Дорогу осилит идущий: IT-безопасность

(Окончание. Начало здесь)

С 29 июля по 4 августа стартует Первый Бизнес-лагерь «Владельческий контроль финансов — Угра-2018». На него я приглашаю всех, кому интересно получить работающие инструменты для контроля. Подробности здесь.

Идея контроля финансов собственниками правильна и понятна. Вопрос в том, как эту идею воплотить на практике.

И здесь мы возвращаемся к тому, что необходимым условием контроля является грамотно поставленный управленческий учет.
Итак, Шаг №1 постановки управленческого учета: найти ответ на вопрос:
«Как хранить данные управленческого учета, чтобы их никто не смог скачать (забрать)?»
А данные должны быть спрятаны так, чтобы ни одна сволочь не могла их найти. На одном из мероприятий на эту мою сентенцию участник бурно отреагировал: «Мне неприятно, что вы их так называете. У меня брат в силовых структурах работает…». Я не хочу никого обидеть, а тем более ссориться с силовыми структурами.
Просто для меня есть некие постулаты. Например: «Нельзя читать чужие письма». Так же и данные управленческого учета я считаю очень личными, тем, что нельзя смотреть без разрешения собственника.
Хочу отметить, что я в своей позиции не одинока. Как сказал участник одного из бизнес-лагерей: «Я Вам здесь такие вещи рассказываю, которые даже жене не рассказываю. Это интимней секса».
И это правда.
Кому интересен могут быть интересны данные Вашего УУ?
Проверяющим органам.
История из жизни: собственник создал мощную, фантастически удобную ERP-систему. Создавал долго и основательно, потратил почти 2 миллиона рублей. Потом пришли проверяющие, забрали данные сервера, на котором хранились все данные. Данные управленческого учета стали одной из составных частей доказательства искусственного дробления бизнеса и получения необоснованной налоговой выгоды. Собственник потерял более 200 миллионов рублей.
В этой статье я не буду уходить в размышления на тему, а что было бы, если бы сервер не нашли. Смогли бы доказать дробление или нет. Эта тема достаточно конфиденциальная, а потому обсуждать ее будем в очень узком кругу 21 сентября.
Понятно, что в данных управленческого учета есть правда, только правда и ничего кроме правды, а потому претензии налоговиков могут быть самыми разнообразными.
Но даже если Ваша группа компаний абсолютно белая и пушистая, управленческие данные все равно надо защищать.
Ведь проявить могут заинтересованность могут и конкуренты, и ваши не в меру любопытные сотрудники.
В прошлом году я уже цитировала историю, рассказанную мне Дмитрием, человеком, который профессионально занимается IT-безопасностью, но история эта не устарела, а стала в ряд с другими…

История из жизни. Звонит главбуху представитель компании, через которую сдаётся налоговая отчетность. Предлагает посмотреть дополнительные возможности сервиса. Назначается встреча, во время которой обсуждаются пояснения, которые регулярно требуют налоговики после сдачи отчетности по НДС. Между прочим выясняется, что у этого человека есть образцы актуальных пояснений.
Покажите мне главбуха, который, задолбавшийся эти пояснения регулярно писать, не спросит: «А как бы мне эти образцы получить?». Молодой человек, смутившись, скажет: «Ну вообще-то мы образцы так вот прямо бесплатно не раздаем, это входит в новый платный сервис… Но вы такая милая, что отказать не могу». Он вставляет флешку, сбрасывает образцы и забирает флешку. Стороны расстаются, страшно довольные друг другом.
А в результате фискалы имеют всю информацию из компьютерной сети компании и приходят на проверку, четко понимая, где и что искать».

Когда я приезжаю в компании искать, где деньги теряются или налоговую безопасность посмотреть, я задаю вопросы и о том, как часто сохраняются данные, где сохраняются.

Заметила следующую тенденцию: собственники свято верят ответственному сисадмину.
При этом иногда оказывается, что все данные копируются на тот же сервер, где «1С» установлен. Т.е. при выходе сервера из строя или конфискации сервера силовыми структурами работа компании парализуется.

Я и техника страшно далеки друг от друга, но даже мне понятно, что так быть не должно. В общем, настоятельно рекомендую проверить IT-безопасность Вашей компании.

Если Вам нужен профессионал в этой области, пишите на morozovabuh@gmail.com, контакты Дмитрия подскажу.

Искренне Ваша, Наталия Морозова