Бизнес без опасности: Обо мне ~ Бизнес без опасности

Обо мне ~ Бизнес без опасности

Алексей Викторович Лукацкий – бизнес-консультант по безопасности, Cisco Systems.

Это я (фото в хорошем качестве ниже)

Родился в 1973 году в Москве, где и обитаю до сих пор, несмотря на попытки иностранных держав заполучить меня в ряды своих граждан. В 1996 году окончил Московский институт радиотехники, электроники и автоматики (МИРЭА) по специальности «Прикладная математика» (специализация – «Защита информации»). Дважды пытался получить степень кандидата технических наук, но оба раза, уличив будущих научных руководителей в плагиате, прекращал свой путь аспиранта. Не судим. Государственных и ведомственных наград не имею.

В области информационной безопасности работаю с 1992 года. Работал специалистом по защите информации в различных государственных и коммерческих организациях. Прошел путь, начиная от программиста средств шифрования и администратора и заканчивая аналитиком и менеджером по развитию бизнеса в области информационной безопасности.

Имел ряд сертификаций в области информационной безопасности, но прекратил гонку за бляхами. В настоящий момент отдаю всего себя компании Cisco.

Опубликовал свыше 600 печатных работ в различных изданиях – «CIO», «Директор информационной службы», «Национальный банковский журнал», «ПРАЙМ-ТАСС», «Information Security», «Cnews», «Банковские технологии», «Аналитический банковский журнал», «Business Online», «Мир связи. Connect», «Итоги», «Rational Enterprise Management», «Слияния и поглощения» и т.д. В середине 2000-х годов прекратил подсчет своих публикаций как бесперспективное занятие. В настоящий момент веду блог в Интернете «Бизнес без опасности».

В 2005 году был удостоен награды Ассоциации документальной электросвязи «За развитие инфокоммуникаций в России», а в 2006 — награды Инфофорума в номинации «Публикация года». В январе 2007 года был включен в рейтинг 100 персон российского ИТ-рынка (за что, так и не понял). В 2010-м году выиграл на конкурсе «Львы и гладиаторы». В 2011-м году был удостоен грамоты министра внутренних дел РФ.

На конференции «Инфобезопасность» трижды получал награду Security Awards — в 2013-м, 2012-м и 2011-м годах (за просветительскую деятельность). За эту же деятельность, а точнее за ведение блога, получил в 2011-м году Антипремию Рунета в номинации «Безопасный Рулет». В 2012-м году был награжден Ассоциацией российских банков за большой вклад в развитие безопасности банковской системы России, а в 2013-м на магнитогорском форуме получил награду «За методологическую поддержку и достижения в банковской безопасности». Также в 2013-м и 2014-м годах порталом DLP-Expert был назван лучшим спикером по информационной безопасности. За время работы в Cisco был удостоен и рядом внутренних наград.

В 2001 году выпустил книгу «Обнаружение атак» (в 2003 году вышло второе издание этой книги), а в 2002 в соавторстве с И.Д. Медведовским, П.В. Семьяновым и Д.Г. Леоновым — книгу «Атака из Internet». В 2003 году выпустил книгу «Protect Your Information With Intrusion Detection» (на английском языке). На протяжении 2008-2009-го годов публиковал на портале bankir. ru книгу «Мифы и заблуждения информационной безопасности».

Являюсь автором множества курсов, среди которых «Введение в обнаружение атак», «Системы обнаружения атак», «Как увязать безопасность с бизнес-стратегией предприятия», «Что скрывает законодательство о персональных данных», «ИБ и теория организации», «Измерение эффективности ИБ», «Архитектура и стратегия ИБ». Читаю лекции по информационной безопасности в различных учебных заведениях и организациях. Являлся модератором эхоконференции RU.SECURITY в сети FIDO, но забросил это дело ввиду исхода большинства специалистов в Интернет.

Впервые в российской прессе обратился к теме:

• Информационной безопасности бизнеса
• Безопасности сделок слияния и поглощения
• Измерению эффективности ИБ
• Безопасности SOA
• Безопасности биллинговых систем
• Обманных систем
• Безопасности IP-телефонии
• Безопасности систем хранения данных (storage)
• Безопасности хотспотов
• Безопасности центров обработки вызовов (call center)
• Применения ситуационных центров в информационной безопасности
• Мобильного спама
• Безопасности сетей операторов мобильной связи
• И многие другие.  

Участвую в экспертизе нормативно-правовых актов, в области информационной безопасности и персональных данных. Являюсь участником Подкомитета №1 «Защита информации в кредитно-финансовой сфере» Технического Комитета № 122 «Стандартизация финансовых услуг» Федерального агентства по техническому регулированию и метрологии. Являюсь участником Подкомитета №127 «Методы и средства обеспечения безопасности ИТ» Технического комитета 22 «Информационные технологии» Федерального агентства по техническому регулированию и метрологии (выполняет функции ISO/IEC JTC 1/SC 27 в России). Являюсь участником Технического комитета 362 «Защита информации» Федерального агентства по техническому регулированию и метрологии и ФСТЭК. Вхожу в рабочую группу Совета Федерации по разработке поправок к ФЗ-152 и разработке Стратегии кибербезопасности России. Вхожу в рабочую группу Совета Безопасности по разработке основ государственной политики по формированию культуры информационной безопасности. Входил в рабочую группу ЦБ по разработке требований по безопасности Национальной платежной системы (382-П). В качестве независимого эксперта входил в состав Консультационного центра АРБ по применению 152-ФЗ «О персональных данных». Являлся членом оргкомитета Общественных слушаний по гармонизации законодательства в области защиты прав субъектов персональных данных.

Женат, воспитываю сына и дочь. Стараюсь свободное время уделять семье, хотя изнуряющая работа на благо Родины и работодателя такого времени почти не оставляет. Хобби, превратившееся в работу, или работа, ставшая хобби, — писательство и информационная безопасность. С детства занимаюсь туризмом.

ЗЫ. Фото для Интернет-публикаций (качайте выше или по ссылке). Фото «в шляпе» в хорошем качестве качайте отсюда, а «официальное» фото в хорошем качестве — отсюда (в шляпе мне нравится больше).

ЗЗЫ. Прочитал, что про сам про себя написал и возрадовался — какой же я весь из себя 🙂

Мои курсы ~ Бизнес без опасности

В настоящий момент в разных учебных центрах я читаю следующие курсы:

• «Что скрывает законодательство по персональным данным?«. Двухдневная программа, рассматривающая все аспекты обработки персональных данных с точки зрения оператора  ПДн — сбор персональных данных, получение согласий, отправка уведомлений в Роскомнадзор, защита ПДн по требованиям ФСТЭК, ФСБ и Банка России, прохождение проверок, правоприменительная практика и т.п. Основная задача курса – показать сценарии оптимизации затрат и усилий по приведению себя в соответствие с требованиями действующего законодательства по персональным данным. Курс читается с 2008-го года.

Ближайшие даты: пока не определены

• «Новинки законодательства по персональным данным«. Новая однодневная программа, рассматривающая новые нормативно-правовые акты по персональным данным, выпущенным Госдумой, ФСТЭК, ФСБ, Роскомнадзором и Банком России в период с середины 2013 до начала 2014 года. Курс разработан в конце 2013-го года.

Ближайшие даты: 30 апреля — ИСБД (Москва)

• «Управление инцидентами«. Однодневная программа, рассматривающая различные аспекты создания и начала функционирования группы управления инцидентами. Курс разработан по заказу одного из промышленных предприятий Урала и читается с 2010-го года.

Ближайшие даты: пока не определены

• «Защита информации в Национальной платежной системе«. Однодневная программа, рассматривающая различные аспекты защиты информации в НПС, в соответствие с различными нормативно-правовыми актами — федеральными законами, постановлениями Правительства, положениями и указаниями Банка России, требованиями ФСТЭК и ФСБ. Курс читается с сентября 2012 года.

Ближайшие даты: 10 апреля — УЦ Информзащита (Москва)

• «Новинки законодательства по ИБ в Национальной платежной системе«. Программа, рассчитанная на 4 часа и рассматривающая последние изменения в законодательстве по защите информации в НПС, в соответствие с различными нормативно-правовыми актами — федеральными законами, постановлениями Правительства, положениями и указаниями Банка России, требованиями ФСТЭК и ФСБ. Курс читается с весны 2014 года.

Ближайшие даты: 22 апреля — ИСБД (Москва), 29 апреля — ФинПриоритет (Москва), 14 мая — ФинКонсалтинг (Москва), 15 мая — ИСБД (Москва)

• «Моделирование угроз«. Однодневная программа, рассматривающая различные аспекты процесса моделирования угроз, являющегося необходимым, а в ряде случаев и законодательно обязательным, элементом деятельности службы информационной безопасности. Курс читается с сентября 2009-го года.

Ближайшие даты : пока не определены

• «Измерение эффективности информационной безопасности«. Однодневная программа, рассматривающая различные аспекты измерения эффективности продукта, проекта, процесса, службы, деятельности по информационной безопасности, в т.ч. и в финансовом выражении. Курс читается с июня 2009-го года.

Ближайшие даты: пока не определены

• «Законодательство в области информационной безопасности в России«. Двухдневная программа, являющаяся всесторонним обзором всего российского законодательства по информационной безопасности — для всех видов тайн, всех видов деятельности, всех типов правоотношений. Курс читается с мая 2013-го года.

Ближайшие даты: пока не определены

• «Обзор требования по ИБ в государственных и муниципальных информационных системах«. Однодневная программа, являющаяся обзором не только 17-го приказа ФСТЭК и методического документа по мерам защиты, но и связанных вопросов. Курс разработан в апреле 2014-го года.

Ближайшие даты: пока не определены

• «Стратегия обеспечения ИБ индустриальных решений«. Двухдневная программа, рассматривающая различные вопросы обеспечения ИБ индустриальных решений — начиная от обзора российского законодательства (включая и последние документы ФСТЭК) и международных стандартов по защите АСУ ТП и заканчивая рассмотрением передового опыта по защите индустриальных решений и анализа рынка продуктов и технологий в данной области. Курс разработан в апреле 2014-го года.

Ближайшие даты: пока не определены

В конце 90-х — начале 2000-х годов были подготовлены следующие курсы:

• «Обнаружение атак» и «Системы обнаружения атак«. Эти два однодневных курса были по сути переложением моей книги «Обнаружение атак». Читались эти курсы в УЦ «Информзащита», но после моего ухода из «Информзащиты» чтение курсов сошло на нет и сейчас они уже нигде не читаются.
• «Как связать информационную безопасность со стратегией бизнеса?«. Этот трехдневный курс я готовил по заказу одного из московских учебных центров. Читал я его всего один раз — для выездной группы в Тайланде. С тех пор курс так больше и не читался.

Также я начинал разработку, но до конца так и не довел (ввиду отсутствия заинтересованности со стороны слушателей и учебных центров) курсы:

• Архитектура и стратегия информационной безопасности.
• Место психологии в информационной безопасности.
• Информационная безопасности и теория организации.

Бизнес без опасности

Как киберпреступность
становится умнее

Кибератаки эволюционируют, и защитное ПО развивается вместе с ними. Выросла квалификация киберпреступников, они стали действовать сообща, их действия одновременно более целенаправленны и разрушительны. Сопротивляться им — значит стараться их предупредить и даже опередить. Это становится все труднее и дороже.

Сложная постоянная угроза

В 2019 году наблюдалась особая активность АРТ-атак (от английского Advanced Persistent Threat) на организации. Согласно результатам исследования TAdviser и Microsoft, 39% российских СМБ-компаний столкнулись с этим типом кибератак. Нападение в таких случаях ведется по всем фронтам, злоумышленники атакуют конкретную компанию и задействуют целый комплекс инструментов. Например, в апрельском отчете Лаборатории Касперского, посвященном недавно обнаруженному APT-фреймворку TajMahal, упоминается 80 отдельных программ, входящих в состав этого пакета: среди них эксплоиты, перехватывающие контроль над ПО, используя уязвимости; загрузчики, подменяющие собой стандартный загрузчик ОС; программы, записывающие звук, изображение на экране и активность клавиатуры; программы перехватывающие контроль над веб-камерой и дешифровщики паролей. Этот многофункциональный фреймворк способен, например, запросить у компьютера файл с ранее подключенной USB-флешки — и в следующий раз, когда флешка будет подключена к системе, хакер получит запрошенный файл.

Атака типа Advanced Persistent Threat — это хорошо организованная, тщательно спланированная кибератака, которая направлена на конкретную компанию или целую отрасль. За ней, как правило, стоят преступные группировки, имеющие значительные финансовые ресурсы и технические возможности. Такие атаки представляют для организаций наибольшую опасность, потому что далеко не каждая готова им эффективно противостоять. Главное — они хорошо организованы, технически сложны и растянуты во времени. Многие APT-атаки не обнаруживаются в течение нескольких месяцев или даже лет, и все это время преступники фактически находятся «внутри периметра» компании. И чем позднее это будет обнаружено, тем сложнее и дороже восстановление.

Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

45% компаний, по данным Positive Technologies, считают APT-атаку самой опасной среди всех киберугроз, причем более 70% опрошенных не уверены в готовности противостоять ей (для компаний уровня среднего и малого бизнеса (СМБ) этот показатель возрастает до 80%).

Чтобы выявить сложную атаку, необходим постоянный анализ компьютеров компании, причем не только новых, но и старых файлов, перепроверка электронной почты. И даже если полностью обновленное защитное ПО не видит угроз, это еще не повод для спокойствия. Завтрашнее обновление может выявить вредоносное ПО, уже давно поселившееся в системе.

Напомним, что очень важно устанавливать обновления Windows, которые отражают все актуальные изменения в области кибербезопасности. В Microsoft ежеминутно отслеживают активность киберпреступников и разрабатывают самые актуальные средства защиты: речь идет о 8,2 трлн сигналов, ежедневно получаемых из разных источников. Автоматическая загрузка обновлений безопасности для всех компьютеров в организации будет залогом надежности инфраструктуры и безопасности данных.

Закрепившись в системах компании, злоумышленники могут оставаться незамеченными годами. Например, в компании Bayer специалисты по кибербезопасности наблюдали активность вредоносного ПО в течение года.  8 лет — самое длительное присутствие злоумышленников в системе компании-жертвы, зафиксированное специалистами PT Expert Security Center.

Невидимые атаки

По данным Trend Micro Incorporated, в первой половине 2019 года количество бесфайловых атак выросло на 18%. Такие атаки сложно обнаружить с помощью обычных антивирусов: они ничего не записывают на жесткий диск и исполняются прямо в оперативной памяти — в результате защитное ПО, обычно отслеживающее атаки по базе так называемых файловых «сигнатур», не видит ничего подозрительного. Вместо запуска собственных процессов нападающие паразитируют на существующих, в том числе на компонентах самой операционной системы. В таких случаях следов, указывающих на атаку, не остается вовсе

Как им противостоять? В первую очередь поддерживать системы защиты на современном уровне. Использовать решения для глубокого анализа трафика (так называемые решения класса Network Traffic Analysis, NTA) — даже бесфайловый вредоносный код должен обращаться к сети. Стоит использовать антивирус, глубоко анализирующий оперативную память, отслеживающий работоспособность доверенных программ и контролирующий аномальную активность. В данном случае будут незаменимы системы класса SIEM, контролирующие доступ к критическим ресурсам, а также поведение системы в целом, — даже если не удается прямо обнаружить угрозу, такие системы способны выявить ее по косвенным признакам, через аномальное поведение обычных процессов.

Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Человеческий фактор

Киберпреступники продолжают активно использовать самое слабое звено в обороне информационной инфраструктуры — человека. 14% респондентов исследования TAdviser и Microsoft чаще всего сталкивались с утечками информации именно по вине инсайдеров.

Фишинговые атаки, при помощи которых воруют пароли, также остаются весьма распространенным инструментом — 90% APT-группировок сегодня прибегают именно к ним, по данным Positive Technologies.

По словам Артёма Синицына, директора программ информационной безопасности Microsoft в Центральной и Восточной Европе, именно человеческий фактор определяет популярность и эффективность фишинговых атак, 91% которых направлен на получение доступа к учетной записи жертвы.

Согласно данным отчёта Microsoft Security Intelligence Report, количество фишинговых атак на протяжении последних двух лет выросло более чем на 300%. Отчасти это происходит благодаря тому, что пользователи не соблюдают базовые правила цифровой гигиены. Так, согласно исследованию компании Microsoft, более 44 млн пользователей используют единственный пароль для всех личных аккаунтов. Компрометация этого пароля означает компрометацию всех личных учетных записей. Если пользователь использует тот же пароль еще и для учетных записей организации (что происходит достаточно часто), можно легко представить, чем обернется компрометация такого пароля для уровня безопасности организации.

LoсkerGoga, или Иногда они возвращаются

Вымогательство — один из самых распространенных форматов киберпреступлений. По данным Cybersecurity Ventures, в 2016 году вирусы-вымогатели атаковали компании примерно раз в 40 секунд, а в 2019-м этот показатель достиг раза в 14 секунд. По прогнозам, в 2021 году частота атак вымогателями вырастет до одной атаки в 11 секунд. Для вымогательства применяется заражение системы вирусом-шифровальщиком — злоумышленники требуют выкуп за предоставление ключа к дешифровке.

Один из самых нашумевших кейсов — эпидемия вируса WannaCry, случившаяся в 2017 году. По приблизительным подсчетам, от атаки вируса пострадали 300 тысяч пользователей в 150 странах мира. Ущерб только за тот год оценивается в $1 млрд. Вирус продолжает поражать компании и наносить ущерб по сей день.

В прошедшем году в эволюции вирусов-вымогателей случился новый виток. На этот раз вымогатель не просто зашифровал персональные данные клиентов, как это делали WannaCry, а до того Petya. Он атаковал производственную компанию и заблокировал работу оборудования, тем самым подвергнув опасности жизни людей, работающих на производстве.

Весной 2019 года норвежский производитель алюминия (крупнейший в мире) Norsk Hydro отметил прекращение работы некоторых систем — они были заблокированы неизвестным вирусом. Эпидемия стала быстро распространяться в корпоративной сети, и вскоре из строя вышло уже большинство используемых компанией машин. Дошло до того, что некоторые из структурных подразделений (а предприятия Norsk Hydro работают в 40 странах мира) пришлось перевести на управление вручную или даже приостановить работу. Причиной сбоев стал шифровальщик LockerGoga, который проник в компьютеры компании за несколько дней до того, как специалисты по кибербезопасности компании обратили внимание на проблему. Норвежцы не стали платить выкуп (удивительно в этой истории и то, что вирус, обрушив систему, помешал сотрудникам прочесть требование о выкупе).

Системами Norsk Hydro эпидемия LockerGoga не ограничилась. В общей сложности она затронула около 1200 компаний. Поиск злоумышленников продолжается до сих пор, вирус по-прежнему активен.

Что делать малому бизнесу

Угрозам подвергаются не только крупные корпорации. Киберпреступники грабят и небольшие организации. Как и крупные компании, СМБ страдает от утечек информации, уничтожения и подмены данных. Особенно это касается компаний, которые занимаются электронной коммерцией, финансами или, например, медициной (то есть хранят данные клиентов, делающие последних уязвимыми). Согласно упомянутому выше исследованию TAdviser и Microsoft, основными каналами угроз для сегмента СМБ остается электронная почта (66%) и внешние интернет-ресурсы (63%). 37% опрошенных сообщили, что целью атак были денежные средства. На втором месте — персональные данные (32%), а на третьем — учетные данные (31%). Только 15% компаний, участвовавших в опросе, смогли отразить атаки и избежать ущерба.

Причем точно оценить ущерб от атаки и затраты на ликвидацию последствий не может практически никто из представителей опрошенных компаний.

В течение года мы из квартала в квартал фиксировали рост числа уникальных киберинцидентов ¹. При этом целенаправленные атаки в уходящем году существенно преобладали над массовыми: в III квартале их доля составила 65% (против 59% во II квартале и 47% в I). В контексте кибербезопасности 2019 год прошел под знаком APT-атак, поиска аппаратных уязвимостей и громких утечек данных.

Наша статистика показывает, что доля атак, направленных на кражу информации, растет и составляет более 60% по итогам III квартала 2019 года. Доля финансово мотивированных атак при этом за тот же период составила 31%. Утечка персональных данных в результате кибератаки по-прежнему остается одной из наиболее актуальных угроз: в III квартале персональные данные составили четверть от общего объема похищенной информации.

Сами организации отмечают, что в большинстве случаев они сталкиваются с угрозой утечки информации. Напомним, что украдены могут быть не только конфиденциальные документы, но и учетные данные сотрудников. Это может стать промежуточным этапом в сложной схеме — конечной целью может быть доступ к почтовому домену (отправка писем от лица компании, spear phishing), к коду программного обеспечения (внесение в код вредоносных скриптов, supply chain attack) и непосредственно к инфраструктуре клиентов или контрагентов.

В сфере СМБ отличия незначительны. Чаще всего компании сталкиваются с утечкой информации, уничтожением и подменой данных. В качестве последствий от атаки выделяется простой инфраструктуры и ущерб репутации. 15% респондентов отметили в качестве последствия от кибератаки прямые финансовые потери. Потеря клиентов актуальна для 12% опрошенных. Наш опыт показывает, что все большую актуальность приобретает сегодня тренд, связанный с атаками на организации через доверенные источники (менее защищенных партнеров, поставщиков, клиентов и пр.), что стирает границы между организациями малого, среднего и крупного бизнеса с точки зрения киберзащищенности. Фишинг от лица доверенной организации входит сегодня в топ-3 наиболее эффективных и часто используемых методов атаки.

Сегодня компании начали действительно интересоваться кибербезопасностью, выявлять инциденты в собственной инфраструктуре, анализировать действия хакеров, задаваться вопросом о том, готова ли их инфраструктура к атакам. Это, определенно, положительная тенденция.

Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

¹ Эти выводы подтверждаются данными Генеральной прокуратуры: число преступлений в сфере ИТ в уходящем году выросло почти вдвое по сравнению с 2018 годом и к концу года может достичь 270 000 только зарегистрированных случаев, то есть 14% от общего числа всех зарегистрированных преступлений в России.

Конечно, компаниям из сегмента СМБ сложно противостоять нападениям хакерских группировок, особенно АРТ-атакам. Защита от них требует и инвестиций в инфраструктуру, и специализированные средства защиты, и содержание квалифицированных специалистов. Тем не менее, и для небольшого бизнеса существуют способы защитить данные.

Исследование Positive Technologies показывает, что СМБ-компании в большинстве случаев уже используют типовые средства защиты: антивирусы, IPS/IDS, межсетевые экраны (web application firewall, WAF). Однако вслед за ростом угроз компании начинают использовать и такие технологии для защиты, как песочницы и системы глубокого анализа трафика (network traffic analysis).

Компаниям, которые не могут много инвестировать в кибербезопасность, следует в первую очередь обратить внимание на актуальность своих систем. Лицензионное ПО, современная операционная система, которая регулярно получает обновления безопасности, и периодический аудит инфраструктуры существенно облегчат задачу, так же, как использование облачных решений, защищенных на уровне поставщика услуг.

«Стоит также отметить, что, по данным отчета Microsoft Security Intelligence Report, 99,9% атак на учетные записи были успешно предотвращены путем включения многофакторной аутентификации (Multi-Factor Authentication — MFA), которая сегодня является одним из наиболее важных инструментов безопасности», — рассказывает Артём Синицын.

Важна и работа с персоналом, который должен четко придерживаться правил поведения в цифровом пространстве. По данным исследования TAdviser и Microsoft, 48% респондентов считают регулярные тренинги по ИБ для персонала самой эффективной защитой. 47% ответили, что избежать атак поможет использование средств криптозащиты, а 32% респондентов отметили необходимость использования современных устройств. Наконец, можно и нужно пользоваться услугами специализированных компаний на аутсорсе.

Блоги по информационной безопасности | Алексей Комаров

Абдуллин Рустам (@rustam_abdullin)	Занимайтесь тем немногим, что вас действительно волнует
Андрей Ситнов (@SitNoff)	Информация без опасностей
Барсуков Олег	Записки безопасника
Батранков Денис (@batrankov)	Солянка
Борисов Илья	Si vis pacem para bellum — Блог об информационной безопасности
Брауде-Золотарёв Михаил	Электронное правительство
Бурцев Игорь	ИБ и БС
Веселов Александр (@a1ex_vese1ov)	Про отечественный VPN и не только
Германович Александр	Another Brick in the Firewall
Глебов Олег	Безопасное авторство
Городилов Сергей (@Crisisideas)	Смотря как смотреть
Давыдыч Виктор	Безопасность — основа уверенности
Дарбинян Саркис (@sardarbinyan)	Всё про Интернет право
Дельва Александр (@pshknst)	блог пушкиниста
Ефремов Алексей	a_yefremov
Журавлев Владимир	Постатейный Комментарий Безопасности
Зайцев Антон	Бизнес и безопасность
Зырянов Михаил	Об ИТ и ИБ — для тех, кто ищет в них пользу для бизнеса
Картамышев Антон (ZZubra)	По закону
Качалин Алексей (@kchln)	Качалин Про/Личное
Качалин Алексей (@kchln)	Журнал Изменений
Комаров Алексей (@zlonov)(zlonov)	Персональный сайт Алексея Комарова
КР Евгений	Практическая информационная безопасность
Лобода Павел	Инженер ИБ
Лысюк Андрей (Asterix)	Who will guard the guardians?
Макаренко А.С.	Защищаемся вместе и по отдельности
Манцулич Виталий	Информационное доверие и безопасность как сервис
Матиев Джабраил (@gialgia)	Secure Your Life
Медюшко Сергей	Защита информации / информационная безопасность
Меньшиков Сергей	Жизнь вокруг ИБ
Мир Павел	Интересное о защите информации и не только…
Мусатов Константин	Управление непрерывностью бизнеса
не указано	It & Security
Никитенко Алексей	Qualys
Никитенко Алексей	Все об анализе защищенности, поиске уязвимостей и реальной информационной безопасности
Новокрещенов Михаил	Без опаски
Нуйкин Андрей	Обо всем по чуть-чуть…
Пермяков Руслан (@pra_nsk)	Безопасность в ответах и вопросах
Петращук Дмитрий	dmpet: умные мысли
Ригель (@xpomob)	Ригельз дыбр
Родыгин Евгений (@e_v_rodigin)	rodigin.wordpress.com
Рындин Владимир (@ryndinvs )	Безопасность и то, что рядом
Скляр Владимир	R&D in Safety and Security
Стулова Елена	Информационная безопасность
Троцкий А.	Занимательная безопасность
Хайров Игорь	Безопасность, как бизнес!
Чеканов Алексей (@achekanov)	Ничто не вечно, или немного о непрерывности бизнеса
Шипулин Антон (@shipulin_anton)	Безопасность АСУ ТП
Шпунт Яков	Об ИБ для домохозяек
RIISK	Немного о безопасности в Windows
volare	IT UNDERGROUND!

Услуги по ИТ-Безопасности для малого и среднего бизнеса

---

Несмотря на многовековую историю развития информационной безопасности, многие руководители все еще воспринимают ее, оперируя опытом первого периода. Тогда, до 19-го века, основной задачей ее была защита сведений жизненно важных для определенного человека или круга людей от попадания в посторонние руки.

За последние двести лет, благодаря быстро нарастающему темпу развития технических средств, информационная среда кардинально и стремительно эволюционировала. Это повлекло за собой расширение задач информационной безопасности, которые перечеркнули возможность устаревших подходов. Преобразования и глобализация информационных систем заставили полностью пересмотреть подход к категории информационной безопасности. Одних только классификаций угроз насчитываются десятки: по характеру, по тяжести, по направленности, по объекту, по завершенности, по мотивации, по происхождению и много других. Но, к сожалению, еще очень часто встречаются устаревшие или однонаправленные подходы, безграмотные предрассудки и заблуждения.

---

Построение информационной системы

В задачи этой статьи совершенно не входит штудирование теории или утомление читателя пространными рассуждениями. Мы предлагаем рассмотреть решения в сфере информационной безопасности на примере организации информационной системы компаний малого и среднего бизнеса.

С одной стороны развитие информационных технологий и глобализация систем передачи, хранения и обработки данных породили множество новых угроз: например, проходя мимо офисного здания и оказавшись в зоне действия сети Wi-Fi, можно подключиться к чьей-нибудь корпоративной сети. Но эта возможность обусловлена лишь непрофессиональным подходом к организации сети и игнорировании ряда характерных угроз. Поэтому, если подходить профессионально к вопросу, вооружиться знаниями в областях информационных технологий и информационной безопасности, то можно (и нужно) создавать производительные, доступные (как в финансовом, так и в информационном смысле), масштабируемые, безопасные системы под потребности любого предприятия.

Вспомним, как наши прапрадеды тратили долгие часы на путешествие по старой протоптанной тропинке от одного села к другому. А когда был изобретен автомобиль, сколько было страхов и противников этого небезопасного новшества? На сегодняшний день в мире широкая инфраструктура автодорог, развитием которой занимаются специализированные институты. Над производством автомобилей, автотоваров, горюче-смазочных материалов, в обслуживании автотранспорта и автодорог трудятся миллионы человек по всему миру. Конечному пользователю, кроме заправленного авто, остается лишь знать, понимать и соблюдать правила безопасности дорожного движения — можно в путь. А затраты на транспорт, тем не менее, окупаются благодаря мобильности, доступности, простоте и удобству решения.

Так и с построением информационной системы компании: развитая инфраструктура магистралей, скоростные транспортные средства-потоки, возможность прокладки оптимального маршрута. Выбираем центр будущей информационной системы и, основываясь на рекомендациях по информационной безопасности, схеме работы компании, ее потребностях в работе с информацией, строим оптимальную инфраструктуру.

По-настоящему эффективно защищать и контролировать удается только ту информацию, которая собрана в одном месте — централизована ее обработка.

При проектировании информационной системы, как и любой другой, необходимо учитывать каждую мелочь еще до начала проектирования. Иными словами, создание оптимальной модели обработки информации — это уже базовая ее защита, на основе которой мы выстраиваем информационную систему с заложенной в нее безопасностью. Это даст нам возможность гибко и эффективно развивать информационную безопасность на построенной системе, двигаясь в выбранных направлениях защиты. Но обо всем по порядку.

---

Централизация информационной системы

Основная суть оптимизации информационной системы — это централизация хранения, обработки и обслуживания коммерческой информации. Распределенная модель обработки данных хороша для межконтинентальных корпораций, которые, тем не менее, несут огромные трудовые и финансовые затраты на поддержание централизованного управления распределенной системой. Бесконтрольное распространение информации влечет за собой информационный хаос.

Подробнее ознакомиться с нюансами централизации информационной системы.

Схема 1 (щелкните для увеличения).

---

Защита от утечек информации

Итак, основные задачи по обеспечению доступности информации и обеспечению отказоустойчивости данная схема решает (Схема 1). А как эта схема будет работать при необходимости решения задач контроля над информацией и защите от утечек? Как уже говорилось, что наиболее эффективный контроль осуществляется централизовано,— вся информация хранится и обрабатывается в одном месте, а значит отследить и настроить то, к какой ее части имеет доступ сотрудник согласно своим обязанностям, не составит труда.

Защита от утечек, как и любой подход к безопасности должен быть комплексным. Иначе эффективность будет такой же, как, уходя из дома закрыть дверь на три замка, но оставить распахнутыми окна. Первое, на что стоит обратить внимание: более 80% утечек происходят по неосторожности, неумению, ошибке или злому умыслу сотрудников компании (инсайдеров).

В виду высокого риска утечки информации по вине внутренних сотрудников, построение защиты необходимо начинать с разграничения прав доступа.

---

Защита голосовых каналов передачи информации

Для защиты голосовых каналов связи мы внедряем IP-телефонию. Благодаря цифровой системе передачи голоса, данная технология сильно усложняет и делает практически невозможным процесс перехвата телефонных переговоров. Получается, что защита, создаваемая данным решением, требует гораздо меньше трудозатрат и квалификации специалистов, чем для перехвата разговоров. Ниже приведены наиболее актуальные возможности решения.

1. IP-телефония снижает расходы на связь с филиалами и сотрудниками вне офиса (передача информации ведется через интернет).
2. Возможность шифрования убережет от прослушивания телефонных разговоров.
3. По журналу телефонии легко найти любой звонок и прослушать содержание разговора, что позволит упростить выявления виновника утечки.
4. Объединение филиалов в единое адресное пространство снизит затраты на связь и повысит производительность сотрудников и качество совместной работы.
5. Интеграция с различными ERP и CRM системами повысит эффективность работы и управляемость компании.

Не менее востребованной задачей является шифрование разговоров в сетях мобильных операторов. Очевидно, что в наш век мобильных технологий нельзя работать исключительно в офисе. Так, имея в распоряжении два смартфона и специальное программное обеспечение, можно обеспечить защищенную от прослушивания мобильную связь. Для более требовательных к безопасности пользователей существуют криптотелефоны с шифрованием на аппаратном уровне, исключающие возможность «списывания» голоса с микрофона устройства.

---

Защита клиентской базы

В багаже наших внедрений существует еще одно полезное решение. Возможность установки аналитической системы управления взаимоотношений с клиентами 1C:Предприятие 8. CRM и ее интеграция с IP-телефонией. Это решение, в основе своей, предотвращает утечку клиентов из компании лично недобросовестному менеджеру по продажам! Как это работает: сервер телефонии передает информацию обо всех входящих и исходящих звонках системе CRM, которая соотносит номера телефонов с контрагентами и фиксирует события в их карточке, также записывается содержание разговора. Таким образом, руководитель может проанализировать все поступающие интересы от клиентов и их отработку менеджерами компании (Схема 2).

Схема 2 (щелкните для увеличения).

---

Защита системы клиент-банк, сетей Wi-Fi, резервных копий

Создавая защищенную, производительную информационную систему, необходимо изначально учитывать наиболее критичные риски. Многие руководители и не подозревают, что их системные администраторы игнорируют многие угрозы. Вот примеры из нашей практики.

Актуальная проблема по защите рабочего места с системой дистанционного банковского обслуживания (клиент-банк). Подробнее об актуальности угроз и защите систем ДБО.

Дополнительное резервное копирование важной информации на сетевую систему хранения данных, которая расположена в удаленном офисе. Это позволит сохранить данные в случае пожара в центральном офисе, затопления или изъятия серверов. Также необходимо регулярно проверять актуальность и целостность резервных копий.

Современные технологии Wi-Fi облегчают жизнь пользователям, использующим переносные компьютеры. Но они же накладывают на администраторов повышенную ответственность по настройке и защите беспроводных сетей. Мы категорически против использования уязвимых систем аутентификации WPA2-PSK и более ранних, которые, к сожалению, встречаются в большинстве компаний. Ознакомиться с решениями для удобной настройки и эффективной защиты Wi-Fi.

---

Не только технические средства

И в заключение необходимо сказать еще об одном предрассудке. Существует стойкое заблуждение, что информационную безопасность можно обеспечить лишь техническими средствами. Это не так. Как показывает практика, в мире не существует идеальной «защиты от дурака». Это первое. Во-вторых, безопасность – это процесс, который необходимо поддерживать, в противном случае эффективность мер стремится к нулю.

На основании вышесказанного, мы проводим внедрение следующих организационных мер.

1. На уровне руководства предприятия создаются и утверждаются отдельным приказом регламенты информационной безопасности компании.
2. Каждый сотрудник подписывается под регламентами, подтверждая то, что ознакомлен и обязуется выполнять правила безопасности.
3. На кадровом уровне проводится работа по ознакомлению и разъяснению выдвигаемых требований соблюдения безопасности и их выполнению – сотрудники подписывают соглашение о конфиденциальности и коммерческой тайне.
4. На административном уровне проводятся регулярный аудит информационной безопасности и выполнение сотрудниками требований безопасности.
5. На техническом уровне проводятся регулярные регламентные работы по поддержанию уровня безопасности: проверка работоспособности и отказоустойчивости узлов информационной системы, проверка резервных копий, отработка на учениях отказов системы, форс-мажоров и нарушений безопасности.

Как видно из статьи, что в обеспечении информационной безопасности нет ничего сложного для специалистов, знакомых с теорией, и имеющих опыт практических внедрений. Знание и соблюдение этих правил не сложнее соблюдения правил безопасности дорожного движения или охраны труда.

---

Собираем элементы в полноценную систему

Нам осталось лишь собрать воедино все те нюансы, о которых говорили ранее и из этих кубиков знаний построить модель идеальной, по нашему мнению, информационной системы компании. Схема 3 наглядно отображает суть этой модели. Рассмотрим ее по этапам, опираясь на роли, которые исполняют сегменты системы.

Схема 3 (щелкните для увеличения).

Этап I. Построение основы. Сердцем информационной системы компании, основными аппаратными мощностями, является кластер носителей виртуальных серверов. Он обеспечивает работу, дублирование и резервирование любых серверных ролей в зависимости от потребностей предприятия.

Этап II. Создание системы аутентификации. Связка контроллера домена, центра сертификатов и RADIUS-сервера обеспечивает надежную централизованную авторизацию всех пользователей системы и эффективное управление пользовательскими правами доступа и учетными записями.

Этап III. Организация работы пользователей. Кластер серверов терминалов организует работу всех сотрудников непосредственно на серверах компании. Пользовательские компьютеры, ноутбуки или нетбуки используются лишь для доступа к терминальному серверу, а всю нагрузку по работе с офисными программами берут на себя сервера компании. Таким образом, при срочной необходимости, работать можно даже с низкопроизводительных планшетов и бюджетных нетбуков. Использование терминальных серверов позволяет ограничить скачивание информации на локальные устройства, что исключает необходимость следить за работой с документами на последних.

Этап IV. Защита съемных накопителей и переносных устройств. Если в компании все же остается необходимость работы определенных сотрудников с информацией на мобильных устройствах или использования съемных носителей, то внедряется шифрование этого оборудования. Так, при краже или утере устройства, важная корпоративная информация останется недоступной для посторонних.

Этап V. Организация работы с учетными системами. Сервер 1С и сервер системы управления базами данных обеспечивают комфортную работу с учетной программой предприятия. Доступ к сервисам обеспечивается посредством сервера терминалов, но доступность, производительность и надежность такого подхода в десятки раз выше, чем у файловой версии продукта.

Этап VI. Построение корпоративного хранилища информации. Файловый сервер — центр хранения документов компании. Во избежание несанкционированного доступа к информации, ее кражи или утери мы организуем каталогизацию данных, разрабатываем групповые политики безопасности для компании, настраиваем разграничение прав доступа,— хранение и контроль над данными на этом сервере.

Этап VII. Внедрение мониторинга за действиями пользователей. Помимо стандартных журналов систем, дополнительный контроль, аналитику работы сотрудников с информацией, предотвращение утечки данных обеспечивает сервер мониторинга. Это может быть полноценная тяжеловесная система предотвращения утечек информации или ограниченные программы контроля над действиями пользователей. Протоколирование поведения пользователей позволит успешно расследовать инциденты нарушения безопасности, а также контролировать использование рабочего времени сотрудниками. Кроме того, системы предотвращения утечек оповещают ответственного работника о возможностях передачи конфиденциальных данных и, даже, блокировать их.

Этап VIII. Разграничение локальной сети. Коммутатор VLAN, кроме функций обычного коммутатора, отделяет сетевое пространство компании от уязвимого рабочего места с системой «клиент-банк», а гостевой Wi-Fi выводит в демилитаризованную зону.

Этап IX. Защита системы клиент-банк. Для исключения нежелательных манипуляций с системой дистанционного банковского обслуживания мы препятствуем постороннему доступу к рабочему месту с системой, как изнутри, так и извне, а так же проводим комплекс мероприятий по обеспечению безопасности этого рабочего места.

Этап X. Защита Wi-Fi. Использование передовых сетевых технологий позволяет предотвратить взлом корпоративной сети Wi-Fi или доступ к данным компании через гостевую сеть.

Этап XI. Организация бесперебойной связи с центральным офисом. Серверы телефонии, маршрутизации и фильтрации интернет-соединений не особо требовательны к аппаратному обеспечению — их мы размещаем на одном аппаратном сервере. А вот способность роутера поддерживать динамическую маршрутизацию (OSPF) позволяет организовать бесперебойный доступ к информационной системе при «падении» основного канала связи.

Этап XII. Защита голосовых каналов. Использование IP-телефонии и шифрованный протокол TLS предотвратит возможность прослушивания телефонных переговоров компании.

Этап XIII. Организация контроля входящих интересов. Интеграция IP-телефонии с системой CRM позволит отслеживать взаимоотношения с контрагентами, что предотвратит «увод» клиентов недобросовестными менеджерами.

Этап XIV. Административный уровень. Создание регламента информационной безопасности, ознакомление всех подразделений и служб компании с требованиями по защите информации и поддержания ее уровня.

---

Поручите сады садовнику

EFSOL — системный интегратор, специализируется на комплексной автоматизации предприятий. Специалисты EFSOL обладают многолетним опытом в сфере разработки и внедрения информационных систем. Накопленный опыт тысяч внедрений позволяет нашим специалистам сразу видеть реальную проблематику клиентов и предлагать решения, удовлетворяющие именно их бизнес-модели, а не внедрять безопасность ради самой безопасности.

КОРПОРАТИВНАЯ СИСТЕМА БЕЗОПАСНОСТИ БИЗНЕСА

Николай Козлов

Руководитель Управления специальных проектов

НЕСТЛЕ РОССИЯ

Татьяна Уштанит

Начальник управления по рискам

УРАЛКАЛИЙ

Лев Палей

Начальник службы информационной безопасности

СО ЕЭС

Ирина Макаренко

Руководитель

БЮРО СУДЕБНОЙ ПСИХОФИЗИОЛОГИИ И ПОВЕДЕНЧЕСКОГО АНАЛИЗА

Яна Крухмалева

Директор по развитию цифровой инфраструктуры

ГАЗПРОМ МЕДИА

Андрей Гадицкий

Руководитель отдела предотвращения потерь

ГИПЕРМАРКЕТ HOFF

Светлана Зуева

Руководитель по управлению рисками безопасности

ВЫМПЕЛКОМ

Андрей Дурнев

Директор по безопасности и непрерывности бизнеса в России и странах СНГ

ДПД РУС

Владимир Кочанов

Директор по безопасности

АВТОХОЛДИНГ МАКСИМУМ

Олег Журавлев

Вице-президент

НАЦИОНАЛЬНАЯ ЛИГА ТРЕНЕРОВ И КОНСУЛЬТАНТОВ

Алексей Филатов

ЭКСПЕРТ-ПРОФАЙЛЕР МЕЖДУНАРОДНОГО УРОВНЯ

Михаил Ельчанинов

Руководитель по безопасности Распределительного центра

LAMODA

Евгений Матюшунок

Директор по продажам в РФ и СНГ

СЁРЧИНФОРМ

Томас Ермолаев

ЭКС-ДИРЕКТОР СЛУЖБЫ БЕЗОПАСНОСТИ

ФОЛЬКСВАГЕН ГРУП РУС

Марина Марченко

Директор

ГИПЕРСТРОЙ

Максим Олейник

ЭКСПЕРТ ПО БЕЗОПАСНОСТИ

Сергей Рысин

Главный специалист по технической защите информации

HEADHUNTER

Дарья Кристаль

АДВОКАТ | БИЗНЕС-ТРЕНЕР

Игорь Хобта

Security manager

REGSTAER

Юрий Евтин

Руководитель Службы безопасности

ЭКСТРА М

Сергей Журин

Начальник разработки информационных систем

СНПО ЭЛЕРОН

Руководитель службы безопасности (3 модуль)

Пользовательское соглашение

1. Я (Клиент), настоящим выражаю свое согласие на обработку моих персональных данных, полученных от меня в ходе отправления заявки на получение информационно-консультационных услуг/приема на обучение по образовательным программам.

2. Я подтверждаю, что указанный мною номер мобильного телефона, является моим личным номером телефона, выделенным мне оператором сотовой связи, и готов нести ответственность за негативные последствия, вызванные указанием мной номера мобильного телефона, принадлежащего другому лицу.

В Группу компаний входят:
1. ООО «МБШ», юридический адрес: 119334, г. Москва, Ленинский проспект, д. 38 А.
2. АНО ДПО «МОСКОВСКАЯ БИЗНЕС ШКОЛА», юридический адрес: 119334, Москва, Ленинский проспект, д. 38 А.

3. В рамках настоящего соглашения под «персональными данными» понимаются:
Персональные данные, которые Клиент предоставляет о себе осознанно и самостоятельно при оформлении Заявки на обучение/получение информационно консультационных услуг на страницах Сайта Группы компаний http://mbschool.ru/seminars
(а именно: фамилия, имя, отчество (если есть), год рождения, уровень образования Клиента, выбранная программа обучения, город проживания, номер мобильного телефона, адрес электронной почты).

4. Клиент — физическое лицо (лицо, являющееся законным представителем физического лица, не достигшего 18 лет, в соответствии с законодательством РФ), заполнившее Заявку на обучение/на получение информационно-консультационных услуг на Сайта Группы компаний, выразившее таким образом своё намерение воспользоваться образовательными/информационно-консультационными услугами Группы компаний.

5. Группа компаний в общем случае не проверяет достоверность персональных данных, предоставляемых Клиентом, и не осуществляет контроль за его дееспособностью. Однако Группа компаний исходит из того, что Клиент предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в форме регистрации (форма Заявки), и поддерживает эту информацию в актуальном состоянии.

6. Группа компаний собирает и хранит только те персональные данные, которые необходимы для проведения приема на обучение/получения информационно-консультационных услуг у Группы компаний и организации оказания образовательных/информационно-консультационных услуг (исполнения соглашений и договоров с Клиентом).

7. Собираемая информация позволяет отправлять на адрес электронной почты и номер мобильного телефона, указанные Клиентом, информацию в виде электронных писем и СМС-сообщений по каналам связи (СМС-рассылка) в целях проведения приема для оказания Группой компаний услуг, организации образовательного процесса, отправки важных уведомлений, таких как изменение положений, условий и политики Группы компаний. Так же такая информация необходима для оперативного информирования Клиента обо всех изменениях условий оказания информационно-консультационных услуг и организации образовательного и процесса приема на обучение в Группу компаний, информирования Клиента о предстоящих акциях, ближайших событиях и других мероприятиях Группы компаний, путем направления ему рассылок и информационных сообщений, а также в целях идентификации стороны в рамках соглашений и договоров с Группой компаний, связи с Клиентом, в том числе направления уведомлений, запросов и информации, касающихся оказания услуг, а также обработки запросов и заявок от Клиента.

8. При работе с персональными данными Клиента Группа компаний руководствуется Федеральным законом РФ № 152-ФЗ от 27 июля 2006г. «О персональных данных».

9. Я проинформирован, что в любое время могу отказаться от получения на адрес электронной почты информации путем направления электронного письма на адрес: [email protected]. Также отказаться от получения информации на адрес электронной почты возможно в любое время, кликнув по ссылке «Отписаться» внизу письма.

10. Я проинформирован, что в любое время могу отказаться от получения на указанный мной номер мобильного телефона СМС-рассылки, путем направления электронного письма на адрес: [email protected]

11. Группа компаний принимает необходимые и достаточные организационные и технические меры для защиты персональных данных Клиента от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

12. К настоящему соглашению и отношениям между Клиентом и Группой компаний, возникающим в связи с применением соглашения, подлежит применению право Российской Федерации.

13. Настоящим соглашением подтверждаю, что я старше 18 лет и принимаю условия, обозначенные текстом настоящего соглашения, а также даю свое полное добровольное согласие на обработку своих персональных данных.

14. Настоящее соглашение, регулирующее отношения Клиента и Группы компаний действует на протяжении всего периода предоставления Услуг и доступа Клиента к персонализированным сервисам Сайта Группы компаний.

ООО «МБШ» юридический адрес: 119334, Москва, Ленинский проспект, д. 38 А, этаж 2, пом. ХХХIII, ком. 11.

Адрес электронной почты: [email protected]
Тел: 8 800 333 86 68, 7 (495) 646-75-17

Дата последнего обновления: 28.11.2019 г.

Риски открытия нового бизнеса без страховки

Кэл Дж. Халворсен 3 минуты Прочитать

Эта история отражает точку зрения автора, но не обязательно позицию редакции Fast Company.

---

Многие американцы видят в предпринимателях спасителей наших дней — двигателей экономического роста и инноваций в наших сообществах, на рабочих местах и ​​в повседневной жизни. Мы любим читать истории об основателях, которые сами добились своего, бросивших колледж, которые начали свои предприятия из гаражей, и истории успеха из грязи к богатству.Мы прославляем предпринимательство, и наши политики часто называют владельцев бизнеса героями нашей страны.

Я здесь не для того, чтобы утверждать, что предпринимательство — это плохо по своей сути. Новые предприятия с по способствуют экономическому росту и, в свою очередь, созданию рабочих мест. Но сегодняшняя культура привлечения капитала делает открытие бизнеса легким даже для тех, кто не имеет страховочной сети, к которой можно было бы прибегнуть. Это проблема, особенно для предпринимателей, которые решают вступить в игру в возрасте 50 лет и старше.

Неприятная реальность открытия бизнеса

Предпринимательство — ненадежный вид работы: только около половины всех фирм доживают до своего пятого дня рождения. По данным министерства финансов, если предположить, что они продолжают заниматься бизнесом, у предпринимателей часто отсутствует медицинская страховка. Они рискуют оказаться в бедности при выходе на пенсию, и только 8% вносят взносы в пенсионный план в течение одного года. Это предвещает ужасное будущее для многих американцев, учитывая, что только каждый пятый работник в возрасте 50 лет и старше, включая их супругов, накопил менее 1000 долларов на пенсию.Это число становится меньше, чем вы моложе.

Те, кто имеет более высокий уровень активов, супруги, имеющие постоянную работу, или семьи с небольшим достатком, находятся в лучшем месте для начала бизнеса. Если их предприятия терпят неудачу, им есть к чему прибегнуть. Но как насчет большинства американцев, не имеющих достаточных срочных или пенсионных сбережений и которым необходим доступ к спонсируемому работодателем медицинскому страхованию, чтобы снизить его стоимость?

Предпринимательство особенно опасно для пожилых работников

Вот что мы знаем.Предпринимательство — причудливое слово, которое часто заменяют самозанятостью — с меньшей вероятностью принесет важные преимущества, связанные с традиционным рабочим местом. Это касается людей всех возрастов, но это особенно важно для каждого пятого работника в возрасте 50 лет и старше, который занимается индивидуальной трудовой деятельностью и приближается к типичному пенсионному возрасту. Эти люди, большинство из которых слишком молоды, чтобы иметь право на участие в программе Medicare — всеобщей программе здравоохранения нашей страны для лиц 65 лет и старше, — с гораздо меньшей вероятностью получат медицинское страхование и пенсионные пособия.

У пенсионеров, которые возвращаются на рынок труда через предпринимательство, их непенсионное благосостояние часто снижается. И вопреки распространенному мнению, предприниматели в среднем зарабатывают меньше, чем их коллеги, которые работают на кого-то другого. Имея меньше времени для компенсации потерь, риски, связанные с предпринимательством, неизбежно возрастают с возрастом.

Конечно, предприниматели начинают бизнес по другим причинам. Они хотят быть самими себе хозяевами и видят в этом лучший способ отдать долг будущим поколениям.Кроме того, есть и те, кто вынужден заниматься предпринимательством из-за безработицы или дискриминации по возрасту.

Важность программ социальной защиты

Наша система социальной защиты связывает существенные преимущества, которые способствуют более долгой, здоровой и счастливой жизни — медицинское страхование и пенсионные сбережения — с рабочим местом. Ирония заключается в том, что предприниматели, которых мы любим провозглашать воплощением американской мечты, часто оказываются теми, чья дальнейшая жизнь подвергается наибольшему риску.

Но надо честно говорить о плюсах и минусах этой работы, особенно для тех, кто приближается к пенсионному возрасту.Нам необходимо облегчить людям всех возрастов доступ к ключевым программам социальной защиты, таким как доступное медицинское страхование, «продовольственные талоны» и страхование от безработицы, и в то же время спросить себя, почему ключевые программы, которые так напрямую связаны с нашими Для физического и финансового благополучия часто требуется хорошая работа (а не просто работа).

Были попытки решить эту проблему. Сенатор Марк Уорнер (D-VA) представил закон, создающий пилотную программу, которая будет финансировать переносные пособия — то, чем могут воспользоваться предприниматели.Вашингтон также представил аналогичный закон в 2017 году (и вновь внес его в 2018 году). К сожалению, в обоих направлениях мы не достигли значительного прогресса.

Многие из этих пособий на рабочем месте слишком дороги для одного человека, чтобы позволить себе его в одиночку, особенно для пожилых предпринимателей, но в составе группы они могут стать более доступными.

Что делать потенциальным предпринимателям при отсутствии такой защиты? Знайте, что предпринимательство может быть игрой с высоким риском и большим вознаграждением. Делай свою домашнюю работу.А если вы старше и приближаетесь к пенсии, будьте особенно бдительны при оценке этих рисков. Если что-то случится, важно иметь страховочную сетку, на которую можно рассчитывать. В настоящее время наша страна его не предоставляет.

С какими рисками сталкивается предприниматель?

Большинство предпринимателей по натуре склонны к риску. Многие предприниматели рискуют всем, что у них есть, когда решают открыть бизнес. Для предпринимателей нет гарантированного ежемесячного дохода, и времяпрепровождение с семьей может быть проблемой.Вот некоторые из рисков, которые каждый предприниматель и инвестор должен оценить и минимизировать, прежде чем начинать бизнес.

Ключевые выводы

• Предприниматели сталкиваются с многочисленными рисками, такими как банкротство, финансовый риск, конкурентные риски, экологические риски, репутационные риски, а также политические и экономические риски.
• Предприниматели должны грамотно планировать бюджет и показывать инвесторам, что они учитывают риски, создавая реалистичный бизнес-план.
• Предприниматели также должны рассматривать технологические изменения как фактор риска.
• Рыночный спрос непредсказуем, поскольку потребительские тенденции могут быстро меняться, создавая проблемы для предпринимателей.

Финансовый риск

Предпринимателю потребуются средства для открытия бизнеса в виде ссуд от инвесторов, собственных сбережений или средств от семьи. Основателю придется выложить собственную «шкуру в игру». Любой новый бизнес должен иметь финансовый план в рамках общего бизнес-плана, показывающий прогнозы доходов, сколько денежных средств потребуется для обеспечения безубыточности и ожидаемую прибыль для инвесторов в первые пять лет.Отсутствие точного планирования может означать, что предприниматель рискует банкротством, а инвесторы ничего не получают.

Предприниматели сталкиваются с множеством рисков, создавая предприятие, и им следует принять меры по страхованию от тех, которые с наибольшей вероятностью могут на них повлиять.

Стратегический риск

Впечатляющий бизнес-план понравится инвесторам. Однако мы живем в динамичном и быстро меняющемся мире, где стратегии могут быстро устареть. Изменения на рынке или в деловой среде могут означать, что выбранная стратегия неверна, и компания может с трудом достичь своих контрольных показателей и ключевых показателей эффективности (KPI).

Технологический риск

Новые технологии появляются постоянно, особенно в эпоху Четвертой промышленной революции. Некоторые из этих изменений можно охарактеризовать как «смену парадигмы» или «прорывные» технологии. Чтобы быть конкурентоспособной, новой компании, возможно, придется вложить значительные средства в новые системы и процессы, что может существенно повлиять на чистую прибыль.

Рыночный риск

Многие факторы могут повлиять на рынок продукта или услуги. Взлеты и падения экономики и новые рыночные тенденции создают риск для новых предприятий, и определенный продукт может быть популярным в один год, но не в следующий.Например, если экономика резко упадет, люди будут менее склонны покупать предметы роскоши или мелочи. Если конкурент запускает аналогичный продукт по более низкой цене, он может украсть долю рынка. Предприниматели должны проводить анализ рынка, который оценивает рыночные факторы, спрос на продукт или услугу и поведение клиентов.

Конкурентный риск

Предприниматель всегда должен знать своих конкурентов. Если конкурентов нет вообще, это может указывать на отсутствие спроса на товар.Если есть несколько более крупных конкурентов, рынок может быть насыщен, или компания может изо всех сил пытаться конкурировать. Кроме того, предприниматели с новыми идеями и инновациями должны защищать интеллектуальную собственность, получая патенты для защиты от конкурентов.

Репутационный риск

Репутация бизнеса — это все, и это может быть особенно важно, когда начинается новый бизнес и у клиентов есть предвзятые ожидания. Если новая компания разочаровывает потребителей на начальных этапах, она может никогда не набрать обороты.Социальные сети играют огромную роль в деловой репутации и устном маркетинге. Один твит или негативный пост от недовольного покупателя может означать огромную потерю дохода. Репутационным риском можно управлять с помощью стратегии, которая передает информацию о продукте и выстраивает отношения с потребителями и другими заинтересованными сторонами.

Экологические, политические и экономические риски

Некоторые вещи невозможно контролировать с помощью хорошего бизнес-плана или правильной страховки. Землетрясения, торнадо, ураганы, войны и рецессии — все это риски, с которыми могут столкнуться компании и новые предприниматели.В слаборазвитой стране может быть сильный рынок для продукта, но эти страны могут быть нестабильными и небезопасными, либо логистика, налоговые ставки или тарифы могут затруднить торговлю в зависимости от политического климата в любой момент времени. Кроме того, в некоторых бизнес-секторах исторически высокий уровень неудач, и предпринимателям в этих секторах может быть трудно найти инвесторов. К этим секторам относятся общественное питание, розничная торговля и консалтинг.

56%

Процент малых предприятий, созданных в 2014 году и доживших до пяти лет, по данным Бюро статистики труда.

Итог

Бюро статистики труда США обнаружило, что из малых предприятий, которые были созданы в 2014 году, 80% дожили до второго года (2015), 70% — до третьего года (2016), 62% — до четвертого года. (2017), а 56% дошли до пятого года (2018). Предприниматели должны ожидать некоторых ошибок, некоторые из которых будут дорогостоящими. Однако при правильном планировании, финансировании и гибкости у предприятий больше шансов на успех.

Как предприниматели могут снизить финансовые риски нового бизнеса

Нет сомнений в том, что открытие нового бизнеса сопряжено с финансовыми рисками.

Статистические данные о том, сколько предприятий терпят неудачу в первые год или два, расходятся, но очевидно, что больше предприятий терпят неудачу, чем те, которые выживают в первые несколько лет.

Если вы предприниматель, рассматривающий возможность открытия нового бизнеса, что можно сделать, чтобы улучшить эти шансы? В частности, как предприниматели могут снизить финансовые риски нового бизнеса? Вот несколько вещей, которые следует предпринять, чтобы снизить финансовые риски, если вы начинаете новый бизнес.

Разработайте твердый план

Одним из первых шагов, которые помогут предпринимателям снизить финансовые риски нового бизнеса, является разработка бизнес-плана.

Прежде чем приступить к делу, вы должны знать, сколько времени и капитала вы собираетесь инвестировать в свой новый бизнес. Кроме того, необходимо провести маркетинговые исследования. Это дает вам представление о том, имеет ли ваш новый бизнес шанс на успех или закончится неудачей, и вы попадете в ночлежку.

Выполнение тестов контроля качества

Вы должны внедрить обзоры обслуживания клиентов ваших продуктов или услуг, прежде чем предлагать их в широком масштабе. Создайте тестовую группу или бета-тест, чтобы вы могли улучшить их перед настоящим запуском.Это даст вам больше шансов на успех в вашем предприятии. Это поможет вам избежать запуска продукта, который потребует серьезной доработки, чтобы стать жизнеспособным.

Сохраняйте хорошие записи

Создайте систему учета, которая будет работать с самого начала вашего нового предприятия. Если вы создадите файловую систему и будете вести дела с документами, это поможет вам сэкономить время и деньги, когда пришло время оплачивать счета или подавать налоговую декларацию.

Лимит ссуд

Если вам необходимо начать с ссуды для бизнеса, сделайте ее настолько низкой, насколько вы можете с комфортом справиться, при этом обеспечив достаточно капитала и поддержки для обеспечения успеха.

Это может показаться расплывчатым, но сумма, которую вам нужно взять в долг, зависит от вашего собственного финансового положения и от того, какой тип бизнеса вы начинаете. Чтобы снизить свой финансовый риск, берите ссуду только в случае необходимости и старайтесь, чтобы она была как можно ниже. Если есть возможность финансировать свой бизнес без ссуд, это было бы идеально для снижения ваших финансовых рисков.

Сохранить низкую дебиторскую задолженность

Для того, чтобы оставаться в бизнесе, вам необходимо получать деньги за любой продукт или услугу, которые вы продаете.Следите за своей дебиторской задолженностью и убедитесь, что ваши клиенты вовремя оплачивают счета. Ваш успех или неудача зависят от способности вносить деньги в свой денежный поток.

Диверсификация доходов

По возможности получайте доход из более чем одного источника. Если ваш бизнес не работает, иметь запасной план, чтобы уберечь вас от банкротства, является хорошим бизнес-смыслом.

Купить Страхование

Приобретите страховку на случай смерти, бедствия и любых других событий, которые, по вашему мнению, могут поставить под угрозу ваш бизнес.Хотя покупка страховки будет стоить вам денег, душевное спокойствие, которое она приносит, стоит своих затрат, если она защищает вас от потери всего.

Сэкономьте деньги

Сэкономьте как можно больше денег. Создайте некоторую подушку безопасности в качестве дополнительной «страховки» на случай, если с вашим бизнесом случится бедствие и вам придется закрыть магазин. Это означает, что вам, возможно, придется сосредоточиться на улучшении своих личных финансов и иметь собственный личный фонд на случай чрезвычайных ситуаций, прежде чем начинать бизнес.

Как предприниматель, вы ничего не можете поделать с количеством новых предприятий, которые терпят крах каждый год.Вы также не можете на 100% гарантировать, что ваш собственный успех увенчается успехом. Однако вы можете предпринять шаги, чтобы снизить финансовые риски вашего нового бизнеса, увеличив шансы на успех.

«Бесстрашный предприниматель» — это миф: почему не нужно рисковать, чтобы построить успешный бизнес

Когда я был ребенком, я работал в магазине подарков двоюродного брата.

Мне было так скучно в это долгое жаркое лето, что я даже не попросила его заплатить мне.

Но однажды мне пришла в голову блестящая идея.Я ходил на холмы, собирал инжир в местных садах и продавал их туристам.

Я поделился этим планом со своим двоюродным братом.

«Это ужасная идея», — сказал он, качая головой. «Все будут спрашивать, откуда вы их взяли. Ты просто будешь вором ».

Это была моя первая бизнес-идея — и она провалилась еще до того, как началась.

---

Многие люди считают, что успешные предприниматели рождены для того, чтобы рисковать.

Либо вы были восьмилетним ребенком с киоском с лимонадом, либо у вас нет нужных вещей.

Как однажды сказал покойный Виктор Киам — бывший президент Remington и владелец New England Patriots:

«Предприниматели любят риск и готовы бросить кости, рискуя своими деньгами или репутацией в поддержку идеи или предприятия».

Я не согласен. Я не бесстрашный и не рискую.

Фактически, не рисковать:

• Позволяет мне построить бизнес с более чем 110 сотрудниками
• Позволяет моему стартапу JotForm обслуживать почти 4 миллиона пользователей
• Объясняет, почему я все еще владею 100% моего бизнеса
• В основе нашей великой корпоративной культуры

Чтобы поймите, что я имею в виду, позвольте мне поделиться своей историей — и тем, как мой опыт может укрепить ваш бизнес.

1. Учитесь на чужие цента (и время)

В исследовании 2015 года 72% старшеклассников в США заявили, что хотят открыть свой бизнес.

Более 60% планировали начать свой бизнес сразу после колледжа.

Это много подростков, переходящих прямо из класса в (надеюсь) зал заседаний. И для некоторых это правильный шаг.

Я также думаю, что нужно многому научиться, прежде чем приступить к предпринимательству.

Когда я учился в колледже, я создал инструмент членства для нашей студенческой организации. Я подумал, что другие люди тоже могут захотеть его использовать, поэтому я выпустил его как продукт с открытым исходным кодом. В конце концов люди начали платить мне за настройки.

Я был счастлив зарабатывать деньги, занимаясь любимой работой, поэтому провел зимние каникулы в выпускном классе, создавая платную версию.

Когда этот продукт начал приносить реальные деньги, я был на крючке. Я знал, что начну бизнес, но сначала найду работу на полную ставку.

Итак, я пять лет писал код для нью-йоркской медиа-компании. Я так много узнал за это время, от рабочих процессов до сотрудничества, стилей управления и того, как сплетни распространяются по организациям.

Все эти опыты до сих пор помогают мне — и я получил эти знания без всякого риска.

С моей зарплатой я мог продолжать создавать свой продукт в нерабочее время. На кону стояли только мое время и энергия.

Итог :

Чтобы построить успешный бизнес, не нужно рисковать.Учитесь в первую очередь на чужой копейке (и времени).

Построение вашего бизнеса на стороне может облегчить реальное финансовое давление. А если вы работаете полный или неполный рабочий день, вы можете применить полученные знания в своем бизнесе.

Просто попробуйте сделать что-нибудь (даже если это работа волонтера), что оттачивает ваши навыки и углубляет ваши знания.

Например, если вы хотите запустить онлайн-публикацию, попробуйте попасть в редакцию или заняться продажами СМИ.

2. Используйте то, что у вас есть

• MailChimp
• Lynda
• Shopify
• GoFundMe
• Tough doder
• Stock9 есть общее? Все они были настроены на многомиллионные оценки (даже если позже они получили финансирование).

  В мире стартапов так много внимания уделяется деньгам венчурных капиталистов, что легко забыть о начальной загрузке.

  Это не всегда возможно, но для многих это отличный вариант.

  Когда вы разрабатываете свою идею, вы можете не торопиться и оставаться за рулем без какого-либо давления со стороны инвесторов.

  Возьмем меня для примера.

  Я увидел потребность в онлайн-формах, когда работал в Нью-Йорке.

  Но я не уходил с работы до тех пор, пока мой побочный продукт (инструмент профиля) стабильно не зарабатывал больше, чем моя зарплата.

  После того, как я ушел, я потратил шесть месяцев на создание JotForm. Я выпустил бесплатную версию в 2006 году — и это был настоящий MVP. У него были только основные функции. Я хотел посмотреть, понравится ли это людям или они ими воспользуются.

  Если это не удастся, я вложил всего шесть месяцев своего времени и энергии, и у меня все еще был доход от побочного продукта, который помогал мне оставаться на плаву. Я использовал то, что у меня было.

  Как только я нанял нашего первого сотрудника, мы потратили еще год на создание премиум-версии. К концу 2007 года у нас было 500 платежеспособных клиентов.

  За последние 12 лет мы продолжали расти на этом фундаменте. У нас нет долгов, и мы никогда не вкладывали ни копейки во внешние инвестиции.

  Итог:

  Используйте имеющиеся у вас ресурсы, какими бы скромными они ни были. Поразительно, что возможно, когда вы определяете проблему и решаете ее за других.

  Также не торопитесь. Не беспокойтесь о графиках роста хоккейной клюшки или освещении в прессе. Продолжайте работать, продолжайте учиться и будьте терпеливы.

  Настойчивость уведет вас далеко.

  3. Сосредоточьтесь на чем-то одном

  Фокус — волшебное слово. Это также секрет устойчивого роста.

  Как объясняет автор и консультант Крис Зук:

  «На первый взгляд сужение фокуса для увеличения звучит почти нелогично. Но точно так же, как растения часто приходится сокращать, чтобы сосредоточить свою энергию на меньшем количестве более сильных ветвей, так и предприятия должны быть сокращены, чтобы противостоять их тенденции разветвляться больше, чем они должны.”

  В некотором смысле JotForm — скучная компания. Создаем онлайн-формы.

  Но мы стараемся делать это очень, очень хорошо. Это все, что мы делаем, и мы постоянно пытаемся улучшить качество обслуживания наших клиентов.

  Я знаю, что это может звучать как маркетинг 101 или общая PR-линия.

  Тем не менее, может быть на удивление сложно сосредоточиться на чем-то одном, особенно когда вы начинаете набирать обороты. Появляются новые возможности. У всех есть бесконечные и часто противоречивые представления о том, что вам делать дальше.

  Вот когда нужно стать безжалостным и не сбиться с курса.

  Итог:

  Сохраняйте концентрацию. Идите глубже, а не шире.

  Если вы попытаетесь делать много разных вещей, ваше время и энергия будут разбиты на части. Вы рискуете успехом своей основной идеи.

  Я не говорю, что вам не следует развиваться или прислушиваться к рынку, но постарайтесь не отвлекаться.

  Особый фокус — умный способ избежать риска.

  4. Помните, что денежный поток — королева

  Квартальная прибыль, налоговые категории, коэффициенты привлечения пользователей, просмотры страниц, охват рынка.

  Это все важные детали. Каждый бизнес должен платить налоги и отслеживать ключевые цифры.

  Я всегда работал с бухгалтером, но до недавнего времени управлял нашим денежным потоком.

  Вот что я искал:

  Растет ли наш банковский счет?

  Я не хочу подрывать реальные (и потенциально ценные) системы анализа денежных потоков, но устойчивый рост может быть таким простым:

  Вы прибыльны?

  Вы зарабатываете больше, чем тратите?

  Деньги на вашем банковском счете увеличиваются, остаются прежними или уменьшаются?

  Некоторые компании делают прогнозы продаж на три года и нанимают (или увольняют) персонал на основе этих цифр.У меня никогда не было такого мышления.

  Может быть, мы могли бы расти намного быстрее, но я никогда не беспокоился о деньгах. Я обычно хорошо сплю по ночам.

  Наши продажи обычно увеличиваются на 50% каждый год. Вот как мы добились устойчивого роста — и я по-прежнему не найму нового сотрудника, если у нас не будет в банке годового дохода от его зарплаты.

  Нет никакого риска.

  Итог:

  Ваш рост зависит от вашего дохода. Не увеличивайте свою команду или расходы, пока не вырастут продажи.Следите за своим денежным потоком и работайте по средствам.

  5. Помни о своих корнях

  В 2010 году Алли Уэбб открыла Drybar — парикмахерскую, предлагающую только услуги стирки и сушки феном. Сегодня Drybar имеет более 100 точек в США и Канаде.

  Компания столкнулась с жесткой конкуренцией, но ей удалось добиться успеха, предоставив исключительные возможности для всех, кто ее посещает.

  Как я уже упоминал выше, они сосредоточены на одном деле и делают это очень, очень хорошо.

  Самое главное, Drybar не отклонился от своей основной миссии. Как Уэбб рассказал Лиз Уэлч в истории для Inc .:

  .

  «Многие инвесторы говорили:« У нас есть эта заинтересованная аудитория. Это отличная возможность продавать много других вещей ». Я всегда сопротивлялся этому — и я думаю, что это находит отклик … Наши клиенты знают, что наши стилисты не собираются предлагать им покупать товары или их засыпают. Трудно быть действительно хорошим во многих вещах ».

  Мне нравится подход Уэбба.

  Наша компания занимается дизайном и разработкой. Мы одержимы улучшением продукта, а не его продажей. На протяжении многих лет мы, возможно, упускали возможности, но всегда оставались верными своей цели.

  Медленный рост, избегание рисков и ориентация на клиента также повлияли на культуру нашей компании. В первые годы в офисе нас было меньше пяти человек, поэтому мы проводили вместе целый день.

  Мы работали над одними и теми же проектами и говорили на одном языке.

  Сейчас мы намного больше, но мы сохранили культуру, в которой каждый глубоко заботится о продукте. У нас одна цель. Мы знаем, почему каждый день ходим на работу.

  Итог:

  Расти и развивайся, но не забывай о своей цели. И помните, что цель не обязательно должна начинаться с большой буквы.

  Алли Уэбб хотела предоставить женщинам доступные, но роскошные услуги по укладке. Этим все еще занимается ее компания.

  6.Всегда делитесь своей работой

  По словам разработчика и предпринимателя Джейсона Робертса, количество интуитивной прозорливости, которую вы испытываете…

  «… прямо пропорционально степени, в которой вы делаете то, что вам нравится, в сочетании с общим числом людей, которым это эффективно доводится».

  Он называет это вашей Поверхностью Удачи.

  Другими словами, вы можете создавать и приумножать свою удачу.

  Я усвоил это на собственном горьком опыте.В 2010 году мы решили провести капитальный ремонт нашего конструктора форм, который является сердцем продукта.

  Мы потратили целый год на его совершенствование за закрытыми дверями. Мы суетились, зацикливались и построили что-то, что мы сочли потрясающим.

  Когда мы наконец выпустили его, наши пользователи пришли в ярость. Продукт был завален ошибками. Мы сломали инструмент, на который они полагались в своей работе, в своих организациях и даже в своих хобби.

  Мы внимательно прислушались и вскоре исправили свои ошибки. Наша команда работала день и ночь, чтобы все исправить — и наверстать упущенное перед нашими клиентами.

  Когда пыль улеглась, я понял, что работа без обратной связи была большим риском. Вероятно, это был самый большой риск, на который я когда-либо шел.

  Мы сразу перешли на модель постоянного совершенствования. Теперь наши команды вносят изменения, тестируют их на реальных клиентах, настраивают и выпускают. Мы делаем это еженедельно, а иногда даже ежедневно.

  Итог:

  Постоянное совершенствование снижает ваш риск. Совместное использование того, что вы строите, также увеличивает вашу площадь поверхности удачи.

  Итак, не работайте в вакууме.

  Позвольте вашим клиентам, пользователям или аудитории участвовать в процессе, чтобы вы могли продолжать совершенствоваться.

  Следуй своему блаженству

  Подожди — останься со мной здесь. Обратите внимание, что я не сказал «следуй за своей мечтой».

  Если не считать неудачного плана продажи инжира, я никогда не мечтал стать предпринимателем.

  Я не мог представить свое лицо на обложке журнала или приземлиться массовые раунды финансирования.

  По правде говоря, я понятия не имел, как привлечь капитал.Я не понимал, что такое пиар. И я никогда не рисковал.

  Но я всегда любил создавать вещи. Я мог часами теряться в проекте кодирования.

  Еще в 2006 году я увидел необходимость, а потом меня осенила ошибка запуска. Если честно, то, что мне платили за работу, подтолкнуло меня к предпринимательству.

  Оглядываясь назад, я думаю, что если бы я не основал свою компанию, я бы стал менеджером по продукту в другой организации. Написание кода меня порадовало. Это было моим блаженством — и так оно и есть.

  Итак, знайте, что вам не нужно быть бесстрашным и рискованным гением, чтобы создать успешный бизнес. Вы можете двигаться медленно, расти в своем собственном темпе и учиться на ходу.

  Успех и неприятие риска могут идти рука об руку.

  А теперь иди по-своему.

  Эта статья изначально опубликована 23 июля 2018 г. и обновлена ​​11 мая 2021 г.

  Прибыль без риска? Не вероятно

  Еще возврат. Меньше риска. Кто мог возразить?

  Оказывается, много людей.Я спросил Питера Л. Бернстайна, автора некоторых из лучших книг по финансам, которые я когда-либо читал, в том числе «Против богов: замечательная история риска», об изменении инвестиционной стратегии. Он согласился, что это, вероятно, повысит доходность, но часть риска заставила его покачать головой.

  «Диверсификация действительно снижает волатильность, но риск разрушения экономики можно хеджировать только за счет владения казначейскими облигациями», — сказал г-н Бернстайн. «Таким образом, серьезный риск ухудшения ситуации, который действительно имеет значение, не уменьшается за счет большей диверсификации нового портфеля.Да, меньшие нисходящие потоки; более низкая волатильность в обычное время, да; да, и гораздо большие плюсы. Никаких споров по поводу плюсов. Это недостатки, когда я не вижу, где они могут сказать то, что они говорят ».

  Новая политика сильно отличается от старой, которая была принята в 2004 году — после того, как излишки бумаги агентства были уничтожены, когда цены на акции упали с 2000 на 2002 год. Политика 2004 года требовала только 25 процентов акций, хотя на практике агентство никогда не доходило до этого уровня. Аргументом тогда было то, что P.B.G.C. должна действовать как страховая компания и стремиться к тому, чтобы срок погашения своих активов соответствовал ее обязательствам.

  «Если бы мы не соответствовали нашим обязательствам, а просто полетели бы на луну, если хотите, налогоплательщик будет обеспечивать страхование портфеля наших ставок на рынке», — сказал Стивен А. Кандарян, который в то время был исполнительный директор агентства.

  Цви Боди, профессор финансов Бостонского университета, консультант P.B.G.C. и помог написать старую политику, говорит, что фундаментальный недостаток сильной зависимости от акций состоит в том, что агентство страхуется именно от падения стоимости американского фондового рынка.Пенсионные фонды не только владеют большим количеством акций — и вероятность их банкротства возрастает, если цены на акции падают, — но и резервной гарантией пенсионного фонда является стоимость капитала компании, учредившей пенсионный план.

  Мистер Боди, никогда не преуменьшающий значение, сравнивает P.B.G.C. полагаясь на акции страховой компании, инвестирующей выручку от страховых взносов от ураганов в недвижимость Флориды.

  Почему принятие риска важно в бизнесе

  ВЫ УЧИТЕСЬ НА РИСКЕ

  Некоторые риски могут и не окупиться, но оптимистичный человек, склонный к риску, всегда будет смотреть на неудачу как на возможность научиться.Готовность экспериментировать с новыми идеями — ключ к росту бизнеса. Как сказал Майкл Стельцнер: «Ничего не рискнули, ничего не выиграли».

  Неудача научит мыслить и планировать стратегически. Просто помните, что не все риски хороши, и когда вы терпите неудачу, извлекайте уроки из этого и двигайтесь вперед.

  ИННОВАЦИИ НЕ МОГУТ ПРОИЗВОДИТЬСЯ БЕЗ РИСКА

  Инновации подразумевают изменение того, как люди делают что-то. Речь идет о том, чтобы делиться тем, что мы знаем, и учить нас, а также воплощать новые идеи в жизнь.

  Инновации невозможны, если вы не примете риск того, что ваше предприятие может потерпеть неудачу. Однако уровень риска можно снизить, если вы произведете все возможные расчеты и оцените, какой вариант лучше всего, прежде чем переходить к следующему шагу.

  РИСК НАПРЯМУЮ СВЯЗАН С ВОЗМОЖНОСТЬЮ

  Потребности клиентов постоянно меняются. По этой причине бизнес должен постоянно развиваться. Проницательный бизнес-лидер понимает, что нужно их клиентам.Их палец находится на рынке меняющихся тенденций и рыночных требований. И они новаторски реагируют, уделяя приоритетное внимание постоянно развивающимся способам вывода решений на рынок.

  Бизнес-лидеры осознают это, принимают риск как плату за возможность, а затем подтверждают это отношение в своих организациях. Это очень помогает в реализации своих целей и достижении успеха.

  РИСКИ ОБЕСПЕЧИВАЮТ КОНКУРЕНТНОЕ ПРЕИМУЩЕСТВО

  Поскольку большинство людей склонны избегать риска, те, кто достаточно смел, чтобы идти на риск, уже имеют конкурентное преимущество.Именно они задают темп и впереди с новыми идеями, свежими предложениями, смелыми изобретениями. Лица, принимающие на себя риск, лучше всех умеют действовать в сложных условиях.

  Проще говоря, когда большинство людей избегают риска, это означает меньшую конкуренцию для тех, кто рискует.

  Сможете ли вы достичь того, чего добились эти любители риска? Может быть, а может и нет. Но пока вы хотите оставаться в безопасности и довольны тем, где находится ваш бизнес прямо сейчас, вы никогда не узнаете.

  Опасность мнений в бизнесе

  «Без данных вы просто еще один человек, у которого есть мнение». — У. Эдвардс Деминг

  Мнения: они есть у всех.

  У бизнес-лидеров их, как правило, много, и мы часто очень к ним относимся. На наше мнение о том, что должно и что не должно происходить, влияет то, кто мы, откуда мы и наш собственный уникальный опыт работы на рынке труда.

  Я обнаружил, что мнения могут быть ужасно опасными в бизнесе.От того, как Western Union отклонила предложение Александра Грэма Белла о продаже патента на телефон, до Fox, позволившего Джорджу Лукасу сохранить права на продажу «Звездных войн», мнения и догадки на протяжении веков, как известно, дорого обходились предприятиям.

  Конечно, иногда догадки верны, но они должны быть отправной точкой, а не концом. Вместо того, чтобы полагаться на правдивость своего мнения, лидеры должны осознавать риск и всегда собирать данные, чтобы проверить, действительно ли их идея ведет компанию в правильном направлении.

  Как мы почти попали в ловушку

  «У меня есть сильное предчувствие по этому поводу» может привести к множеству непредвиденных последствий, даже если это говорит самый умный человек с самыми лучшими намерениями. Мнения могут быть особенно опасными, когда человек, который ими делится, является старшим членом команды, и никто не хочет подвергать сомнению их авторитет или интуицию. Поскольку никто не может спорить интуитивно, подобные утверждения трудно вежливо опровергнуть, и зачастую они остаются неопровержимыми из-за страха.

  Мы почти совершили ту же ошибку, слишком сильно поверив интуиции самих себя, в то время, когда мы искали способы уменьшить отток клиентов. Это обычная проблема в пространстве SaaS, и мы искали креативные идеи.

  После последнего раунда инвестиций в OpenView (полное раскрытие информации: они являются текущими инвесторами) венчурные капиталисты познакомили меня с новыми людьми в отрасли, чтобы они расширили нашу сеть и попросили совета. Когда я поднял вопрос об оттоке клиентов, кто-то, с кем я познакомился через OpenView, поделился историей успеха о том, как SurveyMonkey, известный и прибыльный инструмент для проведения опросов, значительно сократил отток клиентов, представив новую модель ценообразования под названием Emerald Pricing.Этот тип ценообразования отличается от обычной модели ежемесячной оплаты SaaS. В рамках Emerald Pricing клиенты получают скидку при оплате за год вперед.

  Когда я представил идею Emerald Pricing моей собственной руководящей команде, меня встретила их внутренняя реакция — большое жирное «ни за что».

  Они возражали против введения новой модели ценообразования, опасаясь, что в лучшем случае никто не будет заинтересован в оплате заранее. Кто за что-то платит на год вперед? Мы не платим за мобильные телефоны на год вперед, так зачем кому-то так платить за заместителя? В худшем случае они опасались, что мы отпугнем потенциальных клиентов, которые почувствуют, что с них берут завышенную цену за то, что они хотят платить ежемесячно.

  Правильный образ мышления

  Они не были полностью виноваты в своих страхах; они просто использовали то, что Илон Маск называет «рассуждением по аналогии». Они сравнивали идею с опытом других людей и приходили к выводу, что это не сработает. «Это не работает для тарифных планов, поэтому не будет работать для нас».

  Хотя естественно думать, что это не сработает в параллельной ситуации, нет двух абсолютно одинаковых ситуаций, и было бы ошибкой принимать решения на основе аналогий без включения дополнительной информации, которая могла бы изменить конечный результат.

  Как предлагает Маск в дискуссии о принятии решений, решение, основанное только на прошлом, было бы похоже на предположение, что никогда не будет спроса на автомобили, потому что все довольны лошадьми.

  Узкий побег

  Хотя многие люди в команде руководителей серьезно сомневались, что это вообще сработает, и хотя у меня были свои сомнения, я рад, что мы не попали в эту ловушку. К счастью, мы знали, что нельзя исключать потенциально хорошую идею, основываясь исключительно на предположениях.

  Вместо этого мы провели исследование, чтобы узнать, что говорят данные. Мы прямо спросили наших клиентов, будут ли они заинтересованы оплачивать заместителя на весь год вперед, чтобы получить скидку 25%. К нашему удивлению, 40% людей сказали, что с радостью это сделают.

  Результаты нашего исследования подтвердились на самом деле; эта инициатива была почти такой же популярной, как предполагали наши результаты. В настоящее время 35% всех наших подписок оплачиваются ежегодно, и это оказалось нашей самой успешной инициативой в этом году.Кроме того, введение годовой модели ценообразования позволило нам в целом поднять наши цены. Клиенты, чувствительные к цене, могли выбрать годовую модель, и мы смогли повысить наши ежемесячные расценки, не раздражая лояльных пользователей.

  Изучая клиентов, вникая в их отзывы, внедряя новый процесс и отслеживая ответы по ходу дела, мы знали, что внедрение новой модели было лучшей практикой для заместителя.

  Использование данных для предотвращения будущих ошибок

  В компании «Заместитель» мы привлекли всех наших сотрудников к анализу данных, чтобы гарантировать принятие правильного решения.Вместо того, чтобы отслеживать данные и события по запросу, мы отслеживаем множество точек данных. Затем все данные во всех системах реплицируются в хранилище данных Amazon Redshift ―, которое больше похоже на озеро данных, чем на хранилище. Кроме того, хотя компании традиционно используют команду инженеров по обработке данных для извлечения, преобразования и загрузки данных в хранилища (известные как ETL), вместо этого мы используем такие решения, как Stitch Data, для консолидации данных и Chartio, уровень отчетности, позволяющий всем авторизованным сторонам получать информацию о том, как бизнес отслеживает в режиме реального времени.

  Благодаря нашему промаху мы узнали, что мнения могут быть опасными. «Плохое предчувствие» — главный разрушитель творчества: это плохо для нового поколения идей и плохо для бизнеса.