DocflowВнутреннийдокументооборот

CRMУправлениеклиентами

SRMУправлениепоставщиками

MRP IIПланированиересурсов

ERPОперационныйпроцесс

Big Dataтехнологии

ACCOUNTINGБухгалтерскийучет

Всесуществующиебизнес-процессымогутбытьпредставленыкаксовокупностьартефактов(документов)илисобытийвозникающихвразличногородаинформационныхсистемахисервисах.Длякаждогопроцессахарактернакорреляциявозникающихсобытий,логикаихвозникновения,временныеинтервалыит.д. какинструментобъединенияразнородныхданныхиз

множестваразличныхисточников

Совокупностьпризнаковопределяющихинцидент

90%80%70%60%50%

«- Мы проверяли. - Сказав, Деккер понял, как глупо этопрозвучало. Да, они анализировали атмосферу, но какони могли обнаружить что-то, чего никогда невстречали?Опыт человеческий ограничен. Человек бережет себя отопасностей известных или воображаемых, но не можетпредвидеть непредвиденное»

КлиффордСаймак.Ветерчужогомира

Признакиинцидента

Вероятностьинцидента

Всесуществующиесистемыбезопасностиилипротиводействиямошенничествубазируютсянапринципеописанияпаттернанегативногодействияипоследующемеговыявлении.Однакоданнаяпозицияявляетсявсегдаотстающейиэффективналишькогдамыснимаемпикивысокихрисков.Когдамыговоримобизнес-инцидентах,тосозданиеподобныхмоделейнарушенийэкономическинецелесообразноиз-завысокихзатратпоотношениикущербуоткаждойконкретнойсхемыинцидента.

Индикациялогическогоинцидента

Индикациялогическогоинцидента

Индикациялогическогоинцидента

Дажееслинетявнойформализациипроцесса,егоописаниявкакойлибоизнотаций,топроцессвсеравносуществует.Науровнеинструкций илирегламентов,илизамыславладельцапроцесса.Азначитмыегоможемвидетьнауровнесобытийинформационных систем

Большуючастьвременипроцесспроисходитодинаково.Врамкахединойлогики.Азначитвсевыявляемыеотклонениябудутявлятьсяинцидентами,влекущиезасобойизменениекачестваэтогопроцесса01 02

Контрольнаяточка1

Контрольнаяточка2

Контрольнаяточка3

Контрольнаяточка4

Контрольнаяточка5

Контрольнаяточка6

Заданныепределыпогрешности

Пользователь«Снимокстандартногорабочегодня»

Процесспаттерныстандартныхсостоянийиихпоследовательностьвсистемах

Объектпаттерныстандартныхсостоянийиихпоследовательностьвсистемах

Паттерны нормы

BAВыстраиваниеконтрольнойсредынетребуетсозданиямоделейнарушения.Посколькубизнес-инцидентомявляетсялюбоеотклонениеотзаданнойиутверждённоймоделипроцесса,томыможемвыявлятьихсравниваясуществующуюлогикупроцессасописанноймоделью.Данныемоделикакправилоужеформализованывтойилиинойстепеникогдамыговоримообъектах(какобазовойформе)илипроцессах,приэтомтакжесправедливобудетговоритьиотом,чтоонивсмоюочередьсоздаютитретийуровень–паттерныпользователей,которыетакжеподдаютсянормализации.

ObjectProcess

UserBA

01

02

03 05

04

Выясняемкакиесобытиявинформационныхсистемахисервисахпоявляютсяврамкахединицыпроцесса

Очищаемданные

Артефакты

Вычисляемпредикторыитаргетныепеременные.Наосновеэтихданных

обучаеммодель

Построениеиобучениемоделиконтроля

Определяемвсобытиях«якоря»являющиесяключевымифакторами

влияющиминапараметрыпроцесса

ГенерацияпеременныхОписываемобщую

модельпроцессаasis.Непринципиальновкакой

изнотаций.

Чтоважно!Строимисходяизсуществующихдокументов\требований.

Модельпроцесса Контрольнаясреда

Совмещаеммоделипроцессаиконтроля

Этапы внедрения

6Аллерт пофакту

выявлениясистемойнесовпаденийс

стандартнымпаттерномобъектаилипроцесса

Несовпадение

Вслучаяхвыявлениясовпаденийдо80%

совпадающихспаттерномфрода

Блокировка

Выяснениедеталей.Локацияместнесовпадений

Анализ

Схемамошенничествавсреднемсработаетдо4

разврамкаходнойкомпании

Паттерн«Фрод»

Собязательнымподключениемкэтомупроцесссотрудника\овдляформированияконтрольнойсреды

Выяснениепричин

Исключениявбольшейсвоейчастиимеюттакжепримерносхожийпаттерн

Коррекцияпредикторов

Паттерн«Исключения»

01 02

03

0405

06

этаповпроцесса

эксплуатацииРаботакомплексабезопасностибизнес-процессовциклична ивомногомнапоминаетлогикупроцессасDLPсистемами,сединственнымотличием–основнойупорделаетсянаописаниипаттернов«исключений». Посколькуименноисключения имеютпостоянноповторяющуюсяформу.Тогдакакинцидентыпостоянноэволюционируют

Внутренний контроль накладных

12

34

5 67

Клиентотгружаеттовардлядоставки

Складпринимаетотправкиклиента

Складсортируетотправкиклиентаиформируетдобавочнуюстоимость

Складвыдаетотправкиклиентавдоставкукурьерам

Курьердоставляетотправкиипринимаетденьги

Бухгалтерияперечисляетсуммуденегклиенту

Производитсясверкасклиентом

КлиентпередаетпоAPIреестры

APIформатируетреестры.ЗаноситихвERP.Валидируетгрузсогласносчитанымштрих-кодам

ERPформируетнакладныенакаждуюединицу грузаСогласнопризнаковвреестреформируютсядобавочныеполястоимости

Накладныезагружаютсявкурьерское приложение

Приложение формируетчек.Разноситсуммупосекциям

Суммаплатежейразноситсяпоразнымсчетам

Сравниваютсяфин документыипереданныереестры

ОшибкивреестрахОшибкизагрузки Ошибкивнакладных Недоборденежныхсредств

Выплатакомпенсаций

УровеньлогикиУровеньлогикиУровеньошибок

SUM ∑ПОРЕЕСТРУ

SUM1SUM2….SUMNSUM ЗАДОСТАВКУ

∑SUMПОНАКЛАДНОЙ SUMВОЗВРАТКЛИЕНТУ =SUMПОРЕЕСТРУ

-∑SUMЗАДОСТАВКУ

Внутренний контроль накладных (тех. реализация)

ИсточникисобытийвсуществующейинфраструктураДополнительныесистемысборасобытий

Системакорреляции/агрегации событий

ERP

EP DLP(IW)

1Cфин. документы, переданные реестры

API-реестры, логи (аудит) БД, результаты запросоввБД

отчётdlp-системы

паттернсобы

тийвИТ-

систем

ах ОшибкивреестрахОшибкизагрузкиОшибкивнакладныхНедоборденежныхсредствВыплатакомпенсаций

SIEM(SPLUNK)

1.БлокировкадействийвERP2.Блокировкапользователяв ИС3.Информированиеответственных лиц

ERP,AD,

OUTLOOK

Системыдляобратнойсвязи

Учёт и валидация рабочих смен

12

34

5 67

Приходитпрогноз планируемогообъемагруза

Формируетсясоставрабочихсмен

Сменазаступаетнадежурство

Грузобрабатываетсясоставомсмены

Рассчитываютсявыплатысоставусмены

Бухгалтерияперечисляетденьгисотрудникам

Рассчитываетсяэффективностьменеджерауправляющегосменой\себестоимость дняобработки

Внутренний расчетОтчётыERP

Письмасопределеннымитемаминаопределенныеадреса

ДанныеСКУДЛоги рабочихстанций

ДанныеDLPсистемы

Отчетыв1СОтчетыотделакомпенсаций

Отчетдляуправленческойотчетности

Ошибкирасчёта

Ошибки учётаПодлогуправляющегосменойМошенничествосотрудников

ОшибкирасчётавыплатПодлогуправляющегосменой

ОшибкипланированияПодлогруководства

УровеньлогикиУровеньлогикиУровеньошибок

Письмасопределеннымитемаминаопределенныеадреса

NСМЕНА =F(KПОСЫЛОК ) MПРОХОДОВ =NСМЕНА SВЫПЛАТ ~PПРОИЗВОД-ТЬ CСЕБЕСТ-ТЬ ~SВЫПЛАТ

40 000 человек• 70%обманывали• Только20из40000обманывали«покрупному»,онистоилиэксперименту$400

• 28000обманывали«помелочам».Онистоилиэксперименту$50000

15% 75%

The MATRIXExperimenthttps://www.youtube.com/wat

ch?v=nMBR261CAN8

ПРЕДОТВРАЩЕНИЕИНЦИДЕНТОВ

ФОРМИРОВАНИЕКОНТРОЛЬНОЙСРЕДЫ

Подобное соотношение инцидентов часть человеческой природы

Спасибо за внимание