Что мы делаем — на самом деле

Предприниматель обратился к нам за день до первой встречи с клиентами. У них не было ни рабочей электронной почты на собственном домене, ни системы документооборота, ни контроля безопасности.

За 24 часа мы настроили полноценную среду Google Workspace: почту с корпоративным доменом для всех сотрудников, MFA для каждой учётной записи, защищённые правила доступа в Drive, DMARC/DKIM/SPF для защиты репутации домена и инструменты администрирования на основе ролей.

Клиент пришёл на первую встречу с профессиональной почтой, безопасным обменом файлами и уверенностью в том, что его цифровая идентичность защищена.

Стабильная компания годами пользовалась почтой от своего хостинг-провайдера. Это означало медленные серверы, плохую защиту от спама и отсутствие поддержки MFA. Они знали, что миграция необходима, но боялись потери данных и простоев.

Мы спланировали миграцию поэтапно: сначала подготовка DNS и создание аккаунтов в Google Workspace, затем постепенный перенос истории почты по протоколу IMAP и, наконец, переключение MX-записей в точно назначенное время.

В итоге: вся история писем оказалась в новой системе, пользователи прошли обучение, DMARC и DKIM были настроены, а смена почтового провайдера прошла без потери единого сообщения.

Один из наших клиентов еженедельно обрабатывал десятки рутинных запросов: согласование договоров, составление отчётов, внутренние уведомления. Каждая задача отнимала время, хотя и не была сложной.

Мы внедрили инструменты искусственного интеллекта Google Workspace в связке с автоматизацией Apps Script: помощь Gemini AI при составлении писем в Gmail, автоматизированные рабочие процессы от Google Forms к Sheets и Drive, а также систему уведомлений, направляющую нужную информацию нужному человеку без ручного вмешательства.

Итог: сотрудники сэкономили в среднем 4 часа в неделю на рутинных задачах. ИТ-руководитель стал получать автоматизированные сводки о событиях безопасности прямо в почтовый ящик.

Компания обратилась к нам «просто за переносом почты». Однако первоначальная оценка выявила более широкую картину: устаревшие настройки DNS, отсутствие DMARC, учётные записи сотрудников без MFA и права администратора, распределённые между слишком большим числом людей.

Мы по обоюдному согласию расширили объём работ. Наряду со стандартной миграцией мы провели полный audit безопасности Google Workspace: проверили все права администраторов, настроили правила защиты от утечек данных (DLP), включили журналы безопасности Google Workspace и подготовили краткий план действий по подготовке к ISO 27001.

Средняя ИТ-компания получила требование от крупного клиента: сертификат ISO 27001 в течение 6 месяцев. Руководство не знало, с чего начать и насколько они далеки от цели.

Мы провели тщательный gap-анализ — проверили все 93 меры контроля по стандарту ISO 27001:2022, опросили ключевых сотрудников и оценили имеющуюся документацию. За три недели у клиента появился чёткий план действий: что уже в порядке, на что нужно обратить внимание и что предстоит создать с нуля.

Клиент приступил к процессу сертификации с точным графиком и бюджетом — без сюрпризов.

Компания в сфере электронной коммерции много лет работала без формальной структуры защиты данных. Опросник от надзорного органа вызвал панику: где реестр обработки данных? С какими поставщиками подписаны соглашения об обработке данных (DPA)?

Мы картировали все потоки персональных данных — клиентов, сотрудников, поставщиков. Мы создали полный реестр действий по обработке данных (ROPA), проверили все договоры с третьими сторонами на соответствие требованиям GDPR и восполнили недостающие DPA. Также мы обновили политику конфиденциальности и провели краткий инструктаж для персонала.

Финансовый посредник хотел понять, повлияет ли директива NIS2 на их деятельность, и как именно, прежде чем закон вступим в силу в Эстонии. Руководство опасалось, что потребуется полная сертификация ISO 27001, что заняло бы много времени и средств.

Мы оценили применимость NIS2, отраслевую классификацию и существующие меры безопасности. Вывод: компания является важной организацией (Annex II), но у неё уже внедрено около 70% требуемых мер. Мы составили сфокусированный список недостатков и план действий на 90 дней.

Производственной компании требовалась обязательная оценка рисков для сертификации по ISO 27001, но их внутренней команде не хватало методологии. Существующий «реестр рисков» представлял собой таблицу Excel без чёткой методологии и приоритизации.

Мы провели полную оценку рисков информационной безопасности по методологии ISO 27005: инвентаризация активов, выявление угроз и уязвимостей, оценка и приоритизация рисков, планы обработки рисков. Итоговый документ удовлетворил требования сертификационного органа с первого раза.

Компания в сфере здравоохранения узнала, что NIS2 требует сообщать о значительных инцидентах в течение 24 часов. У них не было задокументированной процедуры — инциденты обрабатывались по мере возникновения теми, кто был свободен.

Мы разработали полную структуру обработки инцидентов: классификация инцидентов, цепочка эскалации, шаблон уведомления надзорного органа, процедура внутреннего расследования и механизм извлечения уроков. Пост-тренинговое тестирование показало, что персонал способен правильно идентифицировать и эскалировать инциденты после 2-часового обучения.

Поставщик ИТ-решений хотел участвовать в государственной закупке, где требовалось базовое соответствие E-ITS (Эстонский стандарт информационной безопасности). У них не было представления о том, соответствуют ли они этим требованиям.

Мы провели аудит информационных систем и процессов компании на соответствие базовым требованиям E-ITS. Мы выявили 11 пробелов, из которых 4 требовали немедленных технических изменений. Все пробелы были закрыты в течение 6 недель — точно к сроку подачи тендерной заявки.

Финансовая компания была обязана в рамках ISO 27001 оценить уровень безопасности своих критических поставщиков. У них было 23 поставщика, и они не знали, с чего начать и как их оценивать.

Мы разработали методологию оценки рисков цепочки поставок и опросник. Мы классифицировали всех поставщиков по степени критичности, провели документарный анализ поставщиков с высоким уровнем риска и подготовили краткое заключение по каждому из них. В итоге компания получила полный реестр рисков цепочки поставок и план последующих действий.

Быстрорастущая SaaS-компания достигла точки, когда крупные корпоративные клиенты стали требовать документацию по безопасности до подписания контрактов. У компании вообще не было политик информационной безопасности — ни в цифровом, ни в бумажном виде.

Мы подготовили полный пакет политик: общая политика информационной безопасности, политика управления паролями, руководство по безопасной удалённой работе, процедура обработки инцидентов, схема классификации данных и политика допустимого использования. Все документы были адаптированы к реальным рабочим процессам компании, а не скопированы из общих шаблонов.