Интернет – взгляд на психологию пользователей и безопасность в организации
Информационная безопасность Информационная безопасность

21-й век. Локальные конфликты, пробки и повышение цен на бензин. Люди вольно или невольно получают и обрабатывают огромные информационные потоки.

Главная>Информационная безопасность>Интернет – взгляд на психологию пользователей и безопасность в организации
Информационная безопасность Тема номера

Интернет – взгляд на психологию пользователей и безопасность в организации

Дата публикации:
23.03.2011
Посетителей:
40
Просмотров:
33
Время просмотра:
0.9 мин.

Авторы

Автор
Кирилл Викторов В прошлом - заместитель директора по развитию бизнеса компании «Инфосистемы Джет»
21-й век. Локальные конфликты, пробки и повышение цен на бензин. Люди вольно или невольно получают и обрабатывают огромные информационные потоки.

 

 

Три стандарта сотовой сети, локальная сеть. В кармане – компьютер. Дома – компьютер. На работе – два компьютера. Холодильник «подписался» на рассылку рецептов, стиральная машинка «шлет е-мейлы», что она скучает. Почта корпоративная, личная на веб-мейлах, короткие сообщения, социальные сети, Twitter, торренты и файлообменники. Информацию теперь мы находим в Интернете. Телевизоры транслируют YouTube и IPTV. В целом, ничего плохого не произошло. Просто значительно ускорились процессы обмена и распространения информации: то, на что раньше уходила неделя, сейчас занимает час, и мы к этому привыкли.

 

Это удобно и быстро, потому что позволяет нам лучше делать свое дело и поддерживать отношения с нужными людьми. Общество получило возможность жить «двойной» жизнью – в реальном мире и в Интернете.

 

Интернет как часть нашей жизни

 

Компаний, которые не используют «глобальную паутину», уже практически не найти. Сети позволили нам значительно ускорить обмен информацией и повлияли на целый комплекс условий человеческого существования. В наши дни распространение информации ничего не стоит. В результате мы отказываемся от «ненужных» нам СМИ. Это не означает, что газет и журналов больше не существует – теперь мы сами можем выбрать те из них, которые прямо сейчас нам больше подходят. Выбор поведения в информационном пространстве – наша личная ответственность. Мы получили возможность практически бесплатно обмениваться информацией и огромное количество способов это сделать.

Интернет как территория столкновения интересов работника и работодателя

 

Несмотря на развитие современных ИТ-технологий, большинство из нас все же работает в офисе, а не из дома. Для огромного количества людей постоянная работа в коммерческой или государственной организации – основной источник дохода. Компании населяют сеть, используя возможности коммуникации для ведения бизнеса. И в этом постоянном движении более прибыльным является тот, у кого работа организована лучше, чем у конкурентов. Реализацией всех процессов занимаются люди. Следовательно, больший доход получит та организация, в которой работают более эффективные сотрудники.

 

Контроль эффективности работы ложится во многом на самого работника, а не на его начальника. Степень участия в процессе производства начинает определять сам сотрудник: что ему прямо сейчас милее, «потрепаться» в социальной сети или сводить километровую таблицу в Excel в очередной раз?

 

Пример 1. Мы «работаем».
Представьте себе такой диалог:
– Ты где сейчас работаешь?
– В компании Х. Отличная компания. Платят неплохо. Хороший коллектив в департаменте. Весь день на «Одноклассниках» и в «Мамбе» сидим.
– А вам в компанию специалисты с моим опытом не нужны?
– Конечно, нужны! Руководство говорит, что людей не хватает. А наша кадровая служба даже объявила бонус тем сотрудникам, которые приведут кандидата, и он пройдет испытательный срок.

 

В результате мы можем сформулировать конфликт следующего характера: работодателю невыгодно ограничивать сотрудника в средствах коммуникации. Да и полностью решить эту проблему он не может, так как кроме корпоративной сети есть еще варианты онлайн-общения. Но и оставлять рабочее время без контроля работодатель не хочет. Его желание состоит в том, чтобы работники компании действовали для благополучия его бизнеса.

 

Как сохранить компанию эффективной?

 

Компании невыгодно блокирование популярных ресурсов – всегда найдется способ обойти запреты. Невыгодно также тратить силы на «преследование» нарушителей: если люди еще работают, это означает, что они полезны. Несмотря на это оставлять средства коммуникации без контроля – это очень рискованно. Информация стоит дорого, и ее нужно беречь.

 

Для иллюстрации последствий бесконтрольного использования средств коммуникации в примерах описаны ситуации, с которыми нам приходится сталкиваться в последние два года.

 

Несут ли компании убытки в случае реализации описанных сценариев? Бесспорно, несут. В первом сценарии убытки состоят в расходах на бездельников и новых сотрудников, набираемых на дополнительно открытые вакансии. Последствия второго – большое число необеспеченных кредитов, которые могут быть выданы банком, потеря дохода из-за действий конкурентов, которые сделали грамотные выводы на основании внутреннего документа и скорректировали свои кредитные продукты.

 

Руководство организаций серьезно озабочено подобным положением вещей. Для того, чтобы защитить себя от рисков, связанных с Интернетом, они пытаются применить модели из реальной жизни. Компании создают «правила игры»: формируют политики информационной безопасности, используют технические средства реализации этих политик – межсетевые экраны, системы фильтрации, системы контроля доступа и т.д. К самим средствам мониторинга и контроля постоянно предъявляются все новые требования. Теперь, чтобы адекватно контролировать действия пользователей, система должна иметь возможность интерпретировать HTTP-поток, уметь «вычленять» оттуда различные протоколы, реализованные «поверх» него и раcпознавать Web/2.0-приложения, такие как веб-мейлы, форумы, социальные сети («Одноклассники», Livejournal, «В контакте» и др.).

 

Существующие на рынке технические средства позволяют компании выполнять мониторинг различных по составу и объему потоков информации и на основании проведенного анализа закрывать доступ на определенные ресурсы или предоставлять доступ по расписанию, обеспечивать фильтрацию передаваемого контента.

 

«Бездумное» ограничение свободы часто приводит к обратному результату: сотрудник или теряет возможность качественно исполнять свои должностные обязанности, или находит способ обойти созданное препятствие. Высока вероятность, что для «черного входа» он будет пытаться использовать новейшие технические достижения, средства контроля которых в настоящий момент компания еще не внедрила.

 

Шаги к успеху

 

По моему опыту, значительная часть нарушений при работе с использованием Интернета происходит скорее по невнимательности или случайно, чем по злому умыслу. Положительный эффект в данном случае дает активная позиция службы информационной безопасности и руководства компании в области повышения знаний сотрудников в части ИБ.

 

Я считаю, что в сложившихся обстоятельствах руководство компаний может сделать следующие эффективные шаги:

 

    1. разработать и держать в актуальном состоянии поли-тику информационной безопасности компании. Политика должна быть описана простым языком. Основные ее положения необходимо рассказывать новым сотрудникам на первом же инструктаже;
    2. внедрить средства, действительно реализующие эту политику. Не можете позволить себе некоторые средства контроля – уберите соответствующие пункты из политики;
    3. информировать сотрудников о том, что практически все действия в корпоративной сети могут контролироваться. Следует определить и явно озвучить правила и ответственность за их нарушение;
    4. скорректировать мотивационные схемы персонала. О наличии должностных инструкций, регулярной оценке сотрудников, своевременной индексации оклада, социальном пакете и т.д. упоминать не буду – эта работа проводится в большом числе компаний. Эффективным может быть введение нормативов на выполнение определенных типовых операций. В этом случае персонал мотивирован на то, чтобы контролировать свою загрузку в рабочее время.

 

 

Пример 2. Мы «общаемся»
Фрагмент конфиденциального документа банка Y опубликован на Facebook. Опубликованный документ – схема и ее описание, объясняющие внутренние правила предоставления кредитов физическим лицам.

 

Желая предупредить возможные возражения насчет описанных выше рекомендаций, я хотел бы отметить, что не понаслышке знаю о дефиците квалифицированных кадров на рынке труда, о «космических» ценах за найм персонала, о «хантинге» через социальные сети. Прошу вас задуматься над следующей мыслью – для удержания своей позиции на рынке компания должна идти вперед; для выхода на новые рынки и получения новых клиентов компания вынуждена «бежать командный кросс». Результат засчитывают по последнему участнику, пересекшему финиш. Если ваша команда неэффективна, вы не победите.

 

Небольшой пример в заключение – все сотрудники компаний Кремниевой долины подписывают соглашение о неразглашении. Многие из них переходят на сторону конкурентов, а также открывают свой бизнес на основе идей, наработанных в прежней компании. На них никто не показывает пальцем. Топ-менеджмент понимает, что люди, вовлеченные в новый бизнес, тоже будут доступны на рынке труда. И через некоторое время появится шанс нанять неплохие головы с нужным опытом для достижения успеха.

Уведомления об обновлении тем – в вашей почте

Сохранить и не преумножить

Сегодня ни для кого не секрет, что объем хранимой информации во всем мире ежегодно увеличивается, причем рост данных происходит экспоненциально. Например, согласно исследованиям аналитического агентства Enterprise Strategy Group, объемы хранимой в мире почтовой переписки ежегодно удваиваются, и в 2012 году суммарный объем превысит 13 ПБ данных.

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

"Дозор-Джет" демонстрирует новый рекорд производительности

Специалисты компании "Инфосистемы Джет" провели тестирования продуктов линейки "Дозор-Джет" на новой платформе Sun Microsystems — серверах Sun Fire Т1000/Т2000 с технологией CoolThreads.

Волков бояться? Или все-таки в лес?

Если в компании встает вопрос о расследовании утечек информации, то, как правило, существуют те или иные признаки того, что подобная утечка вообще произошла

Простая методика принятия решения по инцидентам, выявленным DLP

DLP-системы или их упрощенные аналоги (системы контроля работы сотрудников) используются во многих организациях, обеспокоенных угрозой утечки информации или инцидентами экономической безопасности

«Если ваш безопасник не умеет программировать, увольте его и наймите нормального»

Кирилл Ермаков, СТО компании QIWI, — личность известная. Кто-то знает Кирилла как жесткого спикера, способного озвучивать «неудобную» правду о рынке ИБ, кто-то — как создателя Vulners, яркого приверженца Bug Bounty и топового багхантера.

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня