Риск сегментация: 404 | Банк России

С настоящим единым пользовательским профилем (SCV), как в Exponea, можно использовать RFM-анализ для сегментации и одновременно задействовать более сложные методы анализа для прогнозов. В SCV пользовательские данные обновляются в реальном времени, так что вы сможете создать автоматические цепочки для всего жизненного цикла клиента — от гостя до лояльного покупателя. Кроме того, прогнозная аналитика помогает улучшать кампании.

Пример. Предположим, вы хотите улучшить ROI, перестав предлагать скидки тем клиентам, которые и так, скорее всего, совершат покупку. Просто определите этот сегмент (например, клиенты с вероятностью покупки 80%+), а остальное за вас сделают обновления в реальном времени.

Любому сегменту можно автоматически показывать конкретные кампании. Возьмем сегмент с наименьшей вовлеченностью — например, гостей (тех, кто просто заходит на сайт, ничего не покупает и не оставляет свой адрес). Им нужно показать баннеры о регистрации и ограниченные по времени ваучеры на первую покупку.

Гостей нужно перевести на следующий уровень — лояльные гости. Единственная разница между этими уровнями — в том, что лояльные гости зарегистрировались на сайте и оставили почту. Установив цель, можно создать кампанию (или несколько кампаний) с целью получить адрес электронной почты. Здесь все становится интереснее: как только гость оставляет свой адрес, система сразу обновляет его профиль, и он автоматически переходит на следующий уровень — становится лояльным гостем. Теперь он будет получать кампании для лояльных гостей, направленные, в свою очередь, на переход на следующий уровень: еженедельную рассылку о бестселлерах, вводную рассылку для новых клиентов и тот же ограниченный по времени ваучер на первую покупку.

В общем, с SCV и качественной сегментацией можно сильно увеличить прибыль. У вас будет целая система, призванная с самого начала повышать ценность покупателей. Кроме того, эта система видит, если покупатель начинает о вас забывать, и отправляет кампании, чтобы его сохранить. Вам не придется вручную обновлять сегменты и переносить между ними пользователей — Exponea все сделает сама.

• Сегментация — это разделение клиентов на группы на основе их данных
• Сегментация — одна из важнейших частей работы хорошего интернет-магазина
• RFM-анализ разделяет покупателей по стадиям жизненного цикла и позволяет рассчитать их пожизненную ценность
• Когортный анализ ищет закономерности в прошлых данных. Он позволяет быстро разделить данные на сегменты и понять, что работает, а что нет
• Сегментация через машинное обучение даст вам более серьезные возможности: обновления в реальном времени, автоматизацию и более глубокую персонализацию
• Exponea использует единый пользовательский профиль и собирает данные в реальном времени, чтобы добавить инсайты к заранее определенным RFM-сегментам и предсказывать поведение клиентов. Таким образом Exponea может автоматизировать кампании и вести пользователей по жизненному циклу — от гостя до лояльного покупателя

А ваша сегментация может стать еще эффективнее? Давайте узнаем.

Подпишитесь на нашу рассылку

Получайте полезные знания и инсайты от лидера CDP и автоматизации маркетинга.

Отправляя эту форму, вы соглашаетесь получать новостную рассылку от Exponea. Прочесть, как мы используем ваши данные, можно в нашей Политике конфиденциальности.

Спасибо!

Вы подписаны на рассылку Exponea.

Оценить статью:

Thank you for your vote!

IVM у пациенток с высоким риском развития СГЯ

Применение препаратов для стимуляции яичников с целью роста и созревания более одного ооцита в одном менструальном цикле привело к существенному прогрессу в области вспомогательных репродуктивных технологий (ВРТ). В то же время чрезмерный ответ яичников на стимуляцию может привести к тяжелым осложнениям, симптомы которых в свое время были объединены под общим названием «синдром гиперстимуляции яичников» (СГЯ). Практически все осложнения с летальным исходом, явившиеся следствием лечения бесплодия с помощью программы экстракорпорального оплодотворения (ЭКО), так или иначе связаны с развитием этого синдрома.

К факторам риска развития СГЯ относятся: молодой возраст, низкий индекс массы тела, уровень антимюллерова гормона (АМГ) более 3,4 нг/мл, введение гонадотропинов в высоких дозах, рост большого количества фолликулов, использование длинного протокола стимуляции яичников и введение хорионического гонадотропина человека (ХГЧ) в качестве триггера финального созревания фолликулов. Установлено, что частота развития СГЯ существенно выше у пациенток с синдромом поликистозных яичников (СПКЯ) и мультифолликулярными яичниками по сравнению с другими женщинами [1].

В последние годы удалось практически полностью решить проблему развития этого осложнения путем замены триггера ХГЧ на агонист гонадотропин-рилизинг-гормона (ГнРГ). Однако агонисты ГнРГ, используемые в качестве триггера, могут повысить частоту потерь беременности из-за дефекта лютеиновой фазы [2]. Чтобы предотвратить это неблагоприятное последствие, предложено дополнительное введение ХГЧ (т.н. двойной триггер). В результате такого подхода частота развития тяжелого СГЯ составила 2,9% [3].

Одним из эффективных методов, позволяющих существенно уменьшить частоту развития СГЯ, является сегментация цикла — отмена переноса и замораживание всех полученных эмбрионов с целью отсроченного переноса [4—6]. Но даже эта тактика не устраняет полностью риск развития СГЯ — описаны случаи тяжелого СГЯ, при которых потребовалось стационарное лечение после применения данного протокола [7—9].

По данным Регистра ВРТ Общероссийской общественной организации «Российской Ассоциации Репродукции Человека» (РАРЧ) за 2017 г., СГЯ, потребовавший госпитализации из-за тяжести течения, развился в 744 случаях [10].

Безопасной альтернативой традиционной программе ЭКО у пациенток с высоким риском развития СГЯ является получение незрелых ооцитов для последующего дозревания (IVM) [11, 12]. Сегодня достигнута достаточно высокая частота наступления беременности и родов у пациенток с СПКЯ в программах ЭКО с IVM. В недавних работах заявлено о частоте наступления беременности в 32—44% и частоте родов в 22—29%, что сравнимо с частотой наступления беременности (38—45%) после переноса одного эмбриона, полученного в результате стандартной программы ЭКО [13—15].

Цель исследования — сравнить исходы программы ЭКО с IVM и программы ЭКО с сегментацией цикла у пациенток с высоким риском развития СГЯ.

Изучали частоту наступления беременности и частоту развития СГЯ в программах ЭКО у 60 пациенток в возрасте от 18 до 38 лет с избыточным овариальным резервом и повышенным уровнем АМГ, проходивших лечение в Центре Репродукции и Генетики «ФертиМед» в период с января 2014 г. по октябрь 2019 г.

В 1-ю группу включили 21 пациентку, которым выполнили программу ЭКО с IVM, во 2-ю группу — 39 пациенток, которым проводили программу ЭКО с криоконсервацией всех полученных эмбрионов и последующим переносом в естественном цикле или на фоне заместительной гормональной терапии (сегментированный цикл).

Все пациентки и их партнеры перед началом программы ЭКО прошли обследование согласно приказу Минздрава РФ от 30.08.12 №107н «О порядке использования вспомогательных репродуктивных технологий, противопоказаниях и ограничениях к их применению». Противопоказаний к участию в программах ВРТ не выявлено.

У пациенток 1-й группы (группа IVM) была использована методика IVM, разработанная в отделении ЭКО клиники акушерства и гинекологии Медицинского центра имени Hillel Yaffe под руководством профессора А. Элленбогена, которая предполагает назначение малых доз гонадотропинов в фолликулярной фазе цикла для увеличения числа получаемых ооцитов и повышения степени их зрелости. При достижении лидирующими фолликулами диаметра 10—12 мм назначали ХГЧ в дозе 10 000 МЕ однократно. Пункцию яичников выполняли через 39 ч после введения ХГЧ, комплексы ооцит—кумулюс получали из фолликулов диаметром от 2 до 16 мм. У всех пациенток в день пункции определяли сывороточную концентрацию эстрадиола.

Полученные комплексы ооцит—кумулюс помещали в среду для IVM с добавлением ФСГ и ЛГ. После 6 ч культивирования ооциты очищали от клеток кумулюса и оценивали их зрелость. Все зрелые ооциты оплодотворяли методом ИКСИ. Перенос эмбрионов осуществляли на стадии дробления или на стадии бластоцисты на 3—5-е сутки после пункции. С целью поддержки лютеиновой фазы цикла всем пациенткам назначали препараты эстрогенов внутрь или трансдермально и прогестерон интравагинально.

Женщинам 2-й группы (группа с сегментацией) стимуляцию яичников проводили препаратами рекомбинантного фолликулостимулирующего гормона или мочевыми гонадотропинами в дозах 100—175 МЕ/сут по протоколу с антагонистом ГнРГ. При достижении когорты лидирующих фолликулов диаметра 18 мм назначали трипторелин в дозе 0,2 мг подкожно однократно.

Пункцию яичников выполняли под внутривенной анестезией по общепринятой методике. Всем пациенткам в день пункции определяли сывороточную концентрацию эстрадиола. Все полученные после аспирации зрелые ооциты оплодотворяли с помощью ЭКО или ИКСИ в зависимости от показателей эякулята партнера. Криоконсервацию эмбрионов методом витрификации выполняли на стадии дробления или на стадии бластоцисты.

Криоперенос эмбрионов в полость матки осуществляли в следующем после ЭКО или ИКСИ менструальном цикле на 3-и или 5-е сутки после овуляции, выявленной при ультразвуковом исследовании (в зависимости от стадии витрификации эмбриона), или на фоне заместительной гормональной терапии препаратами эстрогенов и прогестерона.

Основные исходы исследования — частота прогрессирующей беременности до срока более 12 нед и частота развития СГЯ. Дополнительно оценивали кумулятивную частоту наступления беременности.

Статистическую обработку полученных результатов проводили с применением стандартных пакетов программ прикладного статистического анализа Statistica for Windows v. 10.0 и Microsoft Excel.

Исходные характеристики пациенток исследуемых групп представлены в . Средний возраст пациенток, средний уровень АМГ, а также средний индекс массы тела статистически значимо не различались между группами. В 1-й группе преобладали пациентки с первичным бесплодием и СПКЯ, у 50% из них ранее были неудачные попытки применения программы ЭКО.

Данные представлены в виде среднего значения и стандартного отклонения, а также в виде абсолютных () и относительных (%) частот. АМГ — антимюллеров гормон; ИМТ — индекс массы тела; СПКЯ — синдром поликистозных яичников; СГЯ — синдром гиперстимуляции яичников.

Пациенткам 2-й группы выполнено 39 криопереносов, из них 4 переноса эмбрионов на стадии дробления и 35 переносов эмбрионов на стадии бластоцисты. Наступило 22 беременности: 21 одноплодная и 1 двойня, из них 2 оказались неразвивающимися в сроках 6 и 8 нед.

В дальнейшем 15 пациенткам выполнено от 1 до 3 переносов, в результате наступило 13 беременностей, из них 2 двойни и 11 одноплодных. Три беременности остановились в развитии в сроках 6 и 7 нед.

Основные результаты лечения представлены в .

Данные представлены в виде среднего значения и стандартного отклонения (min—max), а также в виде абсолютных () и относительных (%) частот. СГЯ — синдром гиперстимуляции яичников.

Данные представлены в виде абсолютных () и относительных (%) частот.

Согласно данным , уровень эстрадиола в день пункции оказался существенно ниже у пациенток в программе ЭКО с IVM, что создает предпосылки для безопасного переноса эмбрионов без риска развития СГЯ. Среднее число полученных ооцитов и эмбрионов оказалось статистически значимо выше у женщин, которым проводилась программа ЭКО с сегментацией цикла по сравнению с пациентками программы ЭКО с IVM. При этом частота наступления беременности на перенос, так же как и кумулятивная частота наступления беременности на перенос у женщин обеих групп статистически значимо не различались. В соответствии с ожиданиями, кумулятивная частота наступления беременности на пациентку после переноса всех эмбрионов, полученных в программе ЭКО, оказалась статистически значимо выше у женщин, у которых применяли метод сегментации цикла следствие большего числа полученных эмбрионов. В то же время метод IVM позволил получить сопоставимую частоту наступления беременности и избежать таких последствий стандартной программы ЭКО с сегментацией цикла, как развитие СГЯ и получение большого количества невостребованных пациентами эмбрионов.

Еще одним минусом протокола ЭКО с сегментацией цикла является длительный период ожидания между пункцией и переносом витрифицированных/оттаянных эмбрионов (1—3 мес), а также необходимость длительного приема препаратов для заместительной терапии у пациенток с ановуляцией при подготовке к криопереносу и во время беременности. В программе ЭКО с использованием метода IVM перенос эмбрионов происходит в том же цикле, что и пункция, на фоне формирования собственных желтых тел, которые поддерживают беременность.

Некоторые клиницисты высказывают сомнения в необходимости применения метода IVM в эпоху широкого использования агонистов ГнРГ в качестве триггера и сегментации цикла для профилактики СГЯ [16]. Однако их скептицизм основан на данных устаревших публикаций, показывающих низкую частоту наступления беременности и родов после IVM. Как уже упоминалось, сегодня результаты после программы ЭКО с IVM незначительно уступают стандартной программе ЭКО.

В исследовании S. Junk и D. Yeap (2012) частота родов живым плодом на перенос после использования метода IVM у пациенток с СПКЯ составила 45% [14]. А. Ellenbogen и соавт. (2014) сравнивали результаты ЭКО с IVM и ЭКО со стимуляцией по протоколу с антагонистами ГнРГ у молодых пациенток с СПКЯ. Частота наступления беременности оказалась сопоставима между группами (30 и 40% соответственно) [13].

Результаты нашего исследования совпадают с данными V.N.A. Ho и соавт. (2019). Они показали, что, несмотря на меньшее число зрелых ооцитов, число эмбрионов хорошего качества и замороженных эмбрионов после IVM по сравнению с обычным протоколом ЭКО, частота родов живым плодом после первого переноса статистически значимо не различалась (36,5% по сравнению с 40,8%), а частота развития СГЯ составила 0% против 3,5% соответственно [15].

По данным M. Peigne и соавт. (2017), из 52 пациенток с высоким риском развития СГЯ, для которых в качестве триггера были использованы агонисты ГнРГ, и все полученные эмбрионы криоконсервированы, симптомы умеренного СГЯ наблюдались в 27% случаев в день пункции фолликулов, в 15% случаев — на 2-е сутки после пункции и в 8% — на 7-е сутки после пункции. В одном случае потребовалась госпитализация в связи с тяжелым течением СГЯ [17]. Случаи развития тяжелого СГЯ в программах ЭКО с заменой триггера и сегментацией цикла описаны H.M. Fatemi и соавт. (2014), N. Mahajan и соавт. (2015), R. Orvieto и соавт. (2017) [7—9].

Таким образом, тактика использования агониста ГнРГ в качестве триггера в сочетании с криоконсервацией всех полученных эмбрионов для успешной профилактики СГЯ себя не оправдала. Напротив, применение метода IVM с этой целью, особенно у женщин высокого риска развития СГЯ, представляется оправданным и перспективным.

Следует отметить еще одно преимущество программ ЭКО с использованием IVM: они значительно менее затратные, так как позволяют избежать расходов на большое количество дорогостоящих препаратов гонадотропинов, используемых для стимуляции яичников.

Наиболее эффективным подходом, позволяющим добиться высокой кумулятивной частоты наступления беременности, является программа ЭКО с применением метода сегментации цикла и последующим переносом криоконсервированных эмбрионов.

В то же время IVM можно считать единственным методом, который позволяет полностью предотвратить развитие синдрома гиперстимуляции яичников у женщин, входящих в группу высокого риска. Такой подход к проведению программы ЭКО пациенткам с мультифолликулярными яичниками и синдромом поликистозных яичников является эффективным, безопасным и экономичным и позволяет избежать получения «лишних» ооцитов и эмбрионов.

Концепция и дизайн — А.С., М.А.

Сбор и обработка материала — Д.Ж., С.С.

Написание текста — А.С., С.С.

Редактирование — А.С., М.А.

Структура сегментации здоровья населения для балансировки медицинских потребностей и риска COVID-19 во время и после пандемии

Пандемия вызвала беспрецедентный кризис в области здравоохранения. Сейчас мы вступаем на неизведанную территорию в период «после всплеска», когда уровень заражения COVID-19 растет и снижается, а вакцина еще не доступна. В течение следующего года или дольше клиницисты должны одновременно работать над смягчением воздействия COVID-19 на лиц, подвергающихся наибольшему риску, и одновременно реагировать на растущее количество неудовлетворенных общих медицинских потребностей. И все это должно быть достигнуто перед лицом растущих структурных ограничений и проблем в рамках наших медицинских и социальных систем, а также во время личного принуждения многих пациентов и медицинских работников.

В то время как разворачивающаяся ситуация создает множество препятствий, некоторые потенциальные решения находятся под рукой. С этой точки зрения мы предлагаем, как можно сопоставить существующие медицинские данные и данные общественного здравоохранения, чтобы создать аналитическую структуру здоровья населения для управления и информирования в эпоху «после всплеска» процесса лечения COVID-19 со всеми его многочисленными внутренними компромиссами. .Мы описываем, как информационные «приборные панели» на уровне населения могут использоваться организациями здравоохранения для эффективного, действенного и этичного удовлетворения потребностей сообщества пациентов, которым они служат.

Подход к охране здоровья населения как для пациентов с COVID-19, так и для пациентов без COVID-19

Первый урок пандемии состоял в том, что при реагировании на серьезные угрозы для здоровья, такие как COVID-19, необходимо комплексно учитывать факторы риска и ответные меры в области общественного здравоохранения, медицинские и социально-экономические факторы. Соответственно, эффективные вмешательства в области охраны здоровья населения должны совместно охватывать эти области, сосредоточив внимание на целевом знаменателе пациентов, таком как когорта, обслуживаемая системой здравоохранения или планом медицинского обслуживания, или лица, проживающие по соседству.

Существенной основой здоровья населения является мощная аналитическая структура, позволяющая проводить стратификацию и сегментацию всех лиц в интересующей когорте. Методы сегментации и стратификации населения предназначены для объединения однородных пациентов с общими типами и уровнями потребностей.Эти инструменты классификации необходимы для определения приоритетности ресурсов и вмешательств для наиболее эффективной работы с отдельными лицами или сообществами, которые в наибольшей степени нуждаются. На практике эти методы основаны на вторичном использовании компьютеризированных медицинских данных, данных общественного здравоохранения или социальных служб.

Потребность в структуре сегментации здоровья населения с учетом COVID-19

Чтобы помочь предотвратить смерть и тяжелые заболевания, связанные с COVID-19, а также избежать серьезных негативных последствий, связанных с невылеченными заболеваниями, мы предлагаем, чтобы системы оказания медицинской помощи и государственные учреждения разработали всеобъемлющую структуру сегментации населения, которая документирует четыре критических элемента классификации для каждого человека. в своем целевом сообществе пациентов (Приложение 1).Эти элементы включают: предыдущий анамнез пациента с COVID-19, текущие факторы риска COVID-19 как на индивидуальном, так и на географическом уровне, состояние здоровья и потребности, не связанные с COVID-19, а также факторы, которые могут повлиять на осуществимость телемедицины, которая во время COVID -период всплеска стал наиболее распространенным способом лечения.

Приложение 1. Структура сегментации на уровне населения для управления уходом за пациентами и сообществами во время и после пика COVID-19

Источник: Авторский анализ

Используя интегрированную структуру сегментации населения COVID-19, каждый пациент будет классифицирован с использованием доступных в настоящее время данных поставщика, страховой компании или общественного здравоохранения.Эти метрики на уровне человека, в свою очередь, будут агрегированы по соответствующим интересующим группам населения (например, пациенты клиники первичной помощи, люди, живущие по соседству). Эта структура может широко и скоординировано применяться организациями поставщиков медицинских услуг, агентствами общественного здравоохранения, планами здравоохранения и агентствами социального обслуживания.

Компоненты и приложения концепции сегментации здоровья населения COVID-19

Первый компонент нашей схемы отражает историю COVID-19 для каждого человека (Иллюстрация 1).Это будет основано на доступных диагнозах, результатах тестирования или отчетах от средств отслеживания контактов или потребительских приложений. Второй компонент включает факторы, которые имеют ключевое значение для понимания риска пациента пострадать от вновь приобретенного инфицирования COVID-19, включая распространенность COVID в их районе, ранее существовавшие состояния, которые могут подвергнуть их повышенному риску (например, заболеваемость и возраст), и факторы риска, связанные с работой и недавним воздействием. Третий компонент направлен на сегментирование текущих потребностей пациентов, не связанных с COVID. Ранее существовавшие заболевания будут задокументированы в электронной медицинской карте (EHR) и страховых исках; однако недиагностированные медицинские (или социальные) проблемы, потенциально связанные со стрессорами «периода блокировки» (например, потеря дохода, социальная изоляция), не будут должным образом задокументированы, и их необходимо будет решать с помощью работы с населением. Четвертый компонент представляет собой факторы, влияющие на осуществимость телемедицины в качестве основного метода вмешательства в связи с COVID-19. Понимание и преодоление этих факторов будет иметь решающее значение для тех, кто подвергается наибольшему риску вреда от COVID-19, и которым следует избегать личных посещений без крайней необходимости.

Объединение четырех компонентов схемы сегментации популяции COVID-19 дает возможность разработать «оценки риска с учетом COVID», которые могут быть полезны всем пациентам во время пандемии, независимо от их статуса COVID (Иллюстрация 1). Оценки рисков с учетом COVID можно использовать для координации различных приложений, ориентированных на разные сегменты населения. Когда эти оценки риска доступны для более крупных групп населения, таких как пациенты системы здравоохранения или жители района, они могут дополнительно согласовать медицинские вмешательства с существующими социальными и общественными усилиями.Например, риск госпитализации в связи с психическим заболеванием может увеличиться, если будет обеспечена социальная изоляция. Таким образом, оценка риска сегментации с учетом COVID будет не только определять приоритетность таких случаев, но и организовывать социальные и общественные вмешательства, которые могут принести пользу пациенту, поставщику медицинских услуг и сообществу в целом.

Структура сегментации COVID-19 описывает несколько различных приложений для здравоохранения. К ним относятся ряд клинических, управленческих, финансовых и плановых мероприятий, направленных на улучшение ухода за отдельными пациентами.Одним из амбулаторных приложений будет «управление уходом», чтобы приоритизировать работу с теми, у кого самые большие медицинские потребности, связанные с COVID и не связанные с COVID. Эти сложные приложения также должны выполняться с учетом и пониманием того, желательны ли и осуществимы ли телемедицинские взаимодействия в зависимости от участников и целей визита, учитывая постоянную потребность в социальном дистанцировании, когда это возможно. В конечном счете, когда эффективная вакцина против COVID-19 станет доступной, организации общественного здравоохранения и медицинские организации должны иметь возможность выявлять сообщества и отдельных лиц, подвергающихся наибольшему риску вреда от COVID-19.Для этой цели будут необходимы интегрированные данные на уровне населения, такие как данные в этой предлагаемой структуре сегментации COVID-19.

Доступность электронных данных никогда не была выше. Элементы данных, необходимые для уточнения предлагаемой нами структуры категоризации, применимы во многих, если не в большинстве, систем доставки и регионов США. Однако мы признаем, что в некоторых организациях и сообществах будут отсутствовать определенные элементы данных, необходимые для отнесения людей к предлагаемым слоям. Если данные отсутствуют, часто причиной будет отсутствие обмена и связи между организациями, а не их недоступность. Но при расширении сотрудничества между поставщиками медицинских услуг, страховыми компаниями, учреждениями общественного здравоохранения, поставщиками электронных медицинских карт и региональными службами обмена медицинской информацией можно быстро объединить связанную инфраструктуру данных на уровне населения. Государственные и частные «целевые группы по коронавирусу» должны уделять приоритетное внимание таким региональным усилиям по обмену данными, которые необходимы для их реагирования.

Использование сегментации населения по состоянию здоровья для минимизации различий в связи с COVID-19

В течение следующего года и далее структура сегментации здоровья населения позволит поставщикам медицинских услуг, плательщикам и учреждениям общественного здравоохранения лучше распределять свои перегруженные ресурсы для эффективного удовлетворения потребностей пациентов и сообществ, которые они обслуживают. Эти данные, особенно если они используются для информационно-разъяснительной работы и определения приоритетности ресурсов, устранят пробелы в клинической помощи, общественном здравоохранении и социальных службах, а также помогут свести к минимуму диспропорции и неравенства в сфере здравоохранения.

В этот наиболее критический период национальный консенсус в отношении того, как лучше всего использовать наши существующие данные для достижения этих целей, должен прийти как можно раньше. Мы уверены, что по сравнению со случайными и разрозненными мерами подход, основанный на охране здоровья населения, может помочь спасти и улучшить жизнь миллионов американцев.

Сторонний риск 101: Сегментация | Блог 3rdRisk

Эта статья является третьей в серии записей в блоге , в которых мы обсудим и объясним, как начать и внедрить риски третьих сторон в вашей организации.

6-ступенчатый подход используется, в результате чего каждый шаг будет пояснительный блог Post:

1. Setup

2. Требования Обзор

3. сторонний каталог

4. сегментация (этот блог)

5. Комплексная оценка

6. Мониторинг рисков и выход

В предыдущем сообщении блога мы создали каталог сторонних поставщиков и контрактов для нашей новой возможности TPRM. В этом новом сообщении в блоге мы обсудим важность и реализацию стратегии сегментации.

Сегментация третьих лиц

Не все ваши третьи лица имеют одинаковый уровень риска или требования соответствия. С помощью сегментации вы можете расставить приоритеты в своих усилиях по TPRM и решить, как следует управлять третьей стороной с точки зрения риска. Вы можете сделать это, назначив профиль риска вашим сторонним обязательствам. Это особенно полезно, когда число третьих сторон велико, растет и предъявляет высокие требования к соответствию.

Методология

Объем

Существующие и новые соглашения

Мы будем применять этот процесс как к существующим сторонним группам, так и к новым будущим обязательствам. Когда вы оцените всех своих третьих лиц в конце этой записи в блоге, рекомендуется использовать модель для сегментации новых третьих лиц на этапе заключения договора.

Уровень третьей стороны/договора

Вы можете сегментировать как третью сторону, так и уровень договора. Уровень контракта является более детализированным и позволяет различать различные виды контрактов, заключенных третьими сторонами с вашей организацией. Вы можете захотеть назначить профили риска на уровне контракта, когда вам нужно соблюдать строгие требования соответствия или контракты ваших третьих сторон действительно отличаются. Это позволяет отслеживать наиболее важные контракты и различать требования соответствия. Мой совет: просмотрите свой каталог контрактов и обсудите этот уровень с отделом закупок.Если у вас много сторонних с несколькими и разными контрактами, то я бы посоветовал вам делать и то, и другое, а не просто начать со стороннего уровня.

Дизайн

Когда уровень ясен, пришло время определить процесс сегментации для определения профиля риска. Этот процесс должен быть четко определенным, повторяемым (постарайтесь исключить любую субъективность, ваш коллега должен получить тот же результат) и позволять вам сегментировать ваши отношения с третьей стороной.

Цель состоит в том, чтобы получить от до дюжину вопросов (желательно несколько), которые помогут вам определить профиль риска.Для этого не существует передового шаблона анкеты, поскольку он различается в зависимости от организации и сферы охвата TPRM. Чтобы дать некоторые рекомендации о том, как создать анкету сегментации, адаптированную для вашей организации:

1. Начните с определенных требований на втором этапе и вовлеченных заинтересованных сторон в вашей области.

2. Создайте сегменты, которые вы хотите использовать, например:

Попробуйте ограничить число уровней сегментов (3-4), особенно когда только начинаете.

3. Определите критерии, которые вы будете использовать для сегментации. Взгляните на свои возможности и требования, чтобы определить их. В качестве входа вы можете использовать:

• Тип бизнеса

• Ваша зависимость от критических процессов / Действия

• Доступность конфиденциальной информации

• Критическая VPN / удаленная сеть доступа

• требования соответствия

• Непрерывность бизнеса

• Размер затрат

• Цели устойчивого развития

• Заменяемость

Некоторые примеры вопросов:

• Связаны ли сторонние услуги с областью нормативного контроля или требований?

• Имеет ли третья сторона доступ к данным клиента, сотрудника или другим конфиденциальным данным?

• Поддерживает ли эта сторонняя служба критически важный бизнес-процесс или важную функцию?

• Хранит ли сторонние данные в облаке?

• Каков размер контракта?

• Эта третья сторона находится за пределами Европейского Союза?

• Взаимодействует ли третья сторона с вашими клиентами?

Советуем ограничить его.Так что не создавайте исчерпывающий список из десятков вопросов. Цель состоит в том, чтобы назначить первоначальный профиль риска, а не выполнять полную комплексную оценку (мы сделаем это на более позднем этапе).

5. Определите варианты ответа.

6. Решите, будете ли вы использовать подход на основе оценок или подход на основе правил :

Подход на основе оценок

результаты для разработки комплексной оценки риска.

Хотя этот подход очень тщательный, он может быть громоздким и ресурсоемким для многих организаций.

Подход на основе правил

С помощью подхода на основе правил вы определяете конкретные правила или критерии для каждого сегмента и тем самым упрощаете процесс отнесения третьих лиц к категориям риска.

Этот подход, основанный на правилах, примерно на 50-60% быстрее, чем подход, основанный на баллах.

6. Настройте таблицу, в которой вы перечисляете вопросы (строки) и назначаете ответы различным сегментам (столбцам).

Добавьте весовые коэффициенты на уровне ответов и вопросов, если вы предпочитаете подход, основанный на баллах. Определите формулу для расчета комбинированной оценки риска и добавьте пороговые значения для различных уровней. напр. третья сторона получает профиль среднего риска, когда она набирает от 12 до 20 баллов.

Это довольно просто, если вы используете подход, основанный на правилах; если вы возьмете, например, вопрос: Поддерживает ли этот сторонний сервис критический бизнес-процесс или критически важную функцию? и вы разместили ответ «да» на критический сегмент, тогда все сторонние организации, которые поддерживают критический бизнес-процесс или критическую функцию, автоматически получают профиль критического риска.

7. Обратитесь к соответствующим владельцам бизнеса и сторонним менеджерам , чтобы (совместно) заполнить анкету сегментации и записать профиль риска.

8. Осуществить сегментацию в рамках договорного процесса новых третьих лиц.

Ответственность

Важно отметить, что централизованная (будущая) команда TPRM может выполнять действия по сегментации, но бизнес по-прежнему несет ответственность за окончательную сегментацию. Так что вам определенно следует привлечь владельцев бизнеса, которых вы определили на предыдущем шаге.

В следующем сообщении блога я углублюсь в оценку должной осмотрительности и покажу вам, как вы можете уверенно оценивать своих третьих лиц и получать действенные результаты.

Вы можете использовать такое решение, как 3rdRisk.com, чтобы легко сегментировать ваши сторонние контракты. Если вы хотите узнать больше, загляните на нашу страницу документации для получения более подробной информации об этом действии.

Дальнейшие действия

Настройка программы TPRM сложна, но с небольшим руководством вы можете полностью внедрить TPRM в своей организации.В следующем сообщении блога мы настроим и обсудим сторонний каталог. Так что следите за нашими социальными каналами (LinkedIn, YouTube, Twitter), чтобы быть в курсе последних обновлений контента.

Если у вас возникнут какие-либо вопросы во время или после этой серии, пожалуйста, напишите по адресу Bram@3rdRisk. com, и я буду более чем счастлив предоставить дополнительный контекст или информацию.

Ключевые понятия для правильной реализации сегментации клиентов

Важность ортогональности

Из-за таких факторов, как доступность данных, качество данных и сложный характер поведения клиентов в рамках иногда сложных продуктов, важно сочетать подходы «сверху вниз» и «снизу вверх» для достижения наилучших результатов сегментации.

Маловероятно, что эффективная модель сегментации может быть достигнута только с помощью нисходящего подхода, если только клиентская база невелика, а продукты не очень просты. При работе с большим количеством клиентов и набором сложных продуктов также следует использовать восходящий подход. Однако важно соблюдать ортогональность. Если кратко определить, «ортогональность» — это математическое понятие, относящееся к перпендикулярности между двумя понятиями; в этом случае для поддержания ортогональности необходимо убедиться, что понятия «сверху вниз» и «снизу вверх» сохраняются независимыми друг от друга, что означает избежание использования восходящих наблюдений для изменения или перезаписи нисходящих сегментов.

Если наблюдаются сильные расхождения между пониманием «сверху вниз» и данными «снизу вверх», следует провести глубокий анализ, чтобы понять, почему. Конечно, аналитика, применяемая для анализа таких разногласий, должна следовать установленной модели проверки и практики управления. Когда конфликты сохраняются, логика «сверху-вниз» должна оставаться неизменной, а это означает, что несоответствия «снизу-вверх», скорее всего, приведут к оповещениям. Цель состоит в том, чтобы убедиться, что расследование предупреждений и установленный цикл обратной связи по настройке можно использовать для лучшего понимания основной причины проблемы.

Три распространенных заблуждения

В ходе обсуждения сегментации с различными банками и компаниями, предоставляющими финансовые услуги, возникает несколько распространенных заблуждений. Эти заблуждения часто приводят к искаженной или неточной сегментации модели мониторинга транзакций:

• Заблуждение 1: Сегментация объединяет группы клиентов, отнесенных к группе повышенного риска ПОД. Группировка клиентов на основе риска AML обычно является задачей CRR. Хотя CRR может служить входной моделью для модели сегментации мониторинга транзакций, она не является целью сегментации.
• Заблуждение 2: Сегментация мониторинга транзакций должна обучаться на данных отчета о подозрительной активности (SAR). Как упоминалось ранее, ортогональность является ключом к правильной сегментации мониторинга транзакций. В частности, сегментация должна быть независимой от каких-либо эмпирических измерений финансовых преступлений, особенно в случаях искусственных эффектов из прошлого, таких как данные SAR. Сегментация должна основываться на фактическом поведении клиентов.
• Заблуждение 3: Сегментация — это прогностическая модель. Цель сегментации не в том, чтобы предсказать поведение группы клиентов. Скорее, нужно понять, как лучше всего описать каждую группу клиентов. Таким образом, сегментацию мониторинга транзакций можно правильно определить как описательную модель.

Будущее аналитики финансовых преступлений

Чтобы неконтролируемый алгоритм машинного обучения улучшал результаты сегментации и эффективность системы мониторинга транзакций, процесс сегментации требует ввода значимых данных.Когда результаты сегментации улучшатся и смогут более динамично перемещать объекты на основе новой активности, объем шума, создаваемого системами мониторинга транзакций, должен уменьшиться.

В настоящее время сегментация обычно применяется к системам мониторинга транзакций на основе того, как часто обновляется информация о клиентах, часто 12–18-месячный цикл в соответствии с отраслевыми стандартами. Основной довод против использования динамической сегментации заключается в том, что системе необходимо получать достаточно данных для создания значимых кластеров.

Правильная сегментация мониторинга транзакций может превратить аналитику мониторинга транзакций в целостную аналитику на основе рисков. Понимание природы описательной модели, воздержание от прямой привязки модели к сценариям снижения шума или мониторинга транзакций, а также обеспечение ортогональности между двумя уровнями могут привести к значительной эффективности мониторинга подозрительной активности.

Резюме PO-031: Оценка клинической полезности сегментации органов риска при раке головы и шеи с помощью простых трехмерных CNN с открытым исходным кодом

Тезисы: Виртуальная специальная конференция AACR по искусственному интеллекту, диагностике и визуализации; 13–14 января 2021 г.

Abstract

Открытый исходный код помогает научному сообществу быстрее достигать прорывов.Только одно из 14 предыдущих исследований сегментации OAR на основе глубокого обучения соответствовало большинству стандартов с открытым исходным кодом. Используя это исследование в качестве эталона, мы оценим качество сегментации каждой обсуждаемой сети и предоставим сообществу предварительно обученные веса наиболее эффективных моделей. 11 моделей 3D-сегментации с открытым исходным кодом, изначально разработанных для сегментации медицинских изображений как в 2D-, так и в 3D-областях, были обучены для автоматической сегментации 19 классов OaR. Для этого исследования был использован большой внутренний набор данных Университетской сети здравоохранения (UHN) из 582 сканирований пациентов. Все модели были протестированы на выборке из 582 когорт из 59 пациентов. Модели также были протестированы на 98 внешних сканах пациентов из общедоступных источников. 10 контуров тестового набора из победившей сети были оценены экспертом-онкологом-радиологом с более чем 10-летним опытом для идентификации наблюдателя набора контуров (будь то ИИ или человек). Предварительные результаты показывают, что только 13 из 20 сканирований были идентифицированы правильно. Результаты показывают, что простые 3D-архитектуры постоянно превосходят более сложные сети, создавая более точные, клинически приемлемые контуры.В настоящее время проводится более тщательное испытание на клиническую приемлемость, чтобы установить протокол для интеграции моделей автоматического контурирования на основе глубокого обучения в рабочие процессы планирования лучевой терапии.

Формат цитирования: Джозеф Марсилла, Бенджамин Хайбе-Каинс. Оценка клинической полезности сегментации органов риска при раке головы и шеи с помощью простых трехмерных CNN с открытым исходным кодом [аннотация]. В: Труды виртуальной специальной конференции AACR по искусственному интеллекту, диагностике и визуализации; 2021 13-14 января.Филадельфия (Пенсильвания): AACR; Clin Cancer Res 2021; 27(5_Suppl): реферат № PO-031.

• © Американская ассоциация исследований рака, 2021 г.

Управление, риски и соответствие требованиям в Azure

• Статья
• 01.12.2021
• 20 минут на чтение

Пожалуйста, оцените свой опыт

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

Спасибо.

В этой статье

Организации любого размера ограничены доступными ресурсами; финансы, люди и время. Для достижения эффективного возврата инвестиций (ROI) организации должны расставить приоритеты, куда они будут инвестировать. Внедрение безопасности в организации также ограничено этим, поэтому для достижения соответствующей рентабельности инвестиций в безопасность организация должна сначала понять и определить свои приоритеты в области безопасности.

Управление — Как безопасность организации будет контролироваться, проверяться и составляться отчеты? Разработка и внедрение средств управления безопасностью в организации — это только начало истории. Как организация узнает, что все действительно работает? Они улучшаются? Есть ли новые требования? Есть ли обязательная отчетность? Как и в случае с соблюдением требований, могут существовать внешние отраслевые, государственные или нормативные стандарты, которые необходимо учитывать.

Риск — С какими видами рисков сталкивается организация при попытке защитить идентифицируемую информацию, интеллектуальную собственность (ИС), финансовую информацию? Кто может быть заинтересован или может использовать эту информацию в случае ее кражи, включая внешние и внутренние угрозы, а также непреднамеренные или злонамеренные действия? Часто забываемый, но чрезвычайно важный фактор риска — это аварийное восстановление и обеспечение непрерывности бизнеса.

Соответствие — Существуют ли конкретные отраслевые, правительственные или нормативные требования, которые диктуют или дают рекомендации по критериям, которым должны соответствовать меры безопасности вашей организации? Примерами таких стандартов, организаций, средств контроля и законодательства являются ISO27001, NIST, PCI-DSS.

Коллективная роль организации (организаций) заключается в управлении стандартами безопасности организации на протяжении всего их жизненного цикла:

• Определить — Установить организационные стандарты и политики для практики, технологий и конфигураций на основе внутренних факторов (организационная культура, склонность к риску, оценка активов, бизнес-инициативы и т. д.) и внешние факторы (контрольные показатели, нормативные стандарты, среда угроз и т. д.)

• Улучшить — постоянно улучшать эти стандарты, постепенно приближая их к идеальному состоянию, чтобы обеспечить постоянное снижение рисков.

• Поддержание — Обеспечьте естественное ухудшение уровня безопасности с течением времени, организовав аудит и отслеживая соответствие организационным стандартам.

Приоритизация инвестиций в лучшие практики безопасности

Передовые методы обеспечения безопасности в идеале применяются упреждающе и полностью ко всем системам при создании облачной программы, но это нереально для большинства корпоративных организаций.Бизнес-цели, ограничения проекта и другие факторы часто заставляют организации уравновешивать риск безопасности с другими рисками и применять подмножество лучших практик в любой момент.

Мы рекомендуем применять как можно больше лучших практик как можно раньше, а затем работать над устранением любых пробелов по мере развития вашей программы безопасности. Мы рекомендуем оценить следующие соображения при определении приоритета, которому следовать в первую очередь:

• Системы с большим влиянием на бизнес и уязвимые системы — К ним относятся системы с прямой внутренней ценностью, а также системы, которые предоставляют злоумышленникам путь к ним. Дополнительные сведения см. в разделе Идентификация и классификация критически важных бизнес-приложений.

• Простейшие в реализации меры по смягчению последствий . Определяйте быстрые победы, расставляя приоритеты передовых практик, которые ваша организация может реализовать быстро, поскольку у вас уже есть необходимые для этого навыки, инструменты и знания (например, внедрение брандмауэра веб-приложений (WAF). ) для защиты устаревшего приложения).
  Будьте осторожны, чтобы не использовать исключительно (или чрезмерно) этот метод краткосрочной приоритизации.Это может увеличить ваш риск, препятствуя росту вашей программы и оставляя критические риски незащищенными в течение длительного времени.

Корпорация Майкрософт предоставила несколько приоритетных списков инициатив в области безопасности, чтобы помочь организациям начать с этих решений, основываясь на нашем опыте работы с угрозами и инициативами по смягчению последствий в наших собственных средах и среди наших клиентов. Видеть Модуль 4а Microsoft CISO Workshop

Управление подключенными арендаторами

Убедитесь, что ваша служба безопасности знает обо всех регистрациях и связанных подписках, подключенных к вашей существующей среде (через ExpressRoute или Site-Site VPN), и следите за ними в рамках всего предприятия.

Эти ресурсы Azure являются частью вашей корпоративной среды, и организациям по обеспечению безопасности требуется доступ к ним. Организации безопасности нуждаются в этом доступе для оценки риска и определения того, соблюдаются ли организационные политики и применимые нормативные требования.

Убедитесь, что все среды Azure, которые подключаются к вашей производственной среде/сети, применяют политику вашей организации и элементы управления ИТ для обеспечения безопасности. Вы можете обнаружить существующих подключенных арендаторов с помощью инструмент, предоставленный Microsoft.Руководство по разрешениям, которые вы можете назначать безопасности, находится в разделе Назначение прав для управления средой.

Четкое распределение ответственности

Назначить стороны, ответственные за определенные функции в Azure

Четкое документирование и совместное использование контактов, ответственных за каждую из этих функций, обеспечит согласованность и упростит общение. Основываясь на нашем опыте работы со многими проектами по внедрению облачных технологий, это позволит избежать путаницы, которая может привести к человеческим ошибкам и ошибкам автоматизации, создающим угрозу безопасности.

Назначьте группы (или отдельные роли), которые будут отвечать за эти ключевые функции:

Стратегия сегментации предприятия

Определите группы ресурсов, которые можно изолировать от других частей предприятия, чтобы сдерживать (и обнаруживать) действия злоумышленников внутри вашего предприятия. Эта единая корпоративная стратегия сегментации поможет всем техническим командам последовательно сегментировать доступ с использованием сети, приложений, идентификации и любых других средств управления доступом.

Четкая и простая стратегия сегментации помогает сдерживать риски, повышая при этом производительность и бизнес-операции.

Стратегия сегментации предприятия определена выше, чем традиционная «сегментация сети» стратегия безопасности. Традиционные подходы к сегментации для локальных сред часто не достигали своих целей, потому что они разрабатывались «снизу вверх» разными техническими группами и не были должным образом согласованы с бизнес-вариантами использования и рабочими нагрузками приложений. Это привело к чрезмерной сложности, которая порождает проблемы с поддержкой и часто подрывает первоначальную цель с широкими исключениями сетевого брандмауэра.

Создание единой стратегии сегментации предприятия позволяет направлять все заинтересованные технические группы (ИТ, безопасность, приложения и т. д.). Бизнес-подразделения, построенные на бизнес-рисках и потребностях, повысят согласованность, понимание и поддержку устойчивости обещаний по сдерживанию безопасности. Эта ясность и согласованность также снизят риск человеческих ошибок и сбоев автоматизации, которые могут привести к уязвимостям в системе безопасности, простоям в работе или тому и другому вместе.

Хотя микросегментация сети также обещает снизить риск (более подробно обсуждается в разделе «Сетевая безопасность и локализация»), она не устраняет необходимость координировать работу технических групп.Микросегментация должна быть рассмотрена после того, как и планы по обеспечению согласованности технических групп, чтобы вы могли избежать повторения внутренних конфликтов, которые преследовали и путаницу стратегий сегментации локального поколения сети.

Вот рекомендации Microsoft по определению приоритетов инициатив по сдерживанию и сегментации (на основе принципов нулевого доверия). Эти рекомендации перечислены в порядке приоритета по наибольшей важности.

• Обеспечение согласования технических групп с единой стратегией сегментации предприятия.

• Инвестируйте в расширение сдерживания путем создания современного периметра на основе принципов нулевого доверия, ориентированных на удостоверение личности, устройства, приложения и другие сигналы (чтобы преодолеть ограничения сетевого контроля для защиты новых ресурсов и типов атак).

• Усильте сетевые средства управления устаревшими приложениями, исследуя стратегии микросегментации.

Хорошая стратегия сегментации предприятия соответствует следующим критериям:

• Обеспечивает выполнение операций — сводит к минимуму операционные трения за счет соответствия бизнес-практикам и приложениям

• Содержит риск — Добавляет затраты и трения для злоумышленников на

• Отслеживается — Операции безопасности должны отслеживать потенциальные нарушения целостности сегментов (использование учетной записи, неожиданный трафик и т. д.).)

Видимость команды безопасности

Предоставлять группам безопасности доступ только для чтения к аспектам безопасности всех технических ресурсов, находящихся в их компетенции

Организациям безопасности требуется обзор технической среды для выполнения своих обязанностей по оценке и составлению отчетов об организационных рисках. Без такой прозрачности система безопасности должна будет полагаться на информацию, предоставленную группами, управляющими средой, у которых есть потенциальный конфликт интересов (и другие приоритеты).

Обратите внимание, что группам безопасности могут быть отдельно предоставлены дополнительные привилегии, если у них есть операционные обязанности или требование по обеспечению соблюдения требований к ресурсам Azure.

Например, в Azure назначьте группы безопасности для считывателей безопасности разрешение, предоставляющее доступ для измерения риска безопасности (без предоставления доступа к самим данным)

Для корпоративных групп безопасности с широкой ответственностью за безопасность Azure вы можете назначить это разрешение, используя:

• Корневая группа управления — для групп, отвечающих за оценку и отчетность о рисках по всем ресурсам

• Группа(ы) управления сегментом – для групп с ограниченным объемом ответственности (обычно требуется из-за организационных границ или нормативных требований)

Поскольку служба безопасности будет иметь широкий доступ к среде (и видимость потенциально пригодных для использования уязвимостей), вам следует рассматривать их критически важные учетные записи и применять те же меры защиты, что и администраторы.Администрация в разделе подробно описаны эти элементы управления для Azure.

Назначение привилегий для управления средой

Предоставляйте ролям с операционными обязанностями в Azure соответствующие разрешения на основе четко задокументированной стратегии, основанной на принципе наименьших привилегий и ваших операционных потребностях.

Предоставление четких указаний, следующих за эталонной моделью, снизит риск, поскольку его увеличение обеспечивает ясность для ваших технических групп, реализующих эти разрешения.Эта ясность упрощает обнаружение и исправление человеческих ошибок, таких как чрезмерное разрешение, снижая общий риск.

Microsoft рекомендует начать с этих эталонных моделей Microsoft и адаптировать их к вашей организации.

Справочные разрешения основных служб

В этом сегменте размещаются общие службы, используемые в организации. Эти общие службы обычно включают доменные службы Active Directory, DNS/DHCP, средства управления системой, размещенные на виртуальных машинах Azure Infrastructure as a Service (IaaS).

Видимость безопасности для всех ресурсов — для групп безопасности предоставьте доступ только для чтения к атрибутам безопасности для всех технических сред. Этот уровень доступа необходим для оценки факторов риска, определения возможных мер по снижению риска и консультирования заинтересованных сторон организации, которые принимают риск. Видеть Видимость группы безопасности для более подробной информации.

Управление политиками для некоторых или всех ресурсов — Для мониторинга и обеспечения соблюдения внешних (или внутренних) правил, стандартов и политики безопасности назначьте соответствующие разрешения для этих ролей.Выбранные вами роли и разрешения будут зависеть от организационной культуры и ожиданий программы политики. См. Microsoft Cloud Adaptation Framework для Azure.

Центральные ИТ-операции со всеми ресурсами — предоставление разрешений центральному ИТ-отделу (часто группе инфраструктуры) на создание, изменение и удаление ресурсов, таких как виртуальные машины и хранилища.

Центральная сетевая группа по сетевым ресурсам — Чтобы обеспечить согласованность и избежать технических конфликтов, назначьте ответственность за сетевые ресурсы одной центральной сетевой организации.Эти ресурсы должны включать виртуальные сети, подсети, группы безопасности сети (NSG) и виртуальные машины, на которых размещены виртуальные сетевые устройства. Дополнительные сведения см. в разделе Централизованное управление сетью и безопасностью

Разрешения ролей ресурсов — для большинства основных служб административные привилегии, необходимые для управления ими, предоставляются через само приложение (Active Directory, DNS/DHCP, средства управления системой и т. д.), поэтому никаких дополнительных разрешений ресурсов Azure не требуется.Если ваша организационная модель требует, чтобы эти команды управляли своими виртуальными машинами, хранилищем или другими ресурсами Azure, вы можете назначить эти разрешения этим ролям.

Администратор службы (учетная запись Break Glass) — используйте роль администратора службы только в экстренных случаях (и при необходимости для первоначальной настройки). Не используйте эту роль для повседневных задач. Дополнительные сведения см. в разделе «Экстренный доступ» («Учетные записи «Разбитое стекло»).

Разрешения ссылки на сегмент

Этот дизайн разрешений для сегментов обеспечивает согласованность и гибкость для размещения ряда организационных моделей от одной централизованной ИТ-группы до в основном независимых ИТ-команд и групп DevOps.

Видимость безопасности для всех ресурсов — Для групп безопасности предоставьте доступ только для чтения к атрибутам безопасности для всех технических сред. Этот уровень доступа необходим для оценки факторов риска, определения возможных мер по снижению риска и консультирования заинтересованных сторон организации, которые принимают риск. Видеть Видимость команды безопасности.

Управление политиками для некоторых или всех ресурсов — Для мониторинга и обеспечения соблюдения внешних (или внутренних) правил, стандартов и политики безопасности назначьте соответствующим ролям соответствующие разрешения.Выбранные вами роли и разрешения будут зависеть от организационной культуры и ожиданий программы политики. См. Microsoft Cloud Adaptation Framework для Azure.

ИТ-операции со всеми ресурсами — предоставление разрешения на создание, изменение и удаление ресурсов. Назначение сегмента (и результирующие разрешения) будет зависеть от вашей организационной структуры.

• Сегменты с ресурсами, управляемыми централизованной ИТ-организацией, могут предоставить центральному ИТ-отделу (часто группе инфраструктуры) разрешение на изменение этих ресурсов.

• Сегменты, управляемые независимыми бизнес-подразделениями или функциями (такими как ИТ-группа отдела кадров), могут предоставлять этим группам разрешения на доступ ко всем ресурсам в сегменте.

• Сегментам с автономными командами DevOps не нужно предоставлять разрешения для всех ресурсов, поскольку роль ресурса (ниже) предоставляет разрешения группам приложений. В экстренных случаях используйте учетную запись администратора службы (учетная запись разбитого стекла).

Центральная сетевая группа по сетевым ресурсам — Чтобы обеспечить согласованность и избежать технических конфликтов, назначьте ответственность за сетевые ресурсы одной центральной сетевой организации.Эти ресурсы должны включать виртуальные сети, подсети, группы безопасности сети (NSG) и виртуальные машины, на которых размещены виртуальные сетевые устройства. См. Централизованное управление сетью и безопасность.

Разрешения ролей ресурсов — сегменты с автономными командами DevOps будут управлять ресурсами, связанными с каждым приложением. Фактические роли и их разрешения зависят от размера и сложности приложения, размера и сложности команды приложения, а также культуры организации и группы приложения.

Администратор службы (учетная запись Break Glass) — используйте роль администратора службы только в экстренных случаях (и при начальной настройке, если требуется). Не используйте эту роль для повседневных задач. Дополнительные сведения см. в разделе «Экстренный доступ» («Учетные записи «Разбитое стекло»).

Руководство и советы по разрешению

• Для обеспечения согласованности и обеспечения применения к будущим подпискам разрешения должны назначаться в группе управления для сегмента, а не для отдельных подписок. Дополнительные сведения см. в разделе Избегайте детальных и настраиваемых разрешений.

• Прежде чем создавать пользовательскую роль, чтобы предоставить соответствующие разрешения для виртуальных машин и других объектов, следует сначала просмотреть встроенные роли, чтобы определить, применима ли одна из них. Дополнительные сведения см. в разделе Использование встроенных ролей

  .

• Руководители службы безопасности Членство в группе может быть целесообразным для небольших групп/организаций, в которых группы безопасности имеют обширные оперативные обязанности.

Создание сегментации с помощью групп управления

Структурируйте группы управления в виде простой схемы, которая определяет модель сегментации предприятия.

позволяют последовательно и эффективно управлять ресурсами (включая несколько подписок по мере необходимости). Однако из-за их гибкости можно создать слишком сложный дизайн. Сложность создает путаницу и негативно влияет как на операции, так и на безопасность (как показано на чрезмерно сложной структуре организационной единицы (OU) и объекта групповой политики (GPO) для Active Directory).

Корпорация Майкрософт рекомендует согласовать группы управления верхнего уровня (MG) с простой стратегией сегментации предприятия, ограниченной 1 или 2 уровнями.

Осторожно используйте корневую группу управления

Используйте корневую группу управления (MG) для согласованности предприятия, но тщательно проверяйте изменения, чтобы свести к минимуму риск нарушения работы.

Корневая группа управления позволяет обеспечить согласованность на предприятии, применяя политики, разрешения и теги ко всем подпискам. Необходимо соблюдать осторожность при планировании и реализации назначений корневой группе управления, поскольку это может повлиять на каждый ресурс в Azure и потенциально привести к простою или другим негативным последствиям для производительности в случае ошибок или непредвиденных последствий.

Руководство группы корневого управления:

• Тщательное планирование — Выберите элементы уровня предприятия для корневой группы управления, которые имеют четкие требования для применения ко всем ресурсам и/или с низким уровнем воздействия.

  Хорошие кандидаты включают:

  • Нормативные требования с явным бизнес-риском/воздействием (например, ограничения, связанные с суверенитетом данных).

  • Почти нулевое потенциальное негативное влияние на такие операции, как политика с эффектом аудита, назначение тегов, назначения разрешений RBAC, которые были тщательно проверены.

• Сначала проверьте — Тщательно протестируйте все изменения на уровне предприятия в корневой группе управления перед применением (политика, теги, модель RBAC и т. д.) с помощью

• Подтвердить изменения — чтобы убедиться, что они дают желаемый эффект.

Обновления безопасности виртуальной машины (ВМ) и надежные пароли

Убедитесь, что политика и процессы позволяют (и требуют) быстрого применения обновлений безопасности к виртуальным машинам.

Злоумышленники постоянно сканируют диапазоны IP-адресов общедоступных облаков в поисках открытых портов управления и предпринимают «простые» атаки, такие как общие пароли и незакрытые уязвимости.

Включить Microsoft Defender для облака чтобы определить отсутствующие обновления безопасности и применить их.

Local Admin Password Solution (LAPS) или стороннее средство управления привилегированным доступом могут устанавливать надежные локальные пароли администратора и получать к ним своевременный доступ.

Удалить прямое подключение виртуальной машины (ВМ) к Интернету

Убедитесь, что политика и процессы требуют ограничения и мониторинга прямого подключения к Интернету виртуальными машинами

Злоумышленники постоянно сканируют диапазоны IP-адресов общедоступных облаков в поисках открытых портов управления и предпринимают «простые» атаки, такие как общие пароли и известные незакрытые уязвимости

Это можно сделать с помощью одного или нескольких методов в Azure:

• Предотвращение на уровне предприятия — Предотвращение непреднамеренного воздействия с помощью корпоративной сети и модели разрешений, такой как эталонная модель, описанная в этом руководстве.Это значительно снижает риск случайного доступа ВМ к Интернету на

  .

  • Обеспечение маршрутизации сетевого трафика через утвержденные точки выхода по умолчанию

  • Исключения (например, добавление общедоступного IP-адреса к ресурсу) должны проходить через централизованную группу (которая может тщательно оценивать запросы на исключения, чтобы обеспечить применение надлежащих элементов управления)

• Выявление и устранение уязвимых виртуальных машин с помощью Microsoft Defender для облака визуализация сети для быстрого определения открытых интернет-ресурсов.

• Ограничение портов управления (RDP, SSH) с помощью оперативного доступа в Microsoft Defender для облака.

Убедитесь, что контактное лицо по вопросам безопасности получает уведомления об инцидентах Azure от Microsoft, обычно уведомление о том, что ваш ресурс скомпрометирован и/или атакован другой клиент.

Это позволяет вашей команде по обеспечению безопасности быстро реагировать на потенциальные угрозы безопасности и устранять их.

Убедитесь, что контактная информация администратора на портале регистрации Azure включает контактную информацию, которая будет уведомлять об операциях безопасности (напрямую или быстро через внутренний процесс)

Регулярно проверяйте критический доступ

Регулярно проверяйте роли, которым назначены привилегии, имеющие критическое значение для бизнеса.

Настройте повторяющийся шаблон проверки, чтобы убедиться, что учетные записи удаляются из разрешений при изменении ролей. Вы можете провести проверку вручную или с помощью автоматизированного процесса с помощью таких инструментов, как проверка доступа к Azure AD.

Определите общеизвестные риски для ваших клиентов Azure, устраните эти риски и отслеживайте свой прогресс с помощью Secure Score.

Выявление и устранение распространенных угроз гигиены безопасности значительно снижает общий риск для вашей организации за счет увеличения затрат для злоумышленников.Когда вы удаляете дешевые и хорошо зарекомендовавшие себя векторы атак, злоумышленники вынуждены приобретать и использовать передовые или непроверенные методы атаки.

Оценка безопасности Azure в Microsoft Defender для облака отслеживает состояние безопасности компьютеров, сетей, служб хранения и данных, а также приложений, чтобы обнаруживать потенциальные проблемы безопасности (подключенные к Интернету виртуальные машины или отсутствующие обновления безопасности, отсутствующая защита или шифрование конечных точек, отклонения от базовых конфигураций безопасности, отсутствующие Брандмауэр приложений (WAF) и многое другое).Вам следует включить эту возможность (без дополнительных затрат), просмотреть результаты и следовать включенным рекомендациям по планированию и выполнению технических исправлений, начиная с элементов с наивысшим приоритетом.

При устранении рисков отслеживайте прогресс и расставляйте приоритеты для текущих инвестиций в программы управления и снижения рисков.

Повышение уровня автоматизации с помощью Azure Blueprints

Используйте собственные возможности автоматизации Azure, чтобы повысить согласованность, соответствие требованиям и скорость развертывания рабочих нагрузок.

Автоматизация задач развертывания и обслуживания снижает риски безопасности и соответствия требованиям, ограничивая возможность возникновения человеческих ошибок при выполнении ручных задач. Это также позволит группам ИТ-операций и службам безопасности переключить свое внимание с повторяющихся ручных задач на более важные задачи, такие как поддержка разработчиков и бизнес-инициатив, защита информации и т. д.

Используйте службу Azure Blueprint для быстрого и последовательного развертывания сред приложений, соответствующих политикам вашей организации и внешним нормативам.Служба схем Azure автоматизирует развертывание сред, включая роли RBAC, политики, ресурсы (VM/Net/Storage/и т. д.) и многое другое. Azure Blueprints основывается на значительных инвестициях Microsoft в Azure Resource Manager для стандартизации развертывания ресурсов в Azure и обеспечения развертывания и управления ресурсами на основе подхода желаемого состояния. Вы можете использовать встроенные конфигурации в Azure Blueprint, создавать собственные или просто использовать сценарии диспетчера ресурсов для меньшей области.

Несколько образцов схем безопасности и соответствия доступны для использования в качестве начального шаблона.

Оценка безопасности с помощью тестов

Используйте стандартный отраслевой эталонный тест для оценки текущего уровня безопасности вашей организации.

Benchmarking позволяет улучшить вашу программу безопасности, учась у внешних организаций. Сравнительный анализ позволяет узнать, как ваше текущее состояние безопасности сравнивается с состоянием других организаций, обеспечивая как внешнюю проверку успешных элементов вашей текущей системы, так и выявление пробелов, которые служат возможностью обогатить общую стратегию безопасности вашей команды.Даже если ваша программа безопасности не привязана к определенному эталону или нормативному стандарту, вам будет полезно понять задокументированные идеальные состояния теми, кто не работает в вашей отрасли и работает в ней.

• Например, Центр интернет-безопасности (CIS) создал эталонные тесты безопасности для Azure, которые сопоставляются с CIS Control Framework. Другим эталонным примером является структура MITRE ATT&CK™, которая определяет различные тактики и методы злоумышленников на основе реальных наблюдений.Эти сопоставления управления внешними ссылками помогут вам понять любые пробелы между вашей текущей стратегией, той, что есть у вас, и той, что есть у других экспертов в отрасли.

Аудит и обеспечение соблюдения политики

Убедитесь, что группа безопасности проверяет среду, чтобы сообщить о соответствии политике безопасности организации. Группы безопасности также могут обеспечивать соблюдение этих политик.

Организации всех размеров должны соответствовать требованиям безопасности.Отраслевые, правительственные и внутренние корпоративные политики безопасности должны проверяться и применяться. Мониторинг политик имеет решающее значение для проверки правильности первоначальных конфигураций и их соответствия требованиям с течением времени.

В Azure вы можете воспользоваться преимуществами политики Azure для создания и управления политиками, обеспечивающими соблюдение требований. Как и схемы Azure, политики Azure основаны на базовых возможностях Azure Resource Manager на платформе Azure (и политику Azure также можно назначать с помощью Azure Blueprints).

Дополнительные сведения о том, как это сделать в Azure, см. в руководстве . Создание политик и управление ими для обеспечения соответствия требованиям .

Риск идентификации монитора

Отслеживайте события риска, связанные с идентификационными данными, для предупреждения о потенциально скомпрометированных идентификационных данных и устранения этих рисков.

Большинство инцидентов безопасности происходит после того, как злоумышленник первоначально получает доступ, используя украденное удостоверение. Эти удостоверения часто могут начинаться с низкими привилегиями, но затем злоумышленники используют это удостоверение для обхода в боковом направлении и получения доступа к более привилегированным удостоверениям.Это повторяется по мере необходимости, пока злоумышленник не получит контроль над доступом к конечным целевым данным или системам.

Azure Active Directory использует адаптивные алгоритмы машинного обучения, эвристику и известные скомпрометированные учетные данные (пары имя пользователя/пароль) для обнаружения подозрительных действий, связанных с вашими учетными записями пользователей. Эти пары имя пользователя/пароль получены в результате мониторинга общедоступных и темных веб-сайтов (где злоумышленники часто сбрасывают скомпрометированные пароли) и в результате работы с исследователями безопасности, правоохранительными органами, группами безопасности в Microsoft и другими.

Есть два места, где вы можете просмотреть сообщения о рискованных событиях:

Кроме того, вы можете использовать API событий риска Identity Protection, чтобы получить программный доступ к обнаружениям безопасности с помощью Microsoft Graph.

Устраните эти риски, вручную обратившись к каждой зарегистрированной учетной записи или настроив политику риска для пользователей. требовать смены пароля для этих событий с высоким риском.

Тестирование на проникновение

Используйте тестирование на проникновение для проверки средств защиты.

Проверка средств защиты в реальных условиях имеет решающее значение для проверки вашей стратегии защиты и ее реализации. Это может быть выполнено с помощью теста на проникновение (имитирует разовую атаку) или программы красной команды (имитирует постоянную угрозу, нацеленную на вашу среду).

Следуйте инструкциям, опубликованным корпорацией Майкрософт, по планированию и выполнению смоделированных атак.

Обнаружение и замена небезопасных протоколов

Обнаружение и отключение устаревших небезопасных протоколов SMBv1, LM/NTLMv1, wDigest, неподписанных привязок LDAP и слабых шифров в Kerberos.

Протоколы аутентификации являются важнейшей основой почти всех гарантий безопасности. Эти старые версии могут быть использованы злоумышленниками, имеющими доступ к вашей сети, и часто широко используются в устаревших системах в рамках инфраструктуры как услуги (IaaS).

Вот способы снизить риск:

• Узнайте об использовании протокола , просматривая журналы с помощью панели мониторинга небезопасных протоколов Microsoft Sentinel или сторонних инструментов

• Ограничьте или отключите использование этих протоколов, следуя инструкциям для малый и средний бизнес, НТЛМ, WDigest

Мы рекомендуем вносить изменения с помощью пилотного или другого метода тестирования, чтобы снизить риск прерывания работы.

Повышенные возможности безопасности

Подумайте, следует ли использовать специализированные возможности безопасности в архитектуре предприятия.

Эти меры могут повысить безопасность и соответствовать нормативным требованиям, но могут привести к сложности, которая может негативно сказаться на ваших операциях и эффективности.

Мы рекомендуем тщательно рассмотреть и разумно использовать эти меры безопасности по мере необходимости:

Следующие шаги

Дополнительные рекомендации по безопасности от Microsoft см. в документации Microsoft по безопасности.

Модель интеллектуального анализа данных для оценки рисков и сегментации клиентов в страховой отрасли: статья журнала Business & Management

Предварительный просмотр статьи

1. Введение

В настоящее время одним из наиболее важных секторов экономики в каждой стране является страховая отрасль, которая выполняет жизненно важные обязанности и функции. Рост страховой отрасли в каждой стране является показателем развития и роста финансовых сбережений.Эта важнейшая отрасль, предлагающая соответствующие услуги, способствует благосостоянию людей в сообществе (Jaafary, Samimi, & Morady, 2008). Поскольку клиент считается фундаментальным фактором получения дохода в бизнесе и повышения прибыльности, то, как взаимодействовать с клиентом, определяет размер прибыли. Кроме того, сегментация была определена как одна из наиболее важных концепций в маркетинге. Умелая сегментация помогает фирмам выбирать прибыльных клиентов, понимать их желания, распределять ресурсы и поддерживать их в борьбе с конкурентами (Dickson, 1982).Клиенты различаются по многим основным параметрам. Как правило, клиентов можно отличить друг от друга с двух разных точек зрения, то есть по их ценности для организации и по разнице в их потребностях (Hosseinzadeh, 2008). Цикл управления взаимоотношениями с клиентами (CRM) состоит из четырех измерений. CRM начинается с идентификации клиента. Этот этап включает в себя таргетинг на население, которое с наибольшей вероятностью станет клиентами или принесет компании наибольшую прибыль. Элементы идентификации клиентов включают целевой анализ клиентов и сегментацию клиентов.Анализ целевых клиентов включает в себя поиск прибыльных сегментов клиентов посредством анализа основных характеристик клиентов, в то время как сегментация клиентов включает в себя подразделение всей клиентской базы на более мелкие клиентские группы или сегменты, состоящие из клиентов, относительно схожих внутри каждого конкретного сегмента (Ngai et al., 2010). др., 2009). Сегментация риска — это, по сути, сегментация клиентов со схожими характеристиками риска, которые, вероятно, причиняют одинаковый ущерб. Риск-сегментация страхователей на основе наблюдаемых признаков может помочь страховым компаниям снизить убытки, повысить ставку страхового покрытия и уберечь их от неправильного выбора на страховом рынке.Большинство развитых и развивающихся стран используют преимущества сегментации риска при определении страховой премии в своей страховой отрасли (Majed, 2008). Ставка страховой премии во многих страховых компаниях рассчитывается с учетом различных демографических показателей, технических характеристик автомобиля и сведений об ущербе, причиненном автовладельцем. Майк Крейдлер, член совета директоров одной из страховых компаний штата Вашингтон, указал, что размер страховой премии зависит от таких факторов, как возраст, пол и семейное положение страхователя, тип транспортного средства, местонахождение страховой компании. место жительства владельца автомобиля, история претензий и манера вождения (Kreidler, 2008).В то время как в Иране ставка страховой премии по комплексному автострахованию устанавливается Центральным страхованием Ирана. На практике клиенты с низким уровнем риска оплачивают ущерб и убытки, причиненные клиентами с высоким уровнем риска, поэтому между этими двумя группами клиентов нет никакой разницы. Помимо неэффективности договоров страхования или полисов, отсутствие таких мер при определении риска в автостраховании приводит к начислению несправедливых ставок, поскольку в этих случаях вместо человека застрахован автомобиль. Вот почему большинство страховых компаний несут большие убытки, когда речь идет о страховании автомобилей, в то время как большинство развитых стран пытались повысить производительность и прибыльность своей страховой отрасли, используя систему сегментации рисков (Hosseinzadeh, 2008).

Самоорганизующаяся карта (SOM) представляет собой тип искусственной нейронной сети, которая обучается с использованием неконтролируемого обучения для представления результатов в виде визуальных графических карт, понятных руководителям организаций. Нечувствительность самоорганизующейся карты к входным данным обучения и ее небольшая чувствительность к шуму в входных данных обучения, ее способность отображать линейные и нелинейные отношения между переменными и ее большая способность сегментировать данные являются одними из преимуществ эти карты.В этом исследовании эта карта в интеллектуальном анализе данных используется для сегментации клиентов комплексного автомобильного страхования с использованием признанных факторов риска. Поскольку эта карта может иллюстрировать результаты в виде графических карт, менеджерам и экспертам легче понять и интерпретировать результаты.

Что такое кибербезопасность сегментации сети и подходит ли она вам?

Сегментация сети подходит для вашей организации?

Здесь все немного сложнее.Потому что, хотя сегментация сети очень эффективна для ограничения ущерба и снижения риска, она также может быть очень дорогой в реализации и занимать много времени на управление. Как и при оптовой покупке, все дешевле (хотя и не обязательно более безопасно), если вы имеете дело с одной большой сетью, а не сосредоточены на более мелких фрагментах. И сосредоточение внимания на этих более мелких элементах часто требует большего количества людей, что уже имеет большое значение среди сильно напряженных и выгоревших команд кибербезопасности.

Кроме того, если ваша организация похожа на большинство организаций, вы, вероятно, работаете со многими — возможно, сотнями — сторонних или четвертых поставщиков.С таким большим количеством внешних партнеров может быть трудно достичь надлежащей сегментации и управлять ею.

Тем не менее, сегментация сети может подойти для вашей организации, если вы все делаете правильно. Некоторые передовые методы, которые следует учитывать, включают:

• Помещение на карантин систем с известными уязвимостями или устаревших систем, которые никогда не будут исправлены, но должны оставаться в сети.
• Будьте бдительны в отношении уведомлений об известных уязвимостях. Они могут поступать из ряда источников, включая правительственные организации, деловых партнеров или онлайн-форумы.Как только вы что-то услышите, вы сможете предпринять шаги, необходимые для сегментации затронутых активов.
• Определение общего состояния кибербезопасности вашей организации. Решения BitSight для управления эффективностью безопасности, в том числе BitSight Security Ratings и BitSight Third Party Risk Management, могут предоставить вам точную информацию о состоянии кибербезопасности вашей компании и ваших партнеров.