27 июня 2015

Пятничное чтение: об ошибках Facebook в обеспечении информационной безопасности

Разработчики Facebook допустили много ошибок в работе над конфиденциальностью данных пользователя. Мы перевели небольшой фрагмент обсуждений на американском сервисе вопросов и ответов Quora, чтобы рассказать о самых серьезных прегрешениях крупнейшей  социальной сети.
Пользователям не сообщили должным образом об изменениях в политике конфиденциальности
Когда разработчики Facebook предложили обновленную политику конфиденциальности, они предполагали, что пользователи будут голосовать и комментировать все нововведения, на самом же деле они с трудом смогли понять, о каких изменениях шла речь. Чтобы понять, что именно поменялось, пользователи должны были зайти в сообщения, а затем посмотреть обновления. Не было никаких предупреждений ни в виде всплывающих окон при загрузке сайта, ни  виде записей в новостной ленте. Это очень не похоже на Facebook, любое обновление которого сопровождается основательными описаниями при входе в аккаунт.

Сложные настройки конфиденциальности профиля
В 2006 году, Цукерберг заявил: "Мы разработали расширенные настройки конфиденциальности, чтобы вы могли тщательней контролировать, с кем вы делитесь информацией». На самом же деле эти настройки наоборот затрудняют осуществление пользовательского контроля. Обратите внимание на настройки конфиденциальности профиля в январе 2010 года:
Разобраться с ними не так легко и просто как загрузить фотографию, не так ли? Тогда, если пользователь хотел скрыть фото от друзей, он должен был внести изменения в разделах «Фото и видео со мной», «Альбомы» и «Мои публикации». Если он выбирал подходящие настройки конфиденциальности, то мог делиться информацией только с определенными друзьями или группами друзей. То есть надо было еще и создавать и сохранять списки или группы друзей, которые могли бы видеть определенную информацию этого пользователя. Дополнительные кнопки, переключатели и раскрывающиеся меню только усложнили работу, и люди почувствовали, что вся эта система для них слишком сложна. Таким образом, они стали оставлять настройки приватности по умолчанию, которые были выгодны Facebook, а не его пользователям.
Проблемы конфиденциальности при работе с приложениями
В определенный момент сеть Facebook открыла для приложения Zynga доступ к некоторой личной информации друзей пользователей, которые играли в эту игру, что явилось однозначным нарушением конфиденциальности, так как  «пострадавшие» пользователи не давали доступ Zynga к персональным данным на своем аккаунте. В результате они страдали от многочисленных спам-рассылок от Zynga, которыми так «славилась» эта игра первое время.
Рассылка Beacon
В 2007 году разработчики Facebook запустили Beacon – систему рекламной рассылки, которая отправляет данные с внешних интернет-страниц на аккаунт в  Facebook. К примеру, когда пользователь совершает покупку в интернет-магазине, он вдруг видит всплывающее окно (как показано ниже) с сообщением, что этот магазин отправляет информацию о вашей покупке в Facebook:
У покупателя будет 10 секунд, прежде чем окно исчезнет. И затем информация о покупке появится на его стене в соц. сети. Facebook внедрил эту программу как рассылку без запроса получателя. В 2008 году на разработчиков сети и компании, участвовавшие в программе, подали коллективный иск за обнародование личной информации пользователей без их разрешения.
Всем хороших выходных!

26 июня 2015

Необходимо ли законодательное принуждение финансовых организаций к внедрению в них DLP-систем?

Для финансовых организаций защищаться от утечек особенно важно, потому что информация – это главное из всего того, с чем они работают. Отечественные банки, конечно, тоже не исключение, и это наиболее интересные организации в плане востребованности DLP-решений, которые очень внимательно относятся к вопросу защиты информации. Интересны результаты работы с банками. Во многих из них мне заявляли о существующей системе информационной безопасности, которая отлично работает. Но поставив нашу бесплатную триальную версию программы защиты от утечек, обнаруживали множество фактов о всевозможных нарушениях. Например, сотрудники пересылают на свои некорпоративные ящики персональные данные клиентов, конфиденциальную информацию для того, чтобы поработать с ними дома. Возможно, что сотрудник делает это лишь для того, чтобы доделать работу дома, но всегда ли это так? Поэтому банки, понимая, что для них утечка информации будет иметь самые плачевные последствия, охотнее готовы выделять деньги на борьбу с ней, нежели тратиться потом на судебные разбирательства. Отраслям, где высоко развита конкуренция (та же банковская, торговая, мобильная), также очень нужна защита информации о клиентах, разрабатываемых проектах и т.д. Существует и закон "О персональных данных", но можете ли вы быть уверены, что ваши данные, например, не появятся в очередной общедоступной базе сотового оператора?
Необходимо ли законодательное принуждение финансовых организаций к внедрению в них DLP-систем?
Однозначно, «да». Если, например, страхования компания владеет персональными данными застрахованных юридических и физических лиц, то в случае утечки информации доступ к ним смогут получить мошенники, что в итоге окончится большими денежными потерями для тех, кто обратился в эту страховую компанию, т.к. данные можно использовать для различных махинаций. Финансовые организации несут повышенную ответственность перед своими клиентами по сравнению с другими компаниями. Здесь можно провести аналогию с правилами дорожного движения. Водитель несёт большую ответственность, чем пешеход, потому что управляет средством повышенной опасности. Так и здесь: в наши дни персональные данные – тоже средство повышенной опасности.
Сложно судить обо всём финансовом секторе в целом, однако динамика в нём в вопросах информационной безопасности, однозначно, положительная. Всё большее количество финансовых организаций становятся нашими клиентами, и в последнее время в большинстве случаев не только мы идём к финансовым организациям с предложениями о сотрудничестве, но и они к нам. Если вы беспокоитесь о сохранности своих конфиденциальных данных, передаваемых в финансовую организацию, с которой планируете сотрудничать, то перед началом сотрудничества уточните, использует ли эта организация средства защиты от утечек информации. Если не использует, то лучше воздержаться от сотрудничества с ней до тех пор, пока она их не внедрит.

23 июня 2015

О рынке ИБ в Белоруссии

Коллеги  из белорусского офиса попросили поделиться фрагментами аналитики, которую один местный журнал делал по поводу местного рынка ИБ. Думаю, что тем, кто интересуется рынками близлежащих стран, эта информация будет небезынтересной.
Вряд ли в настоящее время можно говорить о сложившемся рынке информационной безопасности в белорусских условиях. Можно ли сказать, что рынок существует, если на нем представлен всего один серьезный продукт? Здесь причина  даже не в том, что решений  по информационной безопасности мало. Просто белорусские компании сами не осознают потребность в подобных продуктах и, как следствие, не готовы их покупать. Тем более, если учесть, что решения в области защиты информации не относятся к категории дешевых. У нас по-прежнему программное обеспечение покупается по остаточному принципу. При рассмотрении бюджетов на предприятиях, приобретение ПО информационной безопасности рассматривается далеко не как первоочередная задача,  а зря, ведь предприятие может обезопасить себя от колоссальных убытков, которые могут возникнуть в случае потери конфиденциальной информации. Но есть и перспективы развития данного направления в нашей Республике. За год работы у нас уже несколько клиентов в банковской сфере и коммерческих организациях. Идут переговоры с госпредприятиями, министерствами и ведомствами, представителями крупного и среднего бизнеса.
Необходимо делать привязку к развитию направления информационной безопасности после прохождения пика финансового кризиса. Сейчас предприятия стараются «закрыть» те направления своей деятельности, которые позволяют держаться на плаву, и обеспечивать работой свой штат сотрудников, сводя расходную часть к минимуму. И это вполне разумная стратегия, потому что время действительно сложное. Если организация даже экономит на расходных материалах, то тут уже не до дорогих DLP решений. Ко всему прочему, для того, чтобы организации реально задумались о том, что утечка информации – это не просто что-то из серии голливудских страшилок, нужно, чтобы в стране случилась хоть одна громкая утечка. Конечно, утечки существуют, но они скорее локального характера и, как правило, происходят из-за халатности сотрудника, и не попадают на всеобщее обозрение благодаря оперативным действиям сотрудников безопасности и политике предприятия. И пока любая организация не столкнётся с собственными утечками, она даже не будет задумываться о ее предотвращении.
Многие организации вынуждены урезать свои бюджеты, связанные с ИТ и информационной безопасностью. Соответственно, конечно, и многие покупки систем информационной безопасности, которые были запланированы до кризиса, отложены до лучших времён.
Но в противовес такой стороне вопроса и появились компании, которые находятся в отрасли с высокой конкуренцией и где часто ведется борьба с конкурентом не всегда честными  методами. Вот такие компании напротив, ускорили процесс внедрения систем защиты информации.
Мы видим огромный интерес к проблеме защиты от утечек информации со стороны белорусских компаний и государственных структур, и мы уверены, что обеспечение информационной безопасности является одним из важных этапов развития информационного общества в Беларуси.
Первое, с чем сталкиваешься на белорусском рынке, это практически с повсеместном требовании наличия сертификата на предлагаемый продукт. Понятно, что с коммерческими компаниями можно работать и без наличия оного, но госсектор – необходимость. Это и разумно, т.к. государственные компании должны быть уверены, что после проверки продукта ОАЦ (оперативно-аналитическим центром) будет предоставлен качественный и проверенный продукт, который полностью выполняется заявленные требования и не имеет уязвимостей и недекларированных возможностей. Еще одним из сложностей внедрения ИТ решения являются сроки, понятно, что серьезный проект не разработаешь и не внедришь за 1-2 месяца, также как и трудно это сделать, если приобретения программного обеспечения не было заложено в бюджет.
Наиболее популярные каналы, которые в первую очередь представляют серьезную угрозу: это электронная почта, печать и запись на внешние устройства. Очень популярным является программный продукт Skype. Многим руководителям важно, чтобы их переписка и документы не просматривались сотрудниками безопасности их предприятия. ПО для обеспечения информационной безопасности несет и вторичную функцию, например контроль качества общения сотрудников с клиентами, их переписку. Позволяет выявить нарушителей, которые используют оборудование и ресурсы предприятия для собственных нужд, тратя расходные материалы или забивая почтовый канал. Можно также выявить сотрудников, которые основное рабочее время тратят на общение в социальных сетях и по «аське». Для одного из клиентов оказался очень востребованным контроль печати, который позволил выявить отгрузку товара по якобы «испорченным» накладным. Но в идеале, конечно, лучше говорить о комплексной защите, т.к. не защитив даже один из каналов возможной утечки, можно потерять информацию именно по нему. Также часто можно встретить ситуацию, когда на предприятии есть «группа риска», это те сотрудники, которые не вызывают доверия. Иногда продукт приобретается именно для контроля такой группы.

20 июня 2015

Промышленные шпионы - не только китайцы

Так уж сложилось, что обвинения в промышленном шпионаже обычно звучат в отношении китайцев. И это вполне оправданно, потому что стремительно развивающийся Китай быстро и охотно собирает любые технологии, которые были «подсмотрены» у американцев или европейцев.
К примеру, не так давно Пентагон обвинял китайцев в похищении новых разработок, касающихся военной авиации. Якобы в результате кибершпионажа Китай смог получить секретные технологии, которые используются на американском самолете-истребителе 5-го поколения F-35 Lightning II. И впоследствии инженеры КНР использовали американские наработки при создании самолета "Цзянь-20" (J-20). Как утверждает Пентагон, китайцы получили данные о технологии семь лет назад и до настоящего времени занимались их изучением, чтобы в итоге претворить в жизнь.
Однако не стоит думать, что угроза промышленного шпионажа может исходить исключительно от китайцев. Сравнительно недавно сотрудник Toshiba был арестован по подозрению в краже технологий, разработанных его компанией, и передаче этих технологий его коллегам из Южной Кореи. Как утверждается, корейцы интересовались разработками Toshiba в сфере NAND флеш-памяти это несколько странно, поскольку как раз в этой сфере мировым лидером считается корейская же компания Samsung.
Компании, которые работают в одной стране, также занимаются кражей промышленных секретов друг у друга. Так, в 2005 году компания Boeing проиграла судебный процесс корпорации Lockheed Martin, обвинение касалось именно промышленного шпионажа по поводу технологий бомбардировщика P-8 Poseidon. В итоге суд постановил свернуть работу над этим перспективным многомиллиардным проектом.
Российские компании сегодня являются мишенью и для зарубежных компаний-конкурентов, и для других российских компаний. Так, в декабре минувшего года шведские СМИ говорили о том, что шведские производители занимались промышленным шпионажем против российских компаний. Однако подробности данной истории еще до конца не известны, утверждается лишь, что среди пострадавших от шпионажа была компания «Газпром».
Жертвами промышленного шпионажа могут становиться и гораздо менее известные компании. Как утверждают «Аргументы и факты», в октябре 2008 г. в Республике Коми правоохранительными органами была предотвращена попытка вынести с Ухтинского механического завода пакет с документами, составляющими коммерческую тайну. Среди этих документов были и запатентованные производителем чертежи, в которых содержались описания узлов и агрегатов башенных кранов, выпускаемых на заводе. Как полагают правоохранители, данная информация могла представлять интерес для другого российского предприятия.
Данный список можно продолжать еще достаточно долго, однако и без того уже понятно, что промышленный шпионаж сегодня стал серьезной проблемой для компании любой категории.

18 июня 2015

И снова о сертификации: о граблях и подводных камнях

Конечно, добиться всех тех плюсов, которые сулит внедрение ISO 27001, не так просто, как хотелось бы. Тут работает принцип «через тернии – к звездам».
Внедрение стандарта ISO 27001 – довольно долгая процедура, продолжительность которой зависит от многих факторов: начального состояния ИБ в организации, готовности руководства и персонала к преобразованиям, величины компании, других внедренных стандартов (в частности, уже упоминавшегося ранее ISO 9001).
Как показывает практика, одним из наиболее сложных моментов является подготовка персонала к внедрению описываемых стандартом бизнес-процессов, в частности, формирование так называемого «процессного мышления», а также описание существующих в организации процессов и процедур. Во многом, именно поэтому внедрение ISO 27001 в тех организациях, где успешно внедрен ISO 9001, проходит намного быстрее.
Впрочем, зачастую гораздо более серьезной преградой на пути внедрения стандартов в области информационной безопасности становится непонимание высшего руководства организации сути предлагаемого международными стандартами подхода к управлению рисками. Зачастую, впрочем, отсутствует даже само понимание необходимости приведения сферы обеспечения информационной безопасности компании в относительный порядок. Поэтому в том случае, если внедрение стандарта ISO 27001 – инициатива «снизу», то одной из наиболее существенных трудностей будет «пробиться» через непонимание руководства компании.
Напоследок хотелось бы развеять достаточно распространенное заблуждение, связанное с прохождением сертификации на соответствие стандарту ISO 27001. Оно состоит в том, что, по мнению руководства, сертифицированная система обеспечения информационной безопасности будет обходиться компании существенно дороже. На самом деле, как показывает практика, так бывает только в относительно редких случаях, когда организация до начала внедрения ISO 27001 практически не расходовала средств на обеспечение собственной информационной безопасности. Гораздо чаще расходы после сертификации, напротив, уменьшаются, благодаря тому, что организация концентрируется на существенных для неё рисках, а не пытается защититься от всего, что в принципе может кому-либо угрожать.
Безусловно, сертификация по стандарту ISO 27001 нужна далеко не всем организациям. И если задача компании состоит в укреплении собственной системы обеспечения информационной безопасности, то сертификация вовсе не является необходимым для этого условием. С другой стороны, если компания хочет укрепить свои позиции на внешних рынках и укрепить мнение о себе, как о передовом представителе своей отрасли, сертификация явно не будет лишней.

16 июня 2015

Где выгоднее работать администратору информационной безопасности в СНГ?



Краткий сравнительный анализ вакансий для администратора информационной безопасности в России, Белоруссии, Казахстане и Украине.
Информационная безопасность – сравнительно новая, но чрезвычайно востребованная  сфера деятельности. И в ней спрос на квалифицированные кадры значительно выше предложения. Это, в первую очередь, обусловлено темпами  развития индустрии. Спектр работ, в которых нуждаются компании, широк, а специалистов, которые могут соответствовать всем требованиям работодателя, отрасли не хватает. Аналитический центр SearchInform составил подборку наиболее интересных для соискателя вакансий в сфере информационной безопасности в России и соседних с ней странах.
Абсолютным лидером оплаты труда специалистов сферы информационной безопасности  стала Москва. Здесь консультанту по направлению «Информационная безопасность» обещают заработную плату в размере 180 000 рублей. Обязанности сотрудника на этой должности такие:
·         анализ структуры компаний Заказчика и информационных систем с точки зрения информационной безопасности;
·         подготовка предложений по созданию/развитию систем обеспечения ИБ(информационной безопасности);
·         проектирование комплексных систем обеспечения ИБ;
·         проведение аудитов информационной безопасности;
·         разработка ТЗ(технического задания) по созданию системы обеспечения информационной безопасности;
·         участие в проектах по внедрению/развитию систем обеспечения ИБ в роли архитектора решения и руководителя группы инженеров.
Чуть дешевле ценят в столице администраторов по информационной безопасности. Специалисту с опытом работы от 3 до 6 лет и наличием высшего технического образования обещают платить от 70 000 до 100 000 рублей.
Третье место по заработной плате специалистам сферы информационной безопасности занимает, как то ни странно, Минск. Впрочем, учитывая, сколько усилий предпринимают власти Белоруссии для развития в республике ИТ-бизнеса, это довольно закономерно, ведь ИТ-компании нуждаются в услугах специалистов по информационной безопасности едва ли не больше, чем кто-либо другой. Здесь требования довольно серьезные: 6 лет стажа, высокий уровень владения английским языком, а цена вопроса  - $2500, т.е. около 125 тысяч рублей.
В белорусском  же Могилеве специалисту по информационной безопасности гарантируют заработную плату 70 тысяч в месяц. При этом требования далеко не заоблачные: стаж, например, совсем не интересует работодателя. При этом предлагается полный рабочий день и даже социальный пакет. Определенно, тому из индустрии ИБ, кто подумывает о смене места жительства, стоит присмотреться к Белоруссии.
Идем дальше. Для сравнения, в Казахстане максимальная  зарплата для специалистов в сфере информационной безопасности составляет 126 000 тенге, или примерно 35 тысяч рублей по текущему курсу. От кандидата требуют опыт работы до 3-х лет и достаточно увесистый список умений, который в России (и, наверное, в Белоруссии) «потянет» как минимум на вдвое большую зарплату.
Как и следовало ожидать, минимальная оценка труда администраторов информационной безопасности в Украине. В частности, в славным городе Киеве специалистам с опытом работы до трех лет предлагают 6 000 гривен в месяц, или 14 тысяч рублей. Впрочем, учитывая обстановку в стране, можно предположить, что у работодателей есть более насущные проблемы, чем защита от информационных угроз.
Что ж, подведем итоги этого небольшого, но весьма показательного исследования. Вполне закономерно, что самым перспективным местом работы для администратора информационной безопасности остается Москва. Неожиданной оказалась готовность работодателей из Белоруссии платить сравнимые с московскими зарплаты – очевидно, сказывается развитость ИТ в регионе. Ситуация с зарплатами в Казахстане объясняется, по-видимому, отсутствием серьезных информационных угроз в стране, где рынок интернет-платежей и других технологий не так развит, как в России, и потому компании не видят коммерческого смысла во вложениях в ИБ. Ну, а низкие зарплаты на Украине уже не удивляют, наверное, никого, включая самих украинцев.

12 июня 2015

Для себя или для галочки?

Продолжим поднятую мною в прошлом посте тему сертификации  компании по стандарту ISO 27001. На сей раз поговорим о том, для чего вообще компании начинают всю возню с этим стандартом.
Принципиальным является для оранизации вопрос о целях прохождения сертификации. Прежде чем решиться на неё, необходимо понять, чего требуется достигнуть – соответствия формальным признакам, записанным в стандарте, или же реальное улучшение ситуации с обеспечением информационной безопасности.
Понятно, что при прохождении сертификации соответствие формальным требованиям будет необходимым в любом случае, однако если требуется не просто добиться формального соответствия, а повысить защищенность корпоративных данных от различных угроз, то придется приложить несколько больше усилий. Связано это, во многом, с тем, что реалии бизнес-среды изменяются достатоно быстро, и стандарты за ними банально не успевают.
Нужно сказать, что если единственной целью сертификации является приведение в порядок работы с данными в компании и повышение их защищенности, то вполне можно обойтись и без внедрения стандарта ISO 27001, что особенно актуально для сравнительно небольших организаций. Наняв грамотного и опытного руководителя отдела информационной безопасности (или, в случае небольшой компании, просто специалиста в этой области), можно добиться улучшения обстановки и без долгого и дорогостоящего процесса «перекраивания» устоявшихся бизнес-процессов в угоду стандарту. Но для крупных компаний, как отмечают эксперты, гораздо лучше будет работать формализованный подход.
В случае, если организация интересуется не столько «украшением» своих стен различными сертификатами, сколько реальным улучшением положения дел в ИБ, можно пойти на частичное внедрение положений стандарта. Это будет значительно дешевле и быстрее, чем внедрять весь стандарт целиком, и позволит избежать лишних преобразований, необходимых исключительно для «подгонки» организации под формальные требования стандарта. Пройти сертификация при таком подходе, конечно, не получится, однако оптимизация обеспечения информационной безопасности в компании, как показывает практика, позволит организации вывести защищенность своих данных на новый уровень.

10 июня 2015

Плюсы сертификации вашей компании по ISO 27001

Сертификация в сфере информационной безопасности – мероприятие дорогое и сложное. Поэтому компании с осторожностью относятся к подобной сертификации. Попробую дать ответ на вопрос, когда такая сертификация необходима, и какие преимущества она может дать организации. Как всегда, буду рад адекватным и грамотным комментариям по теме поста.
Что такое ISO 27001 и кому он нужен?
Дальнейший разговор нет смысла вести, если не обсудить сначала, что именно скрывается за этими цифрами и буквами.
Этот стандарт описывает требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ). Эта достаточно новая для бизнеса на постсоветском пространстве аббревиатура означатает ту часть общей ситемы менеджмента, которая отвечает за обеспечение информационной безопасности и оценку рисков.
Стандарт этот, как можно самому, кстати говоря, узнать из его текста, подходит для всех организаций – и государственных, и коммерческих. То есть, пройти сертификацию на соответствие ему сможет любая организация. Но в силу естественных причин, в первую очередь в этом заинтересованы экспортеры, работающие на западных рынках, где подобные стандарты стали нормой уже много лет назад. Интересен будет этот стандарт и финансовым организациям (банкам, лизинговым и страховым компаниям), для которых информационная безопасность – всегда «больная» тема.
За счет того, что этот стандарт относится к категории межданародных, он хорошо совместим с другими стандартами в области менеджмента, например, с гораздо более широко применяемым ISO 9001. Поэтому те организации, где уже работает стандарт ISO 9001, смогут и ISO 27001 внедрить с гораздо меньшим количеством проблем и нестыковок. Поэтому если у вас уже пройдена сертификация по ISO 9001, то и родственного ему стандарта в области информационной безопасности бояться нечего.
Преимущества и плюсы
Трудоёмкая и дорогостоящая процедуре перетряски корпоративных устоев в угоду принесенным извне стандартам должна в итоге обернуться чем-то очень полезным для компании, потому что в противном случае и затевать её нет совершенно никакого смысла. На сайтах и в рекламных брошюрах тех консалтеров, которые оказывают услуги по сертификации, можно найти красочное перечисление всего того, что должна дать сертификация отважившейся на неё компании. Конечно, все эти обещания нужно пропускать через фильтр здравого смысла и опыта других компаний. Но даже с учетом этих ограничителей получается вовсе не так уж и мало.
Во-первых, как бы то ни было, сертификация позволяет улучшить имидж компании в глазах партнеров и клиентов – как потенциальных, так и уже существующих. Если компания стремиться к имиджу инноватора и эксперта в работе с информацией, то подобная сертификация для неё просто жизненно необходима.
Во-вторых, стандарты всё-таки разработаны на основе многолетней практики ведущих специалистов, и их внедрение обычно существенно оптимизирует бизнес-процессы внутри компании. То есть, в случае с ISO 27001, в первую очередь улучшается защищенность информации как принадлежащей самой компании, так и её клиентам. В отдаленном будущем это означает существенную экономию благодаря отсутствию ущерба от инцидентов в сфере информационной безопасности.
В-третьих, повышается прозрачность работы отдельных подразделений, да и всей компании, в целом. Особенно это полезно в свете того, что в России и соседних странах до сих пор с осторожностью относятся к обеспечению информационной безопасности в организациях. Благодаря тому, что работа отдела информационной безопасности станет более прозрачной, повысится и доверие руководства организации к этому подразделению, а как следствие, и эффективность деятельности последнего.
А что думаете вы по этому поводу?

08 июня 2015

Об организации защиты данных в компании (продолжение)



Чтобы защитить важные для пользователя данные, прежде всего, следует выполнить резервное копирование информации. Как организовать такое копирование своими силами, можно узнать в сети интернет, однако желательно переложить эту задачу на ИТ-службу компании. Также необходимо отметить, что исполнять данную процедуру необходимо ежедневно. С ее помощью компания может не сомневаться, что данные не будут пропадать из-за различных технических неполадок.
Утечка секретной информации, фальсификация данных, подделка их сотрудниками – угрозы, напрямую касающиеся всех компаний, функционирующих сегодня. К сожалению, множество нынешних работников не видят ничего страшного в том, чтоб «позаимствовать» ценную информацию у своего работодателя, в особенности, если она «плохо лежит». Для защиты данных от таких недобросовестных сотрудников необходимо внедрить систему электронного оборота всей документации. После ее внедрения все три проблемы вы сможете решить, применяя DLP-систему, представляющую собой  отдельную программу, контролирующую потоку информации внутри компании, также она может защитить вас от утечки секретной информации.
В том случае, если кто-то из сотрудников решает внедрить шпионский, или вредоносный модуль, с такой угрозой может справиться и простой антивирус, который устанавливается на корпоративном сервере или же на ПК сотрудника. Тем не менее, для обеспечения большей надежности следует установить запрет на применение личных носителей данных сотрудниками компании. Внутренние носители данных нужно обязательно проверять на присутствие вредоносного ПО в ИТ- или ИБ-отделе минимум один раз в неделю.
Порочащие компанию сведения, распространяемые в сети сотрудниками фирмы, на практике выступают довольно серьезной проблемой, ей подвержено примерно 30% компаний на территории России. В 65% случаев сотрудники компании занимались распространением порочащих ее данных, находясь на собственном рабочем месте. С данной угрозой справиться также позволит система DLP, анализирующая отзыв, который работник намерен оставить в блоге или на форуме, на наличие отрицательных данных – если таковые обнаружены, система остановит публикацию данного отзыва.
Сложнее всего обычно бывает предотвратить угрозы, которые связаны с использованием разных облачных хранилищ. Для защиты в таких случаях необходимо обратить внимание на подбор сервис-провайдера, также можно побеспокоиться и об организации частного «облака», расположенного на платформе собственно компании. К сожалению, последнее могут себе позволить лишь крупные компании, обладающие серьезным уровнем прибыли, просто потому, что создание частного виртуального хранилища стоит достаточно дорого и требует от компании серьезных производственных мощностей. Плюс его в том, что данное «облако» можно контролировать с помощью приложений и защитных систем также, как это происходит и в локальной сети компании.
Обязательно нужно помнить, что передача информации между провайдером и компанией должна проходить только лишь по защищенному протоколу. Самые ценные документы, которые также приходится хранить в «облаке», нужно обязательно зашифровать, применяя средства стойкой криптографии, или просто заархивировать их, защитив такой архив длинным паролем, устойчивым к брутфорс-атакам.
Подводя итоги вышесказанному, можно рекомендовать для обеспечения корпоративной информбезопасности следующие меры:
- необходимо обратить самое пристальное внимание на внутренние угрозы, не ограничиваясь только лишь внешними. Если в работе применяются виртуальные хранилища, то необходимо уделить внимание и их безопасности;
- при возможности следует задействовать в работе частные облачные хранилища. Если для компании это невозможно, тогда следует выбрать сервис-провайдера очень серьезно и тщательно;
- стоит внедрить систему DLP, являющуюся мощной и надежной защитой от утечек данных и различных внутренних угроз.