Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Информационная безопасность, NDA и пользователи

Информационная безопасность в компании — вещь нужная. Вдруг инновации конкурент украдет? Да ладно б инновации, а как же персональные данные, которые почти как 3 года нужно пристально охранять? Закон о защите персональных данных сильно подогрел интерес к теме информационной безопасности. ИТ-руководители даже в небольших компаниях теперь вынуждены прибегать к услугам консультантов (либо нанимать таковых в штат). Короче говоря, поставщики решений счастливы.

А теперь вопрос в зал. Где находится основная угроза информационной безопасности компании? Вирусы-трояны? VPN? Firewall? На самом деле, я уверен, все дали правильный ответ. Основная угроза находится между монитором и креслом. Сотрудники компании — самое слабое звено. И чтобы это звено хоть как-то укрепить, чтобы у этого звена язык не болтал налево и направо обо всяком, придумали интересный документ: соглашение о неразглашении. На самом деле, с учетом всепроникающей социализации, в последнее время начал появляться документ, называется который везде по разному, но суть его в том, что он регламентирует правила и политики раскрытия сотрудниками информации о компании в социальных сетях. Ну т.е. чтобы не было у секретарши Людочки в одноклассниках указан работодатель ООО “Вектор +”, а она при этом в своем статусе не писала “Ой блин, опять зарплату задерживают :..(”. Кстати, ситуация для работодателя не из приятных, особенно если речь идет не об ООО “Вектор +”, а о публичной компании. Но суть не в этом, рассказать я хочу об интересной ситуации, которая произошла со мной на прошлой неделе.

На прошлой неделе в Москве, как всегда неожиданно, вдали морозы. Не сказать что сильные, но аккумулятор в моей небесной колеснице на утро обиделся и отказался сотрудничать. А так как я живу в загородном доме в подмосковном городе, добираться решил электричкой. На удивление электричка была свободной и я смог сесть (надо признать, что ехать до метро минут 10). Рядом со мной ехала женщина серьезного вида, лет 45. И вот у неё зазвонил телефон. Звонили, видимо, с работы. Из разговоров я понял, что женщина — главный бухгалтер, на работе какие-то проблемы с 1С, а она довольно таки серьезно подкована (для бухгалтера) в технологической составляющей вопроса. И вот, когда бухгалтер окончательно поняла, в чем проблема у её подопечных и нашла решение, она начинает диктовать это решение на весь вагон:

— “Я поняла в чем дело. Значит так. Заходишь удаленкой (речь, видимо, об удаленном доступе) на сервер по адресу xxxxxx, пользователь xxxx пароль xxxxxxx... (далее ещё какие-то инструкции, которые я не запомнил)”.

Я конечно понимаю, что на этот сервер, наверное, можно зайти только из локальной сети, что в электричке вряд ли найдутся участники промышленного шпионажа и вообще, может быть, на сервере ничего интересного и не лежало. Но ситуация мне запомнилась.

А что делать в подобных ситуациях? Вопрос не только про смекалистую бухгалтершу. По соц. сетям тоже можно информации о компании и её сотрудниках наскрести более чем достаточно. Всего не зарегламентируешь, да и регламенты мало кто соблюдает.

Есть ли у вас в компании документы, регламентирующие данный вопрос? Как они соблюдаются и контролируются?

Комментарии (6)

  • Аватар

    [alexx88.myopenid.com], 21 февраля 2011, 22:48

    0
    От таких хитро***х бухгалтерш спасает только показательная порка провинившихся.
  • Аватар

    Пархоменко Виталий [pva], 22 февраля 2011, 16:17

    0
    Единственный способ избежать подобных ситуаций это каждый раз перед выходом из офиса стирать память всем сотрудникам такой штукой со вспышкой, как в фильме "Люди в черном", а при их утреннем приходе на работу усаживать всех в денейрализатор.

    Никакие документы и инструкции, ясное дело, тут не помогут т.к. контролировать их исполнение практически невозможно, если только не устанавливать тотальный контроль за каждым сотрудником. Если человек захочет вынести информацию за пределы компании он это сделает в любом случае.. если не на флешке, то в своей голове, если и не специально, то по глупости, к сожалению.
  • Аватар

    Чижиков Владимир [Skif Swarogich], 23 февраля 2011, 00:36

    0
    Мы  занимаемся частично решением данного вопроса. 
    В компаниях, в которых я работал и с которымия работал, такие вопросы вставали в среде топ-ов. Вопрос сложный. 
    Во-первых любое ужесточение ИТ политики воспринимается большинством сотрудников вполне "адекватно" и они понимают, что направлено против них. И начинается: саботаж, забивания, обливание гадостями, доведением до абсурда и куча прочих народных игр. Во-вторых жесткое внедрение политик безопасности и без всяких "игрищ" начинает тормозить рабочий процесс, я уж не говорю о том, что каждому сотруднику, который имеет право работать, например, с флешкой, её приходится регистрировать. О Контроле контента - это ещё та вещь. Причём не просто контенат, а всех переписок, начиная от асек, заканчивая любой вводимой с клавиатуры информации... В "полицейском государстве" очень плохие взаимоотношения получаются. Нагрузка на ИТ составляющую - сумасшедшая - кто-то должен заниматься обслуживанием этого монстра, причём в режиме реального времени. Одних фильтров не хватает. Да и не всякая компания сможет позволить себе весь спектр "удовольствий". На моём опыте - ни одна.
    В итоге вывели простую истину. В критически важных сервисах, как например описанном - авторизация на основе USB-токенов. Основная задача всё же проще - обеспечить сохранность контента на серверах и рабочих станциях сотрудников, разграничение прав доступа к документам и внедрение систем документооборота в компании, хотя бы Sharepoint. Так же частичная фильтрация контента по направлениям(news, fitnes,adults,media, etc - имеются ввиду закрытие сайтов по категориям, а не сами файлы и расширения. есть хорошие и относительно недорогие аппаратные решения). Этого большинству компаний за глаза. 
  • Аватар

    Юсов Алексей [alexus], 26 февраля 2011, 01:29

    0
    И что конкретно топы говорили и чего они хотели?
    Пока понимания целей ИБ нет в голове у топа, то с ИБ будет ... ну срифмуйте сами.
    • Аватар

      Чижиков Владимир [Skif Swarogich], 26 февраля 2011, 18:16

      0
      разное. Ну, к примеру, в одной компании было требование, что бы наработанные данные не утекали из компании. Компания девелоперская - разрабатывала технические и программные средства разным промобъектам. Утечка таких данных  - прямой урон доходности компании. То что сам разработчик ушел  -фигня, а вот то, что он ушел и после себя оставил ноль без палочки... Вы представляете как легко можно влететь, если на каком-нибудь нефте-химе или ГОКе тормознется цех/линия обслуживание которой ведёт компания? А во многом решения достаточно уникальные. Задача - обезопасить бизнес от утраты данных и простоя (в данном случае - новой разработки старого решения). Второй задачей было централизация всех ресурсов разработки. Выплыла она фактически из первой.
      Вообще нужно понимать, что то, что хотят ТОП-ы, часто кардинально отличается от рядового сотрудника. Я помню когда проводил презентацию для этого холдига, то туда согнали ТОП-ов и среднее звено менеджмента... Что началось! просто, то что актуально ТОПу и о чём с ним можно говорить это совершенно разные вещи... Короче первая презентация провалилась. Пришлось переработать, подобрать и утвердить состав участников второй презентации и только после этого ТОПы согласились. Для среднего звена - была ещё одна, с другими акцентами... короче так проще получилось
      А ТОПы в первую очередь хотят контроля. Одно из правил менеджмента - если не можешь посчитать - не можешь управлять.