InspirationalDesign
Безопасность 4.0
VB-Trend 2017
ИНЦИДЕНТЫБЕЗОПАСНОСТИ
ИНЦИДЕНТЫБИЗНЕС-ПРОЦЕССОВ
Традиционный подход к сокращению потерь фокусируется лишь на части инцидентовДаженауровнетерминологииобатерминамыможемразделитьвсюсовокупностьинцидентовприводящихкпотерямбизнеса,надвегруппы.(вангл.терминологииэтоSafety иSecurity имеютодинаковыйсмысл,иотличаютсямеждусобойисключительноэмоциональнойокраской).Несмотрянато,чтонегативнымследствиемлюбогоинцидента,внезависимостиотеготипаявляетсяпрямойущерббизнесу,впрактикеэтоделениеприводитктому,чтоосновнойфокусотдаетсяинцидентамбезопасности.Ониболеезаметны,ущерботподобногородаинцидентовзначителен,ихсхемыболеепонятныарискипросчитываемы.
ПодSecurityмыотносиминцидентысвязанныесагрессивнойвнешнейсредойилидевиантнымисостояниямипсихологиичеловека.Кражи,ограбления,мошенническиедействия,коррупционныесхемы.
Следствиемданныхинцидентовявляетсяпотериденежныхсредствилиматериальныхценностей.Аварийныеостановкивработепроизводственногооборудования.Нарушениявзаимоотношенийсклиентами.
ТогдакакSafety длянасэтоинцидентысвязанныеснезначительныминарушениямирегламентов,инструкцийилидругихформализованныхдокументовописывающихпринципыиправилаработы.Подобныеинцидентычастодаженесвязаныспопыткойизвлечькакуюлибовыгоду,аявляютсяпроявлениемпсихологическогосвойствачеловекаискатьболеелегкиепутивыполнениястоящихпередсобойзадач.
Следствиемданныхинцидентовявляетсяотхождениеоттехнологическихкарт,увеличениесебестоимостипроцесса,падениепоказателейкачествапроцессов,т.е.тепотерикоторые«традиционно»относятсякпроизводственнымпотерям
Предпосылкиквнедрению
МОШЕННИЧЕСТВО
инцидентыБЕЗОПАСНОСТИ
Ущербявляющийсяследствиеминцидентоввбольшейсвоейчастилежитименновобластиинцидентоввнутрибизнес-процессов.Поотдельностикаждыйизинцидентовподобногородавыглядитнезначительным,искореевоспринимаетсякакошибкачемзлонамеренноедействие.Однаковобщейсвоеймассе,совокупныйущерботподобногородаинцидентов– значителен.Чтоважно!Этонеотложенныерискиспрогнозируемойвероятностьюнаступления.Ущербот инцидентоввнутрибизнес-процессов,этофактическиежедневныепотериимеющиепрямуюкорреляциюсоперационнымипоказателямикомпанииикачествомвыпускаемогопродукта.
Соотношение потерь от инцидентов в корпоративной среде
20%80% инциденты
БИЗНЕС-ПРОЦЕССОВ
ПРОЦЕССПРОДУКТ
1
2
3
4
5
6
7
E-mail/WEB/MessengerКаналыкоммуникации
DocflowВнутреннийдокументооборот
CRMУправлениеклиентами
SRMУправлениепоставщиками
MRP IIПланированиересурсов
ERPОперационныйпроцесс
Big Dataтехнологии
ACCOUNTINGБухгалтерскийучет
Всесуществующиебизнес-процессымогутбытьпредставленыкаксовокупностьартефактов(документов)илисобытийвозникающихвразличногородаинформационныхсистемахисервисах.Длякаждогопроцессахарактернакорреляциявозникающихсобытий,логикаихвозникновения,временныеинтервалыит.д. какинструментобъединенияразнородныхданныхиз
множестваразличныхисточников
Совокупностьпризнаковопределяющихинцидент
90%80%70%60%50%
«- Мы проверяли. - Сказав, Деккер понял, как глупо этопрозвучало. Да, они анализировали атмосферу, но какони могли обнаружить что-то, чего никогда невстречали?Опыт человеческий ограничен. Человек бережет себя отопасностей известных или воображаемых, но не можетпредвидеть непредвиденное»
КлиффордСаймак.Ветерчужогомира
Признакиинцидента
Вероятностьинцидента
Всесуществующиесистемыбезопасностиилипротиводействиямошенничествубазируютсянапринципеописанияпаттернанегативногодействияипоследующемеговыявлении.Однакоданнаяпозицияявляетсявсегдаотстающейиэффективналишькогдамыснимаемпикивысокихрисков.Когдамыговоримобизнес-инцидентах,тосозданиеподобныхмоделейнарушенийэкономическинецелесообразноиз-завысокихзатратпоотношениикущербуоткаждойконкретнойсхемыинцидента.
Индикациялогическогоинцидента
Индикациялогическогоинцидента
Индикациялогическогоинцидента
Дажееслинетявнойформализациипроцесса,егоописаниявкакойлибоизнотаций,топроцессвсеравносуществует.Науровнеинструкций илирегламентов,илизамыславладельцапроцесса.Азначитмыегоможемвидетьнауровнесобытийинформационных систем
Большуючастьвременипроцесспроисходитодинаково.Врамкахединойлогики.Азначитвсевыявляемыеотклонениябудутявлятьсяинцидентами,влекущиезасобойизменениекачестваэтогопроцесса01 02
Контрольнаяточка1
Контрольнаяточка2
Контрольнаяточка3
Контрольнаяточка4
Контрольнаяточка5
Контрольнаяточка6
Заданныепределыпогрешности
Пользователь«Снимокстандартногорабочегодня»
Процесспаттерныстандартныхсостоянийиихпоследовательностьвсистемах
Объектпаттерныстандартныхсостоянийиихпоследовательностьвсистемах
Паттерны нормы
BAВыстраиваниеконтрольнойсредынетребуетсозданиямоделейнарушения.Посколькубизнес-инцидентомявляетсялюбоеотклонениеотзаданнойиутверждённоймоделипроцесса,томыможемвыявлятьихсравниваясуществующуюлогикупроцессасописанноймоделью.Данныемоделикакправилоужеформализованывтойилиинойстепеникогдамыговоримообъектах(какобазовойформе)илипроцессах,приэтомтакжесправедливобудетговоритьиотом,чтоонивсмоюочередьсоздаютитретийуровень–паттерныпользователей,которыетакжеподдаютсянормализации.
ObjectProcess
UserBA
01
02
03 05
04
Выясняемкакиесобытиявинформационныхсистемахисервисахпоявляютсяврамкахединицыпроцесса
Очищаемданные
Артефакты
Вычисляемпредикторыитаргетныепеременные.Наосновеэтихданных
обучаеммодель
Построениеиобучениемоделиконтроля
Определяемвсобытиях«якоря»являющиесяключевымифакторами
влияющиминапараметрыпроцесса
ГенерацияпеременныхОписываемобщую
модельпроцессаasis.Непринципиальновкакой
изнотаций.
Чтоважно!Строимисходяизсуществующихдокументов\требований.
Модельпроцесса Контрольнаясреда
Совмещаеммоделипроцессаиконтроля
Этапы внедрения
6Аллерт пофакту
выявлениясистемойнесовпаденийс
стандартнымпаттерномобъектаилипроцесса
Несовпадение
Вслучаяхвыявлениясовпаденийдо80%
совпадающихспаттерномфрода
Блокировка
Выяснениедеталей.Локацияместнесовпадений
Анализ
Схемамошенничествавсреднемсработаетдо4
разврамкаходнойкомпании
Паттерн«Фрод»
Собязательнымподключениемкэтомупроцесссотрудника\овдляформированияконтрольнойсреды
Выяснениепричин
Исключениявбольшейсвоейчастиимеюттакжепримерносхожийпаттерн
Коррекцияпредикторов
Паттерн«Исключения»
01 02
03
0405
06
этаповпроцесса
эксплуатацииРаботакомплексабезопасностибизнес-процессовциклична ивомногомнапоминаетлогикупроцессасDLPсистемами,сединственнымотличием–основнойупорделаетсянаописаниипаттернов«исключений». Посколькуименноисключения имеютпостоянноповторяющуюсяформу.Тогдакакинцидентыпостоянноэволюционируют
Внутренний контроль накладных
12
34
5 67
Клиентотгружаеттовардлядоставки
Складпринимаетотправкиклиента
Складсортируетотправкиклиентаиформируетдобавочнуюстоимость
Складвыдаетотправкиклиентавдоставкукурьерам
Курьердоставляетотправкиипринимаетденьги
Бухгалтерияперечисляетсуммуденегклиенту
Производитсясверкасклиентом
КлиентпередаетпоAPIреестры
APIформатируетреестры.ЗаноситихвERP.Валидируетгрузсогласносчитанымштрих-кодам
ERPформируетнакладныенакаждуюединицу грузаСогласнопризнаковвреестреформируютсядобавочныеполястоимости
Накладныезагружаютсявкурьерское приложение
Приложение формируетчек.Разноситсуммупосекциям
Суммаплатежейразноситсяпоразнымсчетам
Сравниваютсяфин документыипереданныереестры
ОшибкивреестрахОшибкизагрузки Ошибкивнакладных Недоборденежныхсредств
Выплатакомпенсаций
УровеньлогикиУровеньлогикиУровеньошибок
SUM ∑ПОРЕЕСТРУ
SUM1SUM2….SUMNSUM ЗАДОСТАВКУ
∑SUMПОНАКЛАДНОЙ SUMВОЗВРАТКЛИЕНТУ =SUMПОРЕЕСТРУ
-∑SUMЗАДОСТАВКУ
Внутренний контроль накладных (тех. реализация)
ИсточникисобытийвсуществующейинфраструктураДополнительныесистемысборасобытий
Системакорреляции/агрегации событий
ERP
EP DLP(IW)
1Cфин. документы, переданные реестры
API-реестры, логи (аудит) БД, результаты запросоввБД
отчётdlp-системы
паттернсобы
тийвИТ-
систем
ах ОшибкивреестрахОшибкизагрузкиОшибкивнакладныхНедоборденежныхсредствВыплатакомпенсаций
SIEM(SPLUNK)
1.БлокировкадействийвERP2.Блокировкапользователяв ИС3.Информированиеответственных лиц
ERP,AD,
OUTLOOK
Системыдляобратнойсвязи
Учёт и валидация рабочих смен
12
34
5 67
Приходитпрогноз планируемогообъемагруза
Формируетсясоставрабочихсмен
Сменазаступаетнадежурство
Грузобрабатываетсясоставомсмены
Рассчитываютсявыплатысоставусмены
Бухгалтерияперечисляетденьгисотрудникам
Рассчитываетсяэффективностьменеджерауправляющегосменой\себестоимость дняобработки
Внутренний расчетОтчётыERP
Письмасопределеннымитемаминаопределенныеадреса
ДанныеСКУДЛоги рабочихстанций
ДанныеDLPсистемы
Отчетыв1СОтчетыотделакомпенсаций
Отчетдляуправленческойотчетности
Ошибкирасчёта
Ошибки учётаПодлогуправляющегосменойМошенничествосотрудников
ОшибкирасчётавыплатПодлогуправляющегосменой
ОшибкипланированияПодлогруководства
УровеньлогикиУровеньлогикиУровеньошибок
Письмасопределеннымитемаминаопределенныеадреса
NСМЕНА =F(KПОСЫЛОК ) MПРОХОДОВ =NСМЕНА SВЫПЛАТ ~PПРОИЗВОД-ТЬ CСЕБЕСТ-ТЬ ~SВЫПЛАТ
40 000 человек• 70%обманывали• Только20из40000обманывали«покрупному»,онистоилиэксперименту$400
• 28000обманывали«помелочам».Онистоилиэксперименту$50000
15% 75%
The MATRIXExperimenthttps://www.youtube.com/wat
ch?v=nMBR261CAN8
ПРЕДОТВРАЩЕНИЕИНЦИДЕНТОВ
ФОРМИРОВАНИЕКОНТРОЛЬНОЙСРЕДЫ
Подобное соотношение инцидентов часть человеческой природы
Спасибо за внимание
Top Related