© 1995-2021 Компания «Инфосистемы Джет»
Интернет – взгляд на психологию пользователей и безопасность в организации
Информационная безопасность

21-й век. Локальные конфликты, пробки и повышение цен на бензин. Люди вольно или невольно получают и обрабатывают огромные информационные потоки.

Информационная безопасность Тема номера

Интернет – взгляд на психологию пользователей и безопасность в организации

23.03.2011

Посетителей: 28

Просмотров: 24

Время просмотра: 1.2 мин.

21-й век. Локальные конфликты, пробки и повышение цен на бензин. Люди вольно или невольно получают и обрабатывают огромные информационные потоки.

 

 

Три стандарта сотовой сети, локальная сеть. В кармане – компьютер. Дома – компьютер. На работе – два компьютера. Холодильник «подписался» на рассылку рецептов, стиральная машинка «шлет е-мейлы», что она скучает. Почта корпоративная, личная на веб-мейлах, короткие сообщения, социальные сети, Twitter, торренты и файлообменники. Информацию теперь мы находим в Интернете. Телевизоры транслируют YouTube и IPTV. В целом, ничего плохого не произошло. Просто значительно ускорились процессы обмена и распространения информации: то, на что раньше уходила неделя, сейчас занимает час, и мы к этому привыкли.

 

Это удобно и быстро, потому что позволяет нам лучше делать свое дело и поддерживать отношения с нужными людьми. Общество получило возможность жить «двойной» жизнью – в реальном мире и в Интернете.

 

Интернет как часть нашей жизни

 

Компаний, которые не используют «глобальную паутину», уже практически не найти. Сети позволили нам значительно ускорить обмен информацией и повлияли на целый комплекс условий человеческого существования. В наши дни распространение информации ничего не стоит. В результате мы отказываемся от «ненужных» нам СМИ. Это не означает, что газет и журналов больше не существует – теперь мы сами можем выбрать те из них, которые прямо сейчас нам больше подходят. Выбор поведения в информационном пространстве – наша личная ответственность. Мы получили возможность практически бесплатно обмениваться информацией и огромное количество способов это сделать.

Интернет как территория столкновения интересов работника и работодателя

 

Несмотря на развитие современных ИТ-технологий, большинство из нас все же работает в офисе, а не из дома. Для огромного количества людей постоянная работа в коммерческой или государственной организации – основной источник дохода. Компании населяют сеть, используя возможности коммуникации для ведения бизнеса. И в этом постоянном движении более прибыльным является тот, у кого работа организована лучше, чем у конкурентов. Реализацией всех процессов занимаются люди. Следовательно, больший доход получит та организация, в которой работают более эффективные сотрудники.

 

Контроль эффективности работы ложится во многом на самого работника, а не на его начальника. Степень участия в процессе производства начинает определять сам сотрудник: что ему прямо сейчас милее, «потрепаться» в социальной сети или сводить километровую таблицу в Excel в очередной раз?

 

Пример 1. Мы «работаем».
Представьте себе такой диалог:
– Ты где сейчас работаешь?
– В компании Х. Отличная компания. Платят неплохо. Хороший коллектив в департаменте. Весь день на «Одноклассниках» и в «Мамбе» сидим.
– А вам в компанию специалисты с моим опытом не нужны?
– Конечно, нужны! Руководство говорит, что людей не хватает. А наша кадровая служба даже объявила бонус тем сотрудникам, которые приведут кандидата, и он пройдет испытательный срок.

 

В результате мы можем сформулировать конфликт следующего характера: работодателю невыгодно ограничивать сотрудника в средствах коммуникации. Да и полностью решить эту проблему он не может, так как кроме корпоративной сети есть еще варианты онлайн-общения. Но и оставлять рабочее время без контроля работодатель не хочет. Его желание состоит в том, чтобы работники компании действовали для благополучия его бизнеса.

 

Как сохранить компанию эффективной?

 

Компании невыгодно блокирование популярных ресурсов – всегда найдется способ обойти запреты. Невыгодно также тратить силы на «преследование» нарушителей: если люди еще работают, это означает, что они полезны. Несмотря на это оставлять средства коммуникации без контроля – это очень рискованно. Информация стоит дорого, и ее нужно беречь.

 

Для иллюстрации последствий бесконтрольного использования средств коммуникации в примерах описаны ситуации, с которыми нам приходится сталкиваться в последние два года.

 

Несут ли компании убытки в случае реализации описанных сценариев? Бесспорно, несут. В первом сценарии убытки состоят в расходах на бездельников и новых сотрудников, набираемых на дополнительно открытые вакансии. Последствия второго – большое число необеспеченных кредитов, которые могут быть выданы банком, потеря дохода из-за действий конкурентов, которые сделали грамотные выводы на основании внутреннего документа и скорректировали свои кредитные продукты.

 

Руководство организаций серьезно озабочено подобным положением вещей. Для того, чтобы защитить себя от рисков, связанных с Интернетом, они пытаются применить модели из реальной жизни. Компании создают «правила игры»: формируют политики информационной безопасности, используют технические средства реализации этих политик – межсетевые экраны, системы фильтрации, системы контроля доступа и т.д. К самим средствам мониторинга и контроля постоянно предъявляются все новые требования. Теперь, чтобы адекватно контролировать действия пользователей, система должна иметь возможность интерпретировать HTTP-поток, уметь «вычленять» оттуда различные протоколы, реализованные «поверх» него и раcпознавать Web/2.0-приложения, такие как веб-мейлы, форумы, социальные сети («Одноклассники», Livejournal, «В контакте» и др.).

 

Существующие на рынке технические средства позволяют компании выполнять мониторинг различных по составу и объему потоков информации и на основании проведенного анализа закрывать доступ на определенные ресурсы или предоставлять доступ по расписанию, обеспечивать фильтрацию передаваемого контента.

 

«Бездумное» ограничение свободы часто приводит к обратному результату: сотрудник или теряет возможность качественно исполнять свои должностные обязанности, или находит способ обойти созданное препятствие. Высока вероятность, что для «черного входа» он будет пытаться использовать новейшие технические достижения, средства контроля которых в настоящий момент компания еще не внедрила.

 

Шаги к успеху

 

По моему опыту, значительная часть нарушений при работе с использованием Интернета происходит скорее по невнимательности или случайно, чем по злому умыслу. Положительный эффект в данном случае дает активная позиция службы информационной безопасности и руководства компании в области повышения знаний сотрудников в части ИБ.

 

Я считаю, что в сложившихся обстоятельствах руководство компаний может сделать следующие эффективные шаги:

 

    1. разработать и держать в актуальном состоянии поли-тику информационной безопасности компании. Политика должна быть описана простым языком. Основные ее положения необходимо рассказывать новым сотрудникам на первом же инструктаже;
    2. внедрить средства, действительно реализующие эту политику. Не можете позволить себе некоторые средства контроля – уберите соответствующие пункты из политики;
    3. информировать сотрудников о том, что практически все действия в корпоративной сети могут контролироваться. Следует определить и явно озвучить правила и ответственность за их нарушение;
    4. скорректировать мотивационные схемы персонала. О наличии должностных инструкций, регулярной оценке сотрудников, своевременной индексации оклада, социальном пакете и т.д. упоминать не буду – эта работа проводится в большом числе компаний. Эффективным может быть введение нормативов на выполнение определенных типовых операций. В этом случае персонал мотивирован на то, чтобы контролировать свою загрузку в рабочее время.

 

 

Пример 2. Мы «общаемся»
Фрагмент конфиденциального документа банка Y опубликован на Facebook. Опубликованный документ – схема и ее описание, объясняющие внутренние правила предоставления кредитов физическим лицам.

 

Желая предупредить возможные возражения насчет описанных выше рекомендаций, я хотел бы отметить, что не понаслышке знаю о дефиците квалифицированных кадров на рынке труда, о «космических» ценах за найм персонала, о «хантинге» через социальные сети. Прошу вас задуматься над следующей мыслью – для удержания своей позиции на рынке компания должна идти вперед; для выхода на новые рынки и получения новых клиентов компания вынуждена «бежать командный кросс». Результат засчитывают по последнему участнику, пересекшему финиш. Если ваша команда неэффективна, вы не победите.

 

Небольшой пример в заключение – все сотрудники компаний Кремниевой долины подписывают соглашение о неразглашении. Многие из них переходят на сторону конкурентов, а также открывают свой бизнес на основе идей, наработанных в прежней компании. На них никто не показывает пальцем. Топ-менеджмент понимает, что люди, вовлеченные в новый бизнес, тоже будут доступны на рынке труда. И через некоторое время появится шанс нанять неплохие головы с нужным опытом для достижения успеха.

Уведомления об обновлении тем – в вашей почте

Средства анализа в «Дозор-Джет»

Требование, которое стояло перед системами защиты от утечек на протяжении нескольких последних лет, выполнено: сегодня контролю подвергаются все или практически все каналы утечки информации. Проблема сегодняшнего дня – как в этом непрерывно растущем потоке данных найти утечку.

Есть ли жизнь после DLP, или Будущее кибербезопасности

Специалисты размышляют о том, какое будущее ждет информационную безопасность и найдется ли в нем место для DLP

В главной роли – DLP

Почему работа с DLP-системой напоминает просмотр сериала «Санта-Барбара», повлиял ли экономический кризис на типы и ...

TOП 3 самых популярных задач для DLP

Как показывает наша практика, можно выделить определенный набор задач информационной безопасности, решение которых позволяет организации защитить наиболее критичные данные

Компания «Инфосистемы Джет»: разработки в области информационной безопасности

К преимуществам этого способа передачи информации относятся: оперативность, доступность, универсальность передачи данных разных форматов, сравнительно невысокая стоимость сервиса, надежность, высокая скорость доставки информации

DLP как пазл, который должен сложиться

О практике использования DLP-решения беседуем с Алексеем Фроловым, руководителем Департамента по безопасности и режиму ПАО «Корпорация Иркут»

Интегрировать нельзя игнорировать

Разумеется, мы хотим интеграцию с максимально возможным количеством систем, хотим выжать всю возможную информацию из всех мыслимых источников…

5.0 - стоила ли игра свеч?

Мир не стоит на месте, и нам хочется продолжать соответствовать запросам клиентов и очевидным требованиям рынка

"Дозор-Джет" на операционной системе Red Hat Enterprise Linux для средних и малых предприятий

Линейка продуктов "Дозор-Джет" предназначена для защиты корпоративных сетей от рисков, связанных с доступом в Интернет.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня