Как ‎я‏ ‎и ‎говорил, ‎буду ‎максимально ‎стараться‏ ‎излагать ‎материал‏ ‎сугубо‏ ‎простым ‎языком ‎+‏ ‎на ‎основе‏ ‎эмпирического ‎опыта ‎(но ‎местами‏ ‎без‏ ‎теории ‎не‏ ‎обойтись, ‎это‏ ‎надо ‎просто ‎принять). ‎

Погнали. ‎

Итак,‏ ‎мы‏ ‎имеем ‎некую‏ ‎середнячковую ‎организацию‏ ‎(4-8 ‎млрд ‎выручки ‎в ‎год)‏ ‎,‏ ‎которую‏ ‎только ‎что‏ ‎продали, ‎убили‏ ‎всю ‎региональную‏ ‎сеть‏ ‎и ‎новый‏ ‎собственник ‎начинает ‎наводить ‎свои ‎порядки,‏ ‎что ‎естественно.‏ ‎

На‏ ‎что ‎он ‎обратит‏ ‎внимание ‎в‏ ‎первую ‎очередь?

Скорей ‎всего ‎на‏ ‎резервы‏ ‎и ‎обычные‏ ‎текущие ‎расходы.

Вот‏ ‎об ‎обычных ‎и ‎текущих ‎речь‏ ‎и‏ ‎пойдёт. ‎

Новому‏ ‎хозяину ‎было‏ ‎озвучено, ‎что ‎в ‎этой ‎конкретной‏ ‎компании‏ ‎если‏ ‎кто ‎и‏ ‎хотел ‎что-то‏ ‎украсть ‎посредством‏ ‎расходной‏ ‎части, ‎давно‏ ‎украл ‎и ‎его ‎тут ‎уже‏ ‎нет. ‎И‏ ‎на‏ ‎это ‎не ‎нужно‏ ‎тратить ‎время‏ ‎и ‎людские ‎ресурсы. ‎

Но‏ ‎новый‏ ‎хозяин ‎принимает‏ ‎решение, ‎что‏ ‎надо ‎назначить ‎2 ‎людей, ‎которые‏ ‎будут‏ ‎контролировать ‎все‏ ‎текущие ‎(любые)‏ ‎расходы. ‎

При ‎этом ‎совокупная ‎зп‏ ‎этих‏ ‎2х‏ ‎людей ‎330‏ ‎тыс.руб. ‎(да,‏ ‎не ‎самые‏ ‎дешёвые‏ ‎люди). ‎

Итог?

За‏ ‎2 ‎недели ‎работы ‎не ‎выявлено‏ ‎никакого ‎мошенничества‏ ‎и‏ ‎воровства ‎(проверялось ‎100%‏ ‎расходов), ‎а‏ ‎найден ‎лишь ‎один ‎неверно‏ ‎оформленный‏ ‎акт ‎выполненных‏ ‎работ ‎на‏ ‎2000 ‎рублей. ‎

Теперь ‎математика

• совокупная ‎зп‏ ‎2х‏ ‎людей ‎за‏ ‎две ‎недели‏ ‎165 ‎тыс.руб.
• отчислим ‎во ‎внебюджет ‎грубо‏ ‎30%.‏ ‎Ещё‏ ‎55 ‎тыс.‏ ‎
• найденный ‎риск?‏ ‎Риск ‎по‏ ‎налогу‏ ‎на ‎прибыль.‏ ‎20% ‎от ‎2000 ‎рублей ‎=‏ ‎400 ‎рублей.‏ ‎Штрафы,‏ ‎пени...вообще ‎нематериальны. ‎

Так‏ ‎о ‎чем‏ ‎это ‎все?

Риск-аппетит - это ‎когда ‎лучше‏ ‎оставить‏ ‎потерю ‎на‏ ‎своем ‎удержании,‏ ‎чем ‎понести ‎еще ‎бОльшие ‎потери,‏ ‎чтобы‏ ‎ее ‎выявить‏ ‎или ‎чтобы‏ ‎управлять ‎ею.

Простыми ‎словами, ‎- ‎потратить‏ ‎много‏ ‎тысяч‏ ‎и ‎сэкономить‏ ‎пару ‎сотен‏ ‎- ‎неправильное‏ ‎управление‏ ‎риском. ‎А‏ ‎руководителя, ‎который ‎принимает ‎такое ‎решение...даже‏ ‎и ‎не‏ ‎знаю‏ ‎как ‎назвать. ‎Есть‏ ‎варианты?

Не ‎согласны‏ ‎с ‎этой ‎историей? ‎Ну...‏ ‎It's‏ ‎up ‎to‏ ‎you.

Продолжаем ‎погружаться‏ ‎в ‎мир ‎внутреннего ‎контроля, ‎рисков‏ ‎и ‎самообразования.

Постом‏ ‎ранее‏ ‎мы, ‎надеюсь, ‎выяснили,‏ ‎что ‎такое‏ ‎РИСК. А ‎так ‎как ‎повторенье‏ ‎-‏ ‎мать ‎ученья,‏ ‎озвучу ‎ещё‏ ‎раз: ‎Риск ‎- любое ‎неблагоприятное ‎событие,‏ ‎которое‏ ‎может ‎привести‏ ‎или ‎уже‏ ‎привело ‎бизнес ‎к ‎потерям. ‎

Резонно‏ ‎встаёт‏ ‎вопрос‏ ‎по ‎классику:‏ ‎"Что ‎делать?"

Ответ‏ ‎прост. ‎Своими‏ ‎рисками‏ ‎надо ‎управлять.‏ ‎

Дабы ‎избежать ‎академичности ‎и ‎сухой‏ ‎теории, ‎предлагаю‏ ‎смоделировать‏ ‎некую ‎практическую ‎историю.‏ ‎

Пусть ‎у‏ ‎нас ‎есть ‎организация, ‎у‏ ‎которой‏ ‎очень ‎много‏ ‎расходов. ‎А‏ ‎расходы, ‎как ‎мы ‎знаем, ‎уменьшают‏ ‎налогооблагаемую‏ ‎базу ‎по‏ ‎налогу ‎на‏ ‎прибыль. ‎

Очевидный ‎риск ‎организации ‎-‏ ‎налоговый.‏ ‎А‏ ‎именно, ‎-‏ ‎доначисление ‎налога,‏ ‎штрафы, ‎пени‏ ‎и‏ ‎прочие ‎"блага".

Почему?

Потому‏ ‎что ‎расходы ‎могут ‎быть ‎не‏ ‎подтверждены ‎документально‏ ‎(доков‏ ‎нет, ‎доки ‎неверно‏ ‎оформлены, ‎доки‏ ‎не ‎бьются ‎с ‎налоговым‏ ‎периодом...НК‏ ‎РФ ‎нам‏ ‎в ‎помощь).‏ ‎

Чтобы ‎этот ‎риск ‎нас ‎не‏ ‎настиг‏ ‎надо ‎что-то‏ ‎делать ‎(управлять‏ ‎риском) ‎: ‎

• назначить ‎ответственных ‎за‏ ‎наличие,‏ ‎своевременность‏ ‎истребования, ‎корректность‏ ‎документов;
• зафиксировать ‎обязанности‏ ‎ответственных ‎в‏ ‎должностных‏ ‎инструкциях;
• настроить ‎напоминалки‏ ‎в ‎информационной ‎системе;
• разграничить ‎права ‎доступа‏ ‎в ‎той‏ ‎же‏ ‎информ.системе...

И ‎т.д. ‎В‏ ‎каждом ‎бизнесе‏ ‎есть ‎свои ‎нюансы ‎и‏ ‎вариации.

Всё‏ ‎вышеозначенное ‎является‏ ‎примером ‎контрольных‏ ‎процедур ‎- ‎меры, ‎которые ‎помогают‏ ‎вам‏ ‎избежать ‎потерь.‏ ‎

Если ‎у‏ ‎вас ‎их ‎нет...пора ‎задуматься ‎и‏ ‎внедрить.‏ ‎Если‏ ‎есть ‎-‏ ‎вы ‎молодец,‏ ‎но ‎стоит‏ ‎проверить,‏ ‎а ‎эффективны‏ ‎ли ‎ваши ‎контрольные ‎процедуры? ‎Действительно‏ ‎ли ‎они‏ ‎оберегают‏ ‎вас ‎от ‎потерь?‏ ‎

А ‎про‏ ‎риск-аппетит ‎наслышаны?

Об ‎этом ‎позднее.

Реальная‏ ‎история‏ ‎о ‎сверхглупости‏ ‎последует. ‎

Оставаться‏ ‎или ‎нет... ‎it's ‎up ‎to‏ ‎you.

Т.к. ‎в‏ ‎дальнейшем ‎повествовании ‎часто ‎будут ‎использоваться‏ ‎термины ‎"контроль",‏ ‎"‏ ‎внутренний ‎контроль", ‎"риск",‏ ‎" ‎Система‏ ‎Внутреннего ‎Контроля ‎(СВК)", ‎думаю,‏ ‎будет‏ ‎не ‎лишним‏ ‎разобраться, ‎что‏ ‎это, ‎несмотря ‎на, ‎казалось ‎бы,‏ ‎очевидность‏ ‎их ‎определения,‏ ‎а ‎также‏ ‎в ‎каком ‎контексте ‎они ‎будут‏ ‎употребляться.

Многие‏ ‎привыкли‏ ‎и ‎приняли‏ ‎как ‎данность,‏ ‎что ‎Система‏ ‎внутреннего‏ ‎контроля ‎(равно‏ ‎как ‎и ‎Служба ‎внутреннего ‎контроля)‏ ‎- ‎прерогатива‏ ‎крупных‏ ‎предприятий. ‎

Поэтому ‎продолжу‏ ‎с ‎не‏ ‎самого ‎очевидного: ‎любой ‎бизнес‏ ‎имеет‏ ‎Систему ‎внутреннего‏ ‎контроля ‎

Неважно,‏ ‎кто ‎вы: ‎самозанятый, ‎ИП, ‎ООО‏ ‎и‏ ‎т.д. ‎

Например:

- Самозанятый,‏ ‎шьющий ‎предметы‏ ‎одежды ‎на ‎дому, ‎контролирует ‎остаток‏ ‎материала,‏ ‎контролирует‏ ‎сроки ‎выполнения‏ ‎работы ‎и‏ ‎отправки ‎заказа‏ ‎заказчику...‏ ‎;

- ИП, ‎который‏ ‎организовал ‎небольшое ‎производство ‎детского ‎конструктора‏ ‎контролирует ‎качество‏ ‎поставленного‏ ‎материала, ‎изнашиваемость ‎оборудования‏ ‎и/или ‎деталей‏ ‎к ‎нему, ‎мониторит ‎(контролирует)‏ ‎проведение‏ ‎тематических ‎выставок...‏ ‎;

- ООО ‎и‏ ‎более ‎крупные ‎единицы ‎бизнеса ‎контролируют‏ ‎сроки‏ ‎поставок, ‎отгрузок,‏ ‎производства, ‎выполнения‏ ‎услуг, ‎организации ‎продаж.... ‎И ‎много‏ ‎чего‏ ‎ещё.‏ ‎Думаю, ‎суть‏ ‎ясна. ‎

Иными‏ ‎словами ‎-‏ ‎везде‏ ‎и ‎всегда‏ ‎есть ‎какой ‎никакой, ‎но ‎контроль.‏ ‎А ‎значит‏ ‎уже‏ ‎есть ‎и ‎некая‏ ‎система ‎контроля‏ ‎(СВК).

(Забегая ‎немного ‎вперёд, ‎раскрою‏ ‎карты‏ ‎- ‎ключевым‏ ‎моментом ‎всегда‏ ‎(на ‎протяжении ‎всего ‎периода ‎жизни‏ ‎бизнеса)‏ ‎будет ‎являться‏ ‎КАЧЕСТВО, ‎ЭФФЕКТИВНОСТЬ‏ ‎И ‎ДОСТАТОЧНОСТЬ ‎этой ‎системы ‎контроля.‏ ‎Но‏ ‎об‏ ‎этом ‎потом).

А‏ ‎сейчас. ‎..Revenons‏ ‎à ‎nos‏ ‎moutons,‏ ‎как ‎говорят‏ ‎французы. ‎То ‎бишь ‎- ‎вернёмся‏ ‎к ‎нашим‏ ‎баранам,‏ ‎к ‎сути ‎поста.‏ ‎

Для ‎чего‏ ‎мы ‎контролируем ‎свой ‎бизнес?

Многие‏ ‎ответят:‏ ‎чтобы ‎зарабатывать‏ ‎деньги, ‎как‏ ‎и ‎было ‎запланировано. ‎

Я ‎не‏ ‎соглашусь‏ ‎и ‎отвечу‏ ‎иначе: ‎мы‏ ‎контролируем, ‎чтобы ‎НЕ ‎терять ‎деньги.‏ ‎То‏ ‎есть‏ ‎своевременно ‎реагировать‏ ‎на ‎некие‏ ‎неблагоприятные ‎события....РИСКИ

Если‏ ‎наш‏ ‎самозанятый ‎вовремя‏ ‎не ‎закупит ‎материал, ‎вовремя ‎не‏ ‎сошьет ‎заказанные‏ ‎мною‏ ‎перчатки ‎и ‎вовремя‏ ‎их ‎не‏ ‎отправит, ‎чем ‎он ‎рискует:

• отказ‏ ‎от‏ ‎заказа ‎с‏ ‎моей ‎стороны‏ ‎(деньги ‎на ‎материал ‎потрачены ‎свои,‏ ‎время‏ ‎потрачено, ‎доход‏ ‎не ‎получен).‏ ‎Деньги ‎потеряны. ‎Когда ‎вернутся(ли) ‎...неизвестно;
• негативный‏ ‎отзыв‏ ‎с‏ ‎моей ‎стороны‏ ‎в ‎соцсетях.‏ ‎Самозанятый ‎потерял‏ ‎потенциальных‏ ‎будущих ‎клиентов,‏ ‎ака ‎доход. ‎

Если ‎наш ‎ИП‏ ‎вовремя ‎не‏ ‎обновил‏ ‎детали ‎оборудования ‎по‏ ‎производству ‎конструктора,‏ ‎он ‎никак ‎не ‎сможет‏ ‎выполнить‏ ‎весь ‎объем‏ ‎заказов ‎на‏ ‎конструкторы ‎в ‎срок, ‎пока ‎не‏ ‎получит‏ ‎новые ‎детали‏ ‎к ‎оборудованию....‏ ‎Отказы ‎от ‎заказов, ‎списание ‎материалов‏ ‎в‏ ‎убыток,‏ ‎негативные ‎отзывы,‏ ‎потери, ‎потери‏ ‎потери... ‎

Более‏ ‎крупный‏ ‎бизнес ‎теряет‏ ‎деньги ‎вообще ‎на ‎каждом ‎шагу.‏ ‎Об ‎этом‏ ‎можно‏ ‎отдельные ‎посты ‎делать.‏ ‎

Надеюсь, ‎посыл‏ ‎понятен. ‎

А ‎задача ‎сегодняшнего‏ ‎упражнения‏ ‎запомнить, ‎что‏ ‎РИСК ‎- это‏ ‎событие, ‎которое ‎уже ‎привело ‎к‏ ‎потерям,‏ ‎либо ‎может‏ ‎привести! ‎И‏ ‎что ‎вы ‎контролируете ‎свой ‎бизнес...вопрос‏ ‎насколько‏ ‎качественно.‏ ‎

Если ‎кто-то‏ ‎не ‎согласен,‏ ‎то ‎может‏ ‎высказать‏ ‎свою ‎позицию‏ ‎в ‎комментариях, ‎а ‎в ‎остальном...‏ ‎it's ‎up‏ ‎to‏ ‎you

Это ‎первый‏ ‎пост. ‎Пусть ‎это ‎будет, ‎как‏ ‎означено ‎в‏ ‎заголовке,‏ ‎некая ‎проба ‎пера.‏ ‎Не ‎судите‏ ‎строго. ‎

В ‎бизнесе ‎нельзя‏ ‎верить‏ ‎никому!!! ‎

Ни‏ ‎брату, ‎ни‏ ‎свату, ‎ни ‎маме ‎с ‎папой,‏ ‎ни‏ ‎любовнице, ‎ни‏ ‎жене...никому. ‎Это‏ ‎факт. ‎Поверьте. ‎

Предадут, ‎обманут, ‎начнут‏ ‎играть‏ ‎на‏ ‎чувствах ‎и‏ ‎просить ‎послабления,‏ ‎перевёрнут ‎всё‏ ‎в‏ ‎угоду ‎себе,‏ ‎но ‎никак ‎не ‎вам. ‎И‏ ‎вы ‎будете‏ ‎плохим‏ ‎(и ‎только ‎вы).‏ ‎

Бизнес ‎этого‏ ‎не ‎приемлет. ‎Это ‎колоссальный‏ ‎риск!‏ ‎Ваш ‎риск.‏ ‎

Все ‎взаимоотношения‏ ‎со ‎всеми ‎вышеозначенными ‎людьми ‎(да‏ ‎и‏ ‎со ‎всеми‏ ‎прочими, ‎разумеется)‏ ‎подлежат ‎юридическому ‎оформлению. ‎Если ‎этого‏ ‎не‏ ‎сделать...винить‏ ‎в ‎потерях‏ ‎можно ‎только‏ ‎себя.

Договоры, ‎расписки‏ ‎о‏ ‎получении ‎денег‏ ‎(даже ‎от ‎мамы) ‎, ‎соглашения‏ ‎о ‎намерениях‏ ‎(нотариально‏ ‎заверенные ‎с ‎детализацией‏ ‎ролей ‎в‏ ‎бизнесе), ‎совместное ‎учредительство ‎(ака‏ ‎ответственность).‏ ‎Только ‎так.‏ ‎Это ‎всё‏ ‎должно ‎у ‎вас ‎быть. ‎

Неудобно?‏ ‎Неловко?‏ ‎:) ‎

Да,‏ ‎такие ‎ощущения‏ ‎бывают. ‎

Ну ‎как ‎же ‎...он‏ ‎(она,‏ ‎они)‏ ‎близкие ‎люди,‏ ‎моё ‎родное,‏ ‎я ‎верю,‏ ‎не‏ ‎обманут. ‎

Обманут!!!

Узнано‏ ‎и ‎проверено ‎опытным ‎путём.

Ну ‎а‏ ‎дальше... ‎

It's‏ ‎up‏ ‎to ‎you...

У ‎меня‏ ‎два ‎инфоресурса: ‎бесплатный ‎канал и ‎платный‏ ‎проект.

Я ‎пишу‏ ‎для‏ ‎взрослых ‎думающих ‎людей,‏ ‎понимающих, ‎что‏ ‎компетентность ‎стоит ‎денег.

В ‎общедоступных‏ ‎статьях‏ ‎я ‎отвечаю‏ ‎на ‎вопрос‏ ‎— ‎что?

Что ‎такое ‎трейдинг ‎—‏ ‎искусство‏ ‎или ‎наука?

Можно‏ ‎ли ‎торговать‏ ‎против ‎тренда ‎и ‎комбинировать ‎торговые‏ ‎стратегии?

Чем‏ ‎профессионал‏ ‎отличается ‎от‏ ‎инвестиционного ‎шарлатана?

Обучающий‏ ‎материал ‎структурирован‏ ‎по‏ ‎тематическим ‎подборкам,‏ ‎например, ‎«Уровни ‎мастерства» или ‎«Управление ‎риском».

Подписывайтесь,‏ ‎читайте, ‎думайте.

Здесь‏ ‎на‏ ‎Sponsr ‎мы ‎говорим‏ ‎на ‎тему‏ ‎— ‎как?

Это ‎для ‎тех,‏ ‎кому‏ ‎интересно ‎детальное‏ ‎погружение ‎в‏ ‎трейдерское ‎ремесло, ‎кто ‎действительно ‎хочет‏ ‎разобраться‏ ‎в ‎биржевой‏ ‎торговле. ‎Кто‏ ‎устал ‎от ‎кричащих ‎новостей ‎ни‏ ‎о‏ ‎чём‏ ‎и ‎сказок‏ ‎про ‎успешный‏ ‎успех. ‎Всё‏ ‎на‏ ‎реальных ‎примерах,‏ ‎с ‎подробными ‎схемами ‎и ‎пошаговыми‏ ‎разъяснениями.

Я ‎беру‏ ‎подписчика‏ ‎за ‎руку ‎и‏ ‎веду ‎его‏ ‎вслед ‎за ‎трендом.

Как ‎тренды‏ ‎классифицируются по‏ ‎достоверности?

Как ‎нужно‏ ‎размечать ‎графики в‏ ‎торговом ‎терминале ‎и ‎как ‎вести‏ ‎трейдерский‏ ‎дневник?

Авторская ‎аналитика, с‏ ‎которой ‎я‏ ‎сам ‎работаю.

Если ‎вам ‎это ‎надо‏ ‎—‏ ‎присоединяйтесь‏ ‎— ‎чтобы‏ ‎не ‎оставаться‏ ‎с ‎рынком‏ ‎один‏ ‎на ‎один.

Автоматизированный ‎подход‏ ‎BucketLoot, универсальность ‎в ‎работе ‎с ‎несколькими‏ ‎облачными ‎платформами‏ ‎и‏ ‎обширный ‎набор ‎функций‏ ‎делают ‎его‏ ‎ценным ‎дополнением ‎к ‎набору‏ ‎инструментов‏ ‎специалистов ‎по‏ ‎безопасности, ‎команд‏ ‎DevOps ‎и ‎организаций, ‎стремящихся ‎повысить‏ ‎уровень‏ ‎своей ‎облачной‏ ‎безопасности ‎и‏ ‎защитить ‎конфиденциальные ‎данные, ‎хранящиеся ‎в‏ ‎облачных‏ ‎хранилищах‏ ‎объектов.

Ключевые ‎функции

📌Автоматическая‏ ‎проверка ‎облачных‏ ‎хранилищ: BucketLoot ‎может‏ ‎автоматически‏ ‎сканировать ‎и‏ ‎проверять ‎облачные ‎хранилища, ‎совместимые ‎с‏ ‎S3, ‎на‏ ‎нескольких‏ ‎платформах, ‎включая ‎Amazon‏ ‎Web ‎Services‏ ‎(AWS), ‎Google ‎Cloud ‎Storage‏ ‎(GCS),‏ ‎DigitalOcean ‎Spaces‏ ‎и ‎пользовательские‏ ‎домены/URL-адреса.

📌Извлечение ‎ресурсов: ‎Инструмент ‎может ‎извлекать‏ ‎ресурсы,‏ ‎хранящиеся ‎в‏ ‎корзинах, ‎такие‏ ‎как ‎URL-адреса, ‎поддомены ‎и ‎домены,‏ ‎которые‏ ‎могут‏ ‎быть ‎полезны‏ ‎для ‎управления‏ ‎объектами ‎атаки‏ ‎и‏ ‎разведки.

📌 Обнаружение ‎секретных‏ ‎данных: BucketLoot ‎может ‎обнаруживать ‎и ‎помечать‏ ‎потенциальные ‎секретные‏ ‎данные,‏ ‎такие ‎как ‎API-ключи,‏ ‎токены ‎доступа‏ ‎и ‎другую ‎конфиденциальную ‎информацию,‏ ‎помогая‏ ‎организациям ‎выявлять‏ ‎и ‎снижать‏ ‎риски ‎безопасности.

📌Пользовательский ‎поиск ‎по ‎ключевым‏ ‎словам‏ ‎и ‎регулярным‏ ‎выражениям: пользователи ‎могут‏ ‎выполнять ‎поиск ‎по ‎определенным ‎ключевым‏ ‎словам‏ ‎или‏ ‎регулярным ‎выражениям‏ ‎в ‎файлах‏ ‎корзины, ‎что‏ ‎позволяет‏ ‎осуществлять ‎целенаправленный‏ ‎поиск ‎конфиденциальных ‎данных ‎или ‎определенных‏ ‎типов ‎информации.

📌Эффективное‏ ‎сканирование: BucketLoot‏ ‎специализируется ‎на ‎сканировании‏ ‎файлов, ‎в‏ ‎которых ‎хранятся ‎данные ‎в‏ ‎текстовом‏ ‎формате, ‎оптимизируя‏ ‎процесс ‎сканирования‏ ‎и ‎повышая ‎производительность.

📌Гибкие ‎режимы ‎сканирования: Инструмент‏ ‎предлагает‏ ‎гостевой ‎режим‏ ‎для ‎первоначального‏ ‎сканирования ‎без ‎необходимости ‎использования ‎учетных‏ ‎данных,‏ ‎а‏ ‎также ‎режим‏ ‎полного ‎сканирования‏ ‎с ‎использованием‏ ‎учетных‏ ‎данных ‎платформы‏ ‎для ‎более ‎всестороннего ‎анализа.

📌Вывод ‎в‏ ‎формате ‎JSON:‏ ‎BucketLoot‏ ‎предоставляет ‎свои ‎выходные‏ ‎данные ‎в‏ ‎формате ‎JSON, ‎что ‎упрощает‏ ‎анализ‏ ‎и ‎интеграцию‏ ‎результатов ‎в‏ ‎существующие ‎рабочие ‎процессы ‎или ‎другие‏ ‎инструменты‏ ‎обеспечения ‎безопасности.

Полезность‏ ‎для ‎различных‏ ‎отраслей ‎и ‎экспертов ‎в ‎области‏ ‎безопасности

📌Профессионалы‏ ‎в‏ ‎области ‎кибербезопасности: BucketLoot‏ ‎— ‎это‏ ‎инструмент ‎для‏ ‎специалистов‏ ‎в ‎области‏ ‎кибербезопасности, ‎таких ‎как ‎пентестеры, ‎багхантеры‏ ‎и ‎исследователи‏ ‎безопасности,‏ ‎т. ‎к. ‎он‏ ‎помогает ‎выявлять‏ ‎потенциальные ‎уязвимости ‎и ‎проблемы‏ ‎доступа‏ ‎к ‎данным‏ ‎в ‎конфигурациях‏ ‎облачных ‎хранилищ.

📌Поставщики ‎облачных ‎услуг: ‎Организации,‏ ‎предлагающие‏ ‎облачные ‎сервисы,‏ ‎могут ‎использовать‏ ‎BucketLoot ‎для ‎обеспечения ‎безопасности ‎данных‏ ‎своих‏ ‎клиентов,‏ ‎хранящихся ‎в‏ ‎облачных ‎хранилищах,‏ ‎и ‎поддержания‏ ‎соответствия‏ ‎отраслевым ‎стандартам.

📌Команды‏ ‎DevSecOps ‎и ‎DevOps: Интегрируя ‎BucketLoot ‎в‏ ‎свои ‎рабочие‏ ‎процессы,‏ ‎команды ‎DevSecOps ‎и‏ ‎DevOps ‎могут‏ ‎проактивно ‎выявлять ‎и ‎снижать‏ ‎риски‏ ‎безопасности, ‎связанные‏ ‎с ‎облачными‏ ‎хранилищами, ‎продвигая ‎безопасные ‎методы ‎разработки‏ ‎программного‏ ‎обеспечения.

📌Реагирование ‎на‏ ‎инциденты ‎и‏ ‎криминалистика: ‎В ‎случае ‎утечки ‎данных‏ ‎или‏ ‎инцидента‏ ‎BucketLoot ‎может‏ ‎помочь ‎группам‏ ‎реагирования ‎на‏ ‎инциденты‏ ‎и ‎судебным‏ ‎следователям ‎быстро ‎идентифицировать ‎уязвимые ‎данные‏ ‎и ‎потенциальные‏ ‎векторы‏ ‎атак, ‎связанные ‎с‏ ‎неправильной ‎конфигурацией‏ ‎облачного ‎хранилища.

📌Соответствие ‎требованиям ‎и‏ ‎управление‏ ‎рисками: Организации, ‎на‏ ‎которые ‎распространяются‏ ‎требования ‎нормативных ‎актов, ‎такие ‎как‏ ‎GDPR,‏ ‎HIPAA ‎или‏ ‎PCI-DSS, ‎могут‏ ‎использовать ‎BucketLoot ‎для ‎обеспечения ‎безопасной‏ ‎обработки‏ ‎конфиденциальных‏ ‎данных, ‎хранящихся‏ ‎в ‎облачных‏ ‎хранилищах, ‎и‏ ‎демонстрации‏ ‎соблюдения ‎стандартов‏ ‎защиты ‎данных.

📌Программы ‎вознаграждения ‎за ‎ошибки: Багхантеры‏ ‎и ‎исследователи‏ ‎могут‏ ‎использовать ‎BucketLoot ‎для‏ ‎выявления ‎потенциальных‏ ‎уязвимостей ‎и ‎доступа ‎к‏ ‎данным‏ ‎в ‎конфигурациях‏ ‎облачных ‎хранилищ,‏ ‎что ‎способствует ‎повышению ‎общей ‎безопасности‏ ‎организаций‏ ‎и ‎получению‏ ‎вознаграждений.

Основное ‎внимание‏ ‎в документе ‎«Health-ISAC: ‎Risk-Based ‎Approach ‎to‏ ‎Vulnerability ‎Prioritization» уделяется‏ ‎пропаганде‏ ‎более ‎тонкого ‎и‏ ‎риск-ориентированного ‎подхода‏ ‎к ‎бесполезно-полезной ‎задаче ‎управления‏ ‎уязвимостями.‏ ‎И ‎всё‏ ‎это ‎в‏ ‎мире, ‎где ‎количество ‎уязвимостей ‎настолько‏ ‎велико,‏ ‎что ‎это‏ ‎может ‎довести‏ ‎любого, ‎кто ‎попытается ‎их ‎все‏ ‎исправить,‏ ‎до‏ ‎нервного ‎срыва.‏ ‎Решение ‎видится‏ ‎«радикальным» ‎и‏ ‎инновационным‏ ‎— ‎расставлять‏ ‎приоритеты ‎на ‎основе ‎реального ‎риска,‏ ‎а ‎не‏ ‎просто‏ ‎бегать, ‎как ‎безголовый‏ ‎всадник, ‎пытаясь‏ ‎справиться ‎с ‎оценкой ‎CVSS‏ ‎пока‏ ‎с ‎неба‏ ‎падают ‎апокалиптичные‏ ‎коты.

В ‎документе ‎признается ‎абсурдность ‎традиционного‏ ‎подхода‏ ‎«это ‎надо‏ ‎было ‎исправить‏ ‎ещё ‎вчера», ‎учитывая, ‎что ‎только‏ ‎2–7%‏ ‎опубликованных‏ ‎уязвимостей ‎когда-либо‏ ‎эксплуатировались. ‎Это‏ ‎все ‎равно‏ ‎что‏ ‎каждый ‎день‏ ‎готовиться ‎ко ‎всем ‎возможным ‎стихийным‏ ‎бедствиям, ‎а‏ ‎не‏ ‎только ‎к ‎тем,‏ ‎которые, ‎скорее‏ ‎всего, ‎обрушатся ‎на ‎ваш‏ ‎район.‏ ‎В ‎документе‏ ‎представлен ‎набор‏ ‎методов, ‎в ‎том ‎числе ‎EPSS‏ ‎и‏ ‎SSVC, ‎которые‏ ‎призваны ‎помочь‏ ‎организациям ‎разобраться ‎в ‎хаосе ‎уязвимостей‏ ‎со‏ ‎снайперской‏ ‎точностью ‎(ну‏ ‎или ‎обесточить‏ ‎всё).

По ‎сути,‏ ‎документ‏ ‎представляет ‎собой‏ ‎призыв ‎к ‎организациям ‎принять ‎более‏ ‎стратегический, ‎целенаправленный‏ ‎подход,‏ ‎учитывающий ‎такие ‎факторы,‏ ‎как ‎фактическая‏ ‎возможность ‎использования ‎уязвимости, ‎стоимость‏ ‎активов,‏ ‎подверженных ‎риску,‏ ‎и ‎то,‏ ‎находится ‎ли ‎уязвимый ‎объект ‎в‏ ‎Интернете‏ ‎или ‎скрывается‏ ‎за ‎уровнями‏ ‎контроля ‎безопасности. ‎Документ ‎в ‎очередной‏ ‎раз‏ ‎пытается‏ ‎продать ‎идею‏ ‎работать ‎умнее,‏ ‎а ‎не‏ ‎усерднее,‏ ‎в ‎кибербезопасном‏ ‎эквиваленте ‎бесконечной ‎игры ‎в ‎тетрис,‏ ‎где ‎кубики‏ ‎просто‏ ‎летят ‎все ‎быстрее‏ ‎и ‎быстрее.

Ключевые‏ ‎выводы

Итак, ‎давайте ‎погрузимся ‎в‏ ‎захватывающий‏ ‎мир ‎управления‏ ‎уязвимостями. ‎Если‏ ‎вы ‎молодая ‎организация, ‎у ‎вас‏ ‎может‏ ‎возникнуть ‎соблазн‏ ‎устранить ‎все‏ ‎критические ‎и ‎близкие ‎к ‎ним‏ ‎уязвимости‏ ‎с‏ ‎помощью ‎системы‏ ‎оценки ‎в‏ ‎выбранном ‎инструменте‏ ‎сканирования.‏ ‎Это ‎все‏ ‎равно ‎что ‎пытаться ‎купить ‎весь‏ ‎фондовый ‎рынок‏ ‎в‏ ‎попытке ‎диверсифицироваться.

Не ‎всегда‏ ‎требуется ‎пользоваться‏ ‎самые ‎критичными ‎уязвимостями; ‎вместо‏ ‎этого‏ ‎набор ‎из‏ ‎менее ‎критичных‏ ‎уязвимостей ‎могут ‎объединить ‎в ‎цепочку‏ ‎эксплойтов,‏ ‎чтобы ‎получить‏ ‎доступ ‎к‏ ‎системам.

Документ ‎напоминает, ‎что ‎также ‎необходимо‏ ‎учитывать‏ ‎сетевое‏ ‎расположение ‎«активов».‏ ‎Уязвимости ‎и‏ ‎неправильные ‎настройки‏ ‎всегда‏ ‎должны ‎быть‏ ‎в ‎приоритете, ‎иначе ‎вашей ‎компании‏ ‎стоит ‎обратиться‏ ‎к‏ ‎дизайнерам ‎за ‎неоновой‏ ‎вывеской ‎приглашающей‏ ‎зайти ‎в ‎клуб ‎повеселиться.

Также‏ ‎не‏ ‎будем ‎забывать‏ ‎об ‎игре‏ ‎в ‎«Монополию», ‎т. ‎е. ‎о‏ ‎стоимости‏ ‎активов, ‎только‏ ‎вместо ‎собственности‏ ‎вы ‎имеете ‎дело ‎с ‎активами‏ ‎организации.‏ ‎Если‏ ‎устройство, ‎имеющее‏ ‎первостепенное ‎значение‏ ‎для ‎функционирования‏ ‎бизнеса‏ ‎или ‎содержащее‏ ‎критически ‎важную ‎информацию, ‎будет ‎скомпрометировано,‏ ‎вас ‎мало‏ ‎будут‏ ‎беспокоить ‎остальное ‎(поэтому‏ ‎уберите ‎бутылку‏ ‎виски ‎с ‎кнопки ‎DELETE).

В‏ ‎то‏ ‎же ‎время,‏ ‎важно ‎думать‏ ‎о ‎снижении ‎риска ‎в ‎случае‏ ‎применения‏ ‎уязвимости. ‎В‏ ‎идеале ‎—‏ ‎уязвимость ‎должна ‎сработать ‎в ‎песочнице‏ ‎и‏ ‎не‏ ‎оказать ‎никакого‏ ‎эффекта ‎на‏ ‎другие ‎узлы‏ ‎и‏ ‎устройства. ‎Так‏ ‎что ‎нанимайте ‎серьёзных ‎ребят, ‎которые‏ ‎будут ‎яростно‏ ‎выкидывать‏ ‎железо ‎из ‎окон‏ ‎в ‎качестве‏ ‎компенсационных ‎мер.

Наконец, ‎есть ‎система‏ ‎оценки‏ ‎прогнозирования ‎эксплойтов‏ ‎(EPSS) ‎и‏ ‎классификация ‎уязвимостей ‎для ‎конкретных ‎заинтересованных‏ ‎сторон‏ ‎(SSVC). ‎EPSS‏ ‎подобен ‎хрустальному‏ ‎шару, ‎предсказывающему ‎вероятность ‎того, ‎что‏ ‎уязвимость‏ ‎будет‏ ‎использована ‎в‏ ‎реальности. ‎SSVC,‏ ‎с ‎другой‏ ‎стороны,‏ ‎подобен ‎персонализированной‏ ‎дорожной ‎карте, ‎ориентированной ‎на ‎ценности,‏ ‎включая ‎статус‏ ‎использования‏ ‎уязвимости ‎в ‎системе‏ ‎безопасности, ‎её‏ ‎влияние ‎на ‎неё ‎и‏ ‎распространённость‏ ‎затронутых ‎продуктов.

Такой‏ ‎подход ‎позволяет‏ ‎высвободить ‎больше ‎времени ‎и ‎на‏ ‎другие‏ ‎задачи ‎и‏ ‎проблемы ‎организации‏ ‎ну, ‎или ‎же, ‎весело ‎провести‏ ‎время‏ ‎на‏ ‎американских ‎горках.

Подробный‏ ‎разбор

Health-ISAC Risk-Based Approach to Vulnerability Prioritization [RU].pdf

534,74 KB

Скачать