За последние шесть месяцев профиль типового клиента Timetta расширился. Мы включили в свой фокус крупные корпоративные компании. Вместе с клиентским профилем поменялись и требования. Теперь клиенты предъявляют более жесткие требования к информационной безопасности системы. В этой статье рассмотрим как улучшился подход к ИБ в Timetta.

С чего все начиналось

В феврале 2022 российский рынок профессиональных услуг начал меняться. В апреле 2022 о существенном сокращении бизнеса в России сообщили международные консалтинговые компании.

Однако, российские команды этих компаний продолжают работу с клиентами в качестве самостоятельных единиц под новыми брендами. В прошлой статье мы рассказывали как начиналась наша работа с Axenix (ex-Accenture). Команда Timetta провела внедрение за 1 месяц и смогла попасть в ожидания консалтинговой компании с международным опытом, но как и у любого крупного заказчика у Axenix были индивидуальные пожелания. И среди них был запрос на улучшение в области информационной безопасности.

Со временем мы заметили, что и другие крупные клиенты просят улучшить ИБ Timetta. Эти запросы стали следствием использования систем управления учетными записями пользователей (например, Active Directory или Azure AD от Microsoft). И после февраля 2022 крупные компании остались без привычного ПО, в том числе, и без систем управления учетными записями пользователей. Теперь для каждой информационной системы нужна была отдельная учетная запись.

Использование множества учетных записей для работы с разными информационными системами увеличивало поверхность потенциальной атаки. Поэтому мы усилили ИБ Timetta и сделали доступной политику управления безопасности учетных записей.

Внедрение политики управления безопасности учетных записей

Теперь в Timetta можно выбрать провайдера аутентификационных данных. Пока выбор можно сделать из Azure AD или Локального, но ближайшем будущем будут доступны и другие провайдеры. У каждого пользователя может быть только один провайдер, то есть входить в Timetta можно только одним способом.

Если в компании используется локальный провайдер аутентификационных данных Timetta берет на себя:

  • управление сложностью пароля;
  • минимальный срок действия пароля;
  • возможность и правила блокировки аккаунта пользователя (максимальное количество попыток доступа и длительность блокировки).

Для чего это нужно

Сокращение поверхности потенциальной атаки. Поверхность атаки — это количество способов, которыми злоумышленник может воспользоваться, чтобы проникнуть в систему и извлечь из нее данные. Соответственно, чем меньше способов входа, тем сложнее «взломать» пользователя и получить доступ к клиентским данным. Действия по улучшению ИБ Timetta направлены как раз на уменьшение поверхности атаки. Кроме этого, при таком подходе значительно проще логировать и аудировать логины пользователей. Теперь пользовательские данные Timetta под надежной защитой.

Попробуйте все возможности Timetta бесплатно