Исследование вопросов безопасности в студиях/агентствах

Привет, хабр! Недавно мы проводили (в том числе, на хабре) опрос среди студий и агентств, а теперь анонсируем результаты нашего исследования.В рамках исследования силами Ruward и сервиса по защите сайтов SiteSecure в апреле 2014 был проведен опрос более 270 представителей студий и агентств, специализирующихся на заказной разработке интернет-проектов.

Расскажем подробнее о полученных результатах:

1. Есть ли в вашей студии/агентстве квалифицированный специалист, ответственный за информационную безопасность сайтов клиентов? image

Более трех четвертей компаний агентского рынка в принципе не имеют специалиста, который смог бы настроить необходимые процессы и помочь в случае возникновения проблем с их оперативным устранением. Каждая пятая студия имеет подобного специалиста в штате (конечно, такая ситуация характерна в больше степени для крупных компаний, специализирующихся на разработке сложных проектов в высоком ценовом сегменте).

2. Есть ли в организации правила безопасности и регламент реагирования на инциденты, связанные с безопасностью сайтов клиентов (утеря или кража паролей, взлом, заражение вирусами, попадание сайта в черные списки и др.) image

Четко прописанный регламент реагирования на инциденты по вопросам безопасности есть только у 7% опрошенных респондентов, при этом более половины компаний считают, что есть «смысловое понимание», что делать в случае возникновения проблем. Почти треть компаний не имеет подобного регламента и не готова к оперативному решению подобных инцидентов.

В определенном смысле данный вопрос — хороший индикатор общей ситуации на рынке. Значительная часть компаний агентского рынка не уделяет должного внимания вопросам безопасности или считает, что проблему можно будет решить своими силами «по факту возникновения». В таком подходе кроется значительная угроза для обеспечения безопасности проектов заказчика.

3. Подписывается ли при трудоустройстве с сотрудниками, которые имеют доступ к паролям от хостинга, CMS и к содержимому сайтов клиентов соглашение о соблюдении конфиденциальности и правил безопасности? image

Почти 60% студий/агентств не подписывают со своими сотрудниками соглашения, которое бы регламентировало соблюдение правил безопасности и конфиденциальности. Во многом это говорит о том, что в случае возникновения проблем основной риск несет сама студия, поскольку претензии заказчика в значительном числе случаев предъявляются именно компании, которая разрабатывает/поддерживает сайт.

4. В договоре с клиентом предусмотрен пункт об обеспечении вашей компанией безопасности его сайта и данных? image

Более чем две трети компаний не вносят соответствующий пункт в договора с клиентами.

Мы бы хотели отметить, что в этом случае студия не только формально освобождается от рисков, но и может понести дополнительные убытки. В случае отсутствия подобных пунктов формально не прописано не только то, за что агентство должно отвечать, но и то, за что не должно (например, форс-мажор на стороне хостинг-провайдера). Поскольку на агентском рынке многое строится на уровне доверительных отношений, в случае возникновения инцидента клиент обращается в студии вне зависимости от договора, а отсутствие там пункта о том, за какие вопросы подрядчик не отвечает — может послужить основанием для неоправданной претензии и ухудшения отношений с клиентом.

5. Применяется ли парольная политика: требования к сложности пароля, контроль за сменой паролей, реагирование на компрометацию, назначение ответственного? image

С точки зрения парольной политики ситуация чуть лучше — каждая четвертая компания имеет четко прописанный регламент, а еще половина применяет различные элементы парольной политики в своей деятельности. При этом четверть компаний в принципе не склонная заботиться о подобных вопросах.

Внедрение такого регламента/процесса не несет для агентства почти никаких затрат, и мы настоятельно рекомендуем компаниям, в которых он до сих по не решен, принять соответствующие меры — это позволит существенно снизить риски возникновения различных угроз и для студии, и для клиента. Также мы рекомендуем доносить данный свод правил и для представителей заказчика, которые взаимодействуют с агентством.

6. Какие меры из нижеперечисленных вы осуществляете для обеспечения надежной работы и безопасности сайтов клиентов? image

Из перечисленных мер обеспечении безопасности самой распространенной является резервное копирование данных (более 80%). Стоит отметить, что агентства, которые не прибегают к данной практике — подвержены значительному риску не только по вопросам, связанным с безопасностью, но и по вопросам чисто технического характера (сбой оборудования, потеря данных).

Почти две трети компаний осуществляют постоянный мониторинг доступности парка своих проектов. Учитывая наличие большого количества бесплатных и недорогих автоматических сервисов по мониторингу доступности, это не самый высокий показатель — треть игроков рынка игнорирует данный простой и базовый метод мониторинга проблем.

Немногим менее половины компаний осуществляют контроль за внесением изменений на сайт и мониторинг блокирования сайтов поисковиками. Чуть более трети осуществляют проверки на наличие скрытых ссылок и редиректов, менее трети компаний регулярно проверяют проекты на вирусы. И только каждое шестое агентство предоставляет клиентам услуги защиты от DDoS.

7. За какие задачи обеспечения работоспособности проектов ваших клиентов вы отвечаете? image

Распределение по зонам ответственности перед заказчиком особенно любопытно в контексте предыдущего графика — в среднем компании берут на себя больше обязательств, чем проводят реальных действий.

8. Какое из следующих утверждений наиболее подходит для вашей ситуации? image

Только 16% игроков агентского рынка полностью уверены в безопасности своих проектов. Почти половина компаний признает наличие проблем, но в большинстве случаев успевает их решить до возникновения последствий для бизнеса заказчика.

И более трети компаний признаются в том, что испытывают определенный трудности с обеспечением безопасности сайтов своих клиентов — как с точки зрения проблем с клиентами, так и с точки зрения ресурсов, которые тратятся на оперативное решение внезапно возникнувшей проблемы.

9. Возникали ли у вас за последний год проблемы с претензиями клиентов по вопросам, связанным с безопасностью? image

40% веб-студий и агентств так или иначе сталкивались с проблемами безопасности за последний год. Это еще раз подтверждает актуальность проблематики, рассматриваемой в нашем исследовании.

10. Бывают ли случаи, когда в рамках тендера на разработку проекта вас отдельно просят рассказать о вопросах безопасности? image

Почти 60% студий не сталкиваются на тендерах с вопросами заказчика о том, как устроены в компании вопросы обеспечения безопасности.С одной стороны, это говорит об определенной пассивности и невысокой осведомленности заказчика в данных вопросах (несмотря на высокую актуальность проблемы).

С другой стороны, это дает компаниям, хорошо настроившим соответствующие процессы, дополнительное маркетинговое преимущество — в случае проявления инициативы на пресейле и актуализации данного аспекта перед заказчиком на фоне конкурентов.

Профиль респондентов Также в рамках исследования было проведено профилирование респондентов, которое показало распределение, близкое к общей ситуации на рынке, что только подтверждает общую репрезентативность полученных результатов.

11. Сколько в вашей студии/агентстве сотрудников? image

12. С точки зрения разработки интернет-проектов, на каких типах сайтов вы специализируетесь в большей степени? image

13. Где территориально вы находитесь? image

Выводы и рекомендации Основным выводом исследования является тот факт, что большинство студий/агентств не считают аспекты безопасности профильными для своей деятельности и не уделяют должного внимания связанным с этими вопросами процессами. Тем не менее, как показывает наше предыдущее исследование, проблема весьма актуальна. Например, каждый седьмой сайт в Рунете подвержен риску финансовых потерь из-за проблем, связанных с безопасностью.Рекомендации агентствам/студиям Проверить слабые места с точки зрения организации процессов (например, по списку вопросов — чек-листу, описанному выше в нашем исследовании) — и составить план по постепенному улучшению вопросов, связанных с security-аспектами. Заблаговременно настроить базовые процессы по мониторингу и проактивной защите сайтов, которые разрабатывает и поддерживает агентство. Своевременно реагировать на обновления версий CMS, веб-серверов и других элементов ПО, участвующих в работе сайта. Использовать сервисы мониторинга и проактивной защиты по всему парку проектов (не важно, внешний ли это сервис или встроенный, например, в CMS). Проводить разъяснительную работу с заказчиками, объясняя возможность возникновения проблемы и возможные способы решения. Проводить периодическую работу по разъяснению политики безопасности с собственными сотрудниками, имеющими доступ к паролям, хостингу, тестовым серверам и пр. Подписывать при приеме на работу соглашение о соблюдениях правил безопасности и конфиденциальности данных клиентов. Подготовить заранее краткий маркетинговый документ, который бы описывал подход агентства к вопросам безопасности — процессы, правила, используемые сервисы и пр. Наличие такого документа может стать дополнительным преимуществом при продаже услуг и взаимодействии с текущими клиентами (и дополнительным способом отстройки от конкурентов). В случае, если компания не может позволить себе иметь штатного специалиста по вопросам безопасности, рекомендуем договориться с одним из внешних экспертов, который помог бы настроить процессы, а также быстро подключиться к их устранению в случае обнаружения (силами штатных сотрудников или автоматическими системами мониторинга). Проверить договор и другие юридические документы на предмет описания в них соответствующих пунктов по вопросам безопасности. Рекомендации заказчику При выборе подрядчика, организации тендера и первичном общении с представителями агентств обязательно задавать вопросы о том, как устроена политика обеспечения безопасности в компании. Включать соответствующие вопросы в формальный лист оценки комитета по закупкам (если таковые процедуры проводятся внутри компании). С определенной регулярностью узнавать у текущих подрядчиков об изменениях/улучшениях в их процессах, связанных с данной областью. Контролировать, чтобы в документах были прописаны пункты ответственности подрядчика в случае возникновения инцидентов по его вине (так же, впрочем, как и пункты, которые не относятся к области ответственности подрядчика). В идеале — иметь прописанный регламент (SLA) — по реагированию на инциденты различных типов. Серия вебинаров по вопросам безопасности в студии/агентстве После анализа полученных результатов исследования и понимания масштаба проблемы на агентском рынке, наши коллеги из SiteSecure решили провести серию бесплатных вебинаров, посвященных вопросам организации эффективной службы безопасности в студиях/агентствах. Уже сейчас на специальной странице доступна возможность подписки на эти вебинары — рекомендуем.С полной версией исследования и комментариями экспертов можно знакомиться на странице нашего спецпроекта.

© Habrahabr.ru