`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Владимир Безмалый

Безопасность начинается с обучения сотрудников!

+612
голосов
Вроде очевидная фраза? Оказывается нет. На мой взгляд, основной проблемой безопасности являются:

·         Недоученные и высокомерные сотрудники ИТ и ИБ (информационная безопасность)

·         Безграмотные пользователи, особенно пользователи и ИТ с инициативой!

Почему? Да вроде бы все очевидно… Проблема недоученных ИТ в их высокомерно-снисходительном взгляде на проблемы пользователей. Все проблемы безопасности такие сотрудники будет решать исключительно техническими методами, а неграмотные сотрудники ИБ исключительно с помощью запрещающих бумаг и приказов, ведь они же уверены, что пользователи должны их бояться. Смешно? Было бы смешно, когда бы ни было так грустно!

Эффективность таких мероприятий приближается, на мой взгляд, к нулю! Почему? Потому что в этом случае недовольные пользователи, не понимая суть и смысл ограничений, более того, воспринимая это как бессмысленную попытку ограничения их свободы, начнут саботировать эти решения, пытаясь обойти их или даже жалуясь руководству компании. А если еще и руководство не до конца понимает цель принятия данных мер, то подобные начинания ИТ (ИБ) ждет полный провал!

Как же быть? На самом деле выход только один – обучать! Обучать пользователей, показывая им не столько выгоду компании от внедрения тех или иных ограничений для самих же пользователей, сколько выгоду конкретного сотрудника, объясняя им на конкретных примерах эту выгоду.

Возьмем конкретный пример. Парольная защита. Длина и сложность паролей.

Сколько раз всем нам приходилось говорить о необходимости создания сложных паролей? А толку? Как только усиливаются требования к паролям, они появляются на мониторах, клавиатурах, в столах…

Сколько раз всем нам приходилось слышать: «Маша, отправь мои данные (закрой счет) и т.д. Я на минутку на обед (в магазин) и т.д.» Я не прав? Прав! А в чем причина? Причина в том, что люди не осознают опасность, исходящую в данном случае от соседа! И убедить их в этом можно лишь на примере, пусть даже и придуманном! Вывод? Пользователей нужно учить! Раз в полгода проводить зачеты, раз в год – обучение. Естественно, это весьма приблизительный график, но согласитесь, это нужно. Причем привязывать итоги тестов к материальной заинтересованности (премии и т.д.). Сложно? Безусловно. Накладывает обязательства на ИБ (ИТ)? Безусловно.

Второй важный вопрос – нужно ли учить ИТ-персонал? Конечно нужно.

Необходимо даже, на мой взгляд, ввести некий внутренний форум (рассылку) по вопросам ИБ. Вместе с тем нужно понимать, что те вопросы, которые интересны и важны системному администратору, совершенно не интересны администратору баз данных или сотрудникам службы поддержки и наоборот. То есть, сотрудник ИБ, на которого возложен контроль вопросов, связанных с обучением, обязан учитывать подобные вопросы. Тяжело ли это? Безусловно. Однако всегда стоит понимать, что происшествий, возникших из-за незнания, будет гораздо больше, чем умышленных происшествий. Соответственно, если есть возможность их уменьшить – нужно уменьшать! Думаю, что с этим сложно не согласиться.

Поэтому рекомендую заранее продумать некий план мероприятий по обучению как ИТ, так и пользователей вопросам безопасности.

Как мне кажется, говоря о безопасности на предприятии, следует учитывать тот фактор, что большинство пользователей сегодня имеет ПК дома. И если служба ИБ будет это учитывать, например при объяснении тех же проблем аутентификации (необходимость сложных паролей при посещении сайтов социальных сетей, при пользовании электронной почтой), то пользователи запомнят это гораздо лучше. Будет ли нам с вами польза от такого подхода? Безусловно. И прежде всего в том, что пользователи наконец-то начнут доверять ИБ и понимать, что данная служба предназначена прежде всего для того чтобы им помочь, а не только приказать и наказать!

Мне очень хотелось бы услышать ваше мнение, уважаемые читатели.

Заранее благодарю.

С уважением Владимир Безмалый

+612
голосов

Напечатать Отправить другу

Читайте также

В целом - согласен. Однако тема в категории "Корпоративные решения. Защита информации" могла бы быть раскрыта немного шире. Тем более, что даже обучение сложно будет начать без "решения о проведении обучения" на корпоративном уровне!
Можно поговорить о типах и категориях информации, уровнях доступа и планах по непрерывности бизнеса...
Или я не уловил целевую аудиторию заметки?

Все верно. Однако размер заметки в блоге не предполагает целостную статью, не находите?
Microsoft Security Trusted Adviser
MVP Consumer Security

Потому что в этом случае недовольные пользователи, не понимая суть и смысл ограничений, более того, воспринимая это как бессмысленную попытку ограничения их свободы, начнут саботировать эти решения, пытаясь обойти их или даже жалуясь руководству компании. А если еще и руководство не до конца понимает цель принятия данных мер, то подобные начинания ИТ (ИБ) ждет полный провал!

если принципы информационной безопасности применяются в одинаковой мере и к рядовым сотрудникам, и к высшему руководству, то тогда руководитель будет понимать, что служба ИТ заботится о предприятии, а не создает препятствия в работе, и тогда поддержка в любых начинаниях, связанных с ИБ, будет гарантирована

Хорошо, будем считать, что выше мы упомянули сопутствующие понятия и целиком обратились к предмету заметки. Начнём с домашнего ПК.
Идея с затрагиванием тем по применению "правил безопасности" дома на первый взгляд хороша, так как должна найти точки соприкосновения. Однако этот подход содержит несколько рискованных моментов.
Во-первых, даже в рамках одного подразделения сложно найти одинаковые модели использования ИТ в быту. Вариантов может быть много, а ресурс проведения и подготовки обучения весьма ограничен.
Во-вторых, на корпоративном уровне немного неуместно упоминать социальные сети и другие понятия, если они не привязаны к корпоративному бизнесу. Ну не принято это в КОРПОРАЦИЯХ. (Отдельно можем обсудить термины)
В-третьих, невозможно создать обучающий материал, одинаково подходящий и рядовым сотрудникам и руководителям на базе использования домашнего ПК. Руководителям это не будет интересным в принципе. При незыблемости "принципов информационной безопасности для всех" обучение должно строиться также на единых образах и понятиях. Оно может быть разным по глубине и по формату, но я не могу представить себе использование социальных сетей как ключевой момент. Может, стоит говорить об этом в рамках выработки терминологии ИБ? Тогда да, но только в качестве примера. Это больше имеет отношение к правилам проведения презентаций...

Анатолий Павлюченко:
невозможно создать обучающий материал, одинаково подходящий и рядовым сотрудникам и руководителям на базе использования домашнего ПК

Чем домашний ПК радикально отличается от корпоративного?

Чем руководитель хуже рядового сотрудника - у него туже с пониманием или, наоборот, он имеет специальный прирождённый навык в области защиты информации?

Если Вы пробовали создавать хоть какой-то обучающий материал по ИБ (плакат, слайд, презентацию, электронное письмо), то поведайте нам в чем же невозможность?

Это всё потому, что «формат заметки» не позволил уточнить исходные данные.
Я не даром выделял слово корпорация (http://ru.wikipedia.org/wiki/Корпорация). Кроме формы собственности, термин корпорация предполагает весьма немаленький размер предприятия и специфические трудовые отношения (по терминологии Майкрософт – крупное предприятие). Для нас значимым является то, что существует «верхний эшелон» управления профессиональных менеджеров. Есть также уровень руководителей среднего звена и так далее. Так вот мой опыт говорит мне, что высшее руководство прекрасно обходится без собственных домашних ПК. Да и на работе большую часть околокомпьютерной деятельности выполняют помощники и секретари.
Для предприятий поменьше возникает другое противоречие – а кому нужно это обучение, если проще ввести жёсткие нормы и правила и следить за их неукоснительным исполнением? Это всё равно нужно делать, а выделять ресурс для подготовки и проведения обучения – только по инициативе руководства предприятия. Т.е. для руководства этого делать уже не надо! Они и так понимают.
Собственно, я и откликнулся на эту заметку потому, что она требует очень специфических исходных данных для того, чтобы такое обучение было к месту…

Анатолий Павлюченко:
Для нас значимым является то, что существует «верхний эшелон» управления профессиональных менеджеров. Есть также уровень руководителей среднего звена и так далее. Так вот мой опыт говорит мне, что высшее руководство прекрасно обходится без собственных домашних ПК. Да и на работе большую часть околокомпьютерной деятельности выполняют помощники и секретари.

Анатолий,

я работаю в достаточно большой Корпорации (дабы исключить возможные сомнения, заверю, что она наверняка попадает в скормные рамки написанного сегодня в Википедии). Я отношусь к руководителям среднего звена и ежедневно общаюсь как с простыми и со средними, так и высшими чинами Корпорации. За период своей я работы общался с очень большим количеством людей работающих на разных постах. И могу с уверенностью сказать, что высшее и среднее руководство в Корпорации не использует служебный компьютер для решения личных задач, а имеет в необходимом количестве личные ПК для удовлетворения личных нужд как своих, так и домочадцев. (Допускаю, что кто-то заказывал для себя билеты через интернет или же бронировал отель для предстоящего отпуска пользуясь служебным ПК, но не более того.)

Про секретарей (точнее секретарей-машинисток), увы, у нас остался стереотип ещё с советских времен как о машиниске, которая печатает все необходимые документы и кладет в папку «На Подпись». Я разочарую Вас: хорошие ассистенты делают свою ассистентскую работу, а хорошие менеджеры заняты своей. Просто ассистентов нанимают для решения стандартных "технических" вопросов, а менеджеры заняты своей "профильной" работой. И компьютер менеджерам нужен не "для престижа", а для работы и служебная информация имеет гриф секретности на уровень или два выше чем у секретаря. Поэтому и "сложный" пароль для них важнее чем для остальных.

Если менеджер понимет, что безопасность важна для бизнеса, то он будет требовать соблюдения трбований ИБ и от себя, и от остальных. А потратив разумные силы на обучение персонала, гораздо легче получить соблюдение норм ИБ без драконовских подходов...

Вот и вся специфика — в культуре информационной безопасности, не более того. И эта культура ИБ применима и к корпоративному, и к домашнему компьютеру.

Итак имеет значение наличие культуры ИБ в структуре, а не её эшелонированность.

Алексей,

Итак имеет значение наличие культуры ИБ в структуре

Да, информационная безопасность является составным компонентом корпоративной культуры. В своей работе я достаточно часто использую термин «производственная культура». Однако на практике пока ни разу не удавалось совместить два термина «культура» и «безопасность». Безопасность может позволить себе быть не культурной!
С точки зрения функциональности всем известна аксиома: Функциональность абсолютно безопасной системы равна нулю. Здесь нет места культуре. Обсуждение этого тезиса предлагаю перенести в приват.
Теперь немного по пунктам…

И могу с уверенностью сказать, что высшее и среднее руководство в Корпорации не использует служебный компьютер для решения личных задач

Противоречит этому:

Допускаю, что кто-то заказывал для себя билеты через интернет или же бронировал отель для предстоящего отпуска пользуясь служебным ПК, но не более того.

Вы либо уверены, либо допускаете. Для уверенности необходима, как минимум, налаженная СУИБ со строгими превентивными и реактивными контролями.

Поэтому и "сложный" пароль для них важнее чем для остальных.

Сложность пароля не есть производная «эшелонированности» персонала, а лишь коэффициент важности информации, как Вы писали выше.

А потратив разумные силы на обучение персонала, гораздо легче получить соблюдение норм ИБ без драконовских подходов...

«Драконовские подходы» никто и не предлагал. Да и само обучение прекрасно вписывается и в корпоративную и производственную культуру. Просто необходимы четко описанные исходные данные, о чём я писал выше.
Кстати,

И могу с уверенностью сказать, что высшее и среднее руководство в Корпорации не использует служебный компьютер для решения личных задач

Когда я говорил о различиях, я имел в виду, что домашнего ПК может и не быть вовсе! И вообще, я начинал комментировать с того, что нецелесообразно притягивать домашний ПК в процесс обучения корпоративной ИБ.
P.S. Судя по отсутствию комментариев как автора, так и других посетителей, тема интересна только нам двоим. Предлагаю перенести обсуждение в приват. Мой ящик на гугле apavluchenko

Анатолий,

тут и дискутировать не о чем - мы с Вами видим ситуацию сходным образом. Безусловно могут быть некоторые нюансы в подходах при реализации конкретной СУИБ и ее использовании, но это уже детали на фоне наличия или отсутствия культуры ИБ в Корпорации.

А культуру ИБ в обществе и в Корпорации можно создать только ведя просветительскую работу публично.

На самом деле с удовольствием прочел ваши комментарии, увы, ответить смог только сегодня.
Да, вы правы, нужно понятие корпоративной культуры, как и культуры безопасности. Но сегодня ее просто нет. Я уже неоднократно писал и говорил об этом на блоге. Но воз и ныне там и боюсь так будет еще долго!
Microsoft Security Trusted Adviser
MVP Consumer Security

Я честно говоря не уверен что так уж и нужны очень сложные пароли на данном уровне развития технологий безопасности в компьютерных системах и сетях.

Приведу пример:
Есть пользователь А с паролем рыба. Есть LC4+ с словарем в котором это слово есть. При взломе слово рыба подберется быстро, однако политика входа в систему запрещает более чем 3 попытки входа в систему подряд. Вместе с этим сотрудники при отлучке с рабочего места блокируют систему (по крайней мере стараются это делать) и на шлюзе стоит IDS, которая распознает попытки подбора пароля по сети. В такой ситуации вот такой простой пароль достаточно эффективен во многих и многих случаях. Кроме этого он функционален - его легко запомнить, и легко обьяснить пользователю почему рыба а не 111 (обьяснения почему kldsjfo479"#$ а не 111 поймет хорошо если 0,5 процента пользователей корпоративной сети, знакомых хотя бы понаслышке с азами криптографии) - что хорошо повлияет на дисциплину в сфере ИБ на предприятии.

Может быть я что-то упустил, в таком случае прошу поправить.

1) Если мой сотрудник выполняет финансовую транзакцию в системе клиент-банк, то пароль "рыба" меня никак не устраивает, т.к. будучи перехвачен он позволит получить доступ к банковскому счету злоумышлннику.
2) Если IDS веведен из сторя злоумышленником, то слово "рыба" станет легкой добычей злоумышленника.
3) Если сотрудник приучен вводить всегда сложный пароль, то с этого начинается его ИБ культура.
И т.д.

Сложно не согласиться!
Microsoft Security Trusted Adviser
MVP Consumer Security

1) в системе клиент-банк с паролями обычно все отлично, только в таких системах и понимают сотрудники что нужно использовать сложные пароли. Кроме этого в таких системах повсеместно используется шифрование данных, что учитывая наши экономические реалии организация за те несколько лет что потребуются на расшифровку просто сменит счет в банке.

2) Это вообще-то архисложная задача..эксплоитов для IDS мало, возможно существуют еще privacy exploits, о которых мы не знаем, но учитывая что IDS мониторит весь траффик и нужно это обойти то существует 2 метода взлома IDS извне - маскировка намерений в разрешенном траффике, взлом системы и отключение IDS; использование "сырых" сокетов (правда последний раз анализом методов я занимался год 5 назад).

3) Юристы часто рассказывают о правовой культуре, финансисты о финансовой культуре - сколько ж нужно обычному менеджеру иметь "культур" чтобы банально делать свою презентацию? Считаю что имплементировать определенные стандарты в организации нужно (ессно те что сообразуются с бизнес-целями компании), однако делать это нужно плавно и постепенно, дабы не мешать людям заниматься их основной деятельностью (в контексте ИБ можно после\вместо "рыбы" учить использовать "hs,f" - англ. вариант, и со временем усложнять).

сколько ж нужно обычному менеджеру иметь "культур" чтобы банально делать свою презентацию?

культура - это умение соблюдать принятые правила и ничего более...

т.е. надо иметь только одно умение соблюдать правила :)

Если вы умеете соблюдать правописания и граматики, то, возможно, присутствует культура языка, если все станут соблюдать ПДД, то мы, вероятно, сможем сказать "на наших дорогах наблюдается культура вождения автомобилей", соблюдение законодательства - "правовая культура", и т.д.

соответственно нарушение каких-то правил - это отсутствие культуры

Если написать в правилах информационной безопасности предприятия требования к сложности пароля, довести это до сведения каждого из сотрудников, и, естественно, настроить в соответствии с этими правилами т.н. "парольный фильтр" (Password Filter, Dictionary Filter), то на следующий день вы уже вправе от всех требовать исполнеиня этих правил. И на этом "плавность и постепенность" зкакнчивается, а менеджер переключается на другие животрепещущие вопросы управления своим предприятием.

Если вы хотите раз в месяц добавлять одно новое требование, которое постепенно усложняет пароль, то кроме непонимания со стороны своих сотрудников, всяческого их запутывания и необоснованной траты своего времени вы ничего не достигнете.

1. Даже при развитой правовой культуре на финансовую культуру просто не будет хватать памяти..более продвинуто это называется "синдром дефицита внимания". Если же концентрироваться сугубо на исполнении правил то о каких то результатах можно просто забыть.

2. Написать то можно, далее надо:
а) утвердить - не факт что руководство воспримет подобные резкие нововведения в принципе
б) довести до внимания сотрудников - сотрудники могут просто забыть о новой очередной бумажке (мало их приходит каждый день? приказы на пользование мобильной связью, автотранспортом, диспиплинарных взысканиях, праздниках, премиях, внедрениях....)
в) настройка же Политики паролей например с помощью оснастки mmc приведет к тому что изрядное количество бизнес-процессов просто застопорится, что создаст уже новую угрозу безопасности компании (на сей раз экономической безопасности)

3. Я лично не люблю слишком что-то растягивать, но практика показывает что попросту невозможно сделать в действительно большой организации что-то за один раз. Однозначно придется как минимум делать проверку и доделывать, а скорее всего возвращаться к вопросу каждый год.

4. Вообще-то на более-менее солидном предприятии обычно есть отдельная должность "офицер ИБ", который и занимается все время защитой информации уровня коммерческая информация\коммерческая тайна (для служебного пользования, гостайну и совершенно секретную защищает Госспецсвязь - в нее не так давно ДСТЗИ влился). И занимается он этим все время, менеджер то тут причем? Ему только подтвердить или забраковать начинания.

настройка же Политики паролей например с помощью оснастки mmc приведет к тому что изрядное количество бизнес-процессов просто застопорится

извините, пользуясь терминологией Станиславского "не верю"

речь не идет о применении конкретной оснастки, а речь о требовании к сложности пароля, сроку его действия и т.д. - чем это будет достигнуто зависит от архитектуры конкретной системы и ее модулей безопасности.
Возможно этой системой является 1С:Предприятие 7.7, тогда mmc не имеет значения для её администрирования (поверьте такие ограничения в 1С:Предприятии вполне реализуемы на практике).

Если появление сложного пароля может застопорить бизнес процессы, то это может означать, что пароля или вовсе не существовало, или все и всегда пользовались универсальным паролем из разряда "12345".

А для чего человечество придумало ПАРОЛЬ?

Алексей, Вы наверно будете в шоке, но я ответственно заявляю, что 12345 это сравнительно сложный пароль...сравнительно с фактами паролей наблюдаемых мною в жизни. Это два мегапопулярных пароля - "11111" и " ". Правда вреда (убытков) от этого я так ни разу и не увидел - потому что паролем-супервизором выступали подпись и соответствующий бланк, т.е. идентификация человека в бизнес-процессе не по признаку "что знает человек", а по признакам "кто есть человек", "что имеет человек" (например платежка сделанная в любой системе управления финансами).

Насчет требования срока действия - видел как оно работает. Пароль 1111 меняют на 11111 и наоборот. Может быть стоит начинать не с культуры ИБ, а с культуры ИТ вообще. Чтобы люди понимали значение ИТ технологий в окружающей их жизни.

Александр,

Я свою лепту в этом направлении (т.е. создание ИТ & ИБ культуры на предприятии) вношу уже не первый год и достиг опеделенных успехов. Поэтому, я уверенно могу говорить о практической стороне процесса, а не только чисто теоретической.

Просто нужно взять за первый постулат ИБ, что пароль должен быть сложный, а там, где это необходимо, вводится еще дополнительная система требований и многофакторных проверок - что я знаю, что я имею, кто я есть в необходимых комбинациях...

PS.
Платежка не идентифицирует человека - это лишь распоряжение владельца счёта (большей частью это юридические лица) обслуживающему его банку, оформленное расчётным документом, перевести определённую денежную сумму на счёт получателя средств, открытый в этом или другом банке (т.е. это есть лишь первичный расчётный документ в лучшем случае "удостоверяющий" данную банковскую транзакцию).
Т.о. по платежке, к примеру, меня идентифицировать никак не получится...

Алексей, может быть у Вас просто больше опыта, я лично имею сертификаты и образование по ИБ, курирую сектор ИБ в службе безопасности со стороны ИТ службы, но особого опыта у меня нет. Просто вижу в самых разных местах что имплементировать ИБ в действующие бизнес-процессы крайне трудно и малорезультативно. В любом случае, спасибо за дискуссию.

P.S. Да, пример с платежкой неудачный_)

Многие корпорации строят свою деятельность на основе строгой иерархии по показателю важности для основного бизнеса. Поэтому, если ИБ не есть основной бизнес, то именно ИБ причёсывают под потребности других. При этом довольно часто используют принцип упрощения входа в различные информационные системы с единым паролем для входа в операционную систему (SSO - Single Sign On). Раз ввёл пароль - и далее везде автоматом. Это накладывает свои требования на формирование одного (единого) пароля. С одной стороны это позволяет сказать, что ИБ подстраивается под потребности бизнеса (удобство), а с другой - даёт право на формирование этого пароля в соответствии с оптимальными рекомендациями ИБ. Сама сложность, как я писал выше, определяется важностью самой критичной информации. Где-то это может быть kldsjfo479"#$, а где-то рыба (ну точно не 111). Решать по месту...Ну и политику, конечно, про блокирование экрана надо (и ручками, и через ОС по таймеру).

Без SSO можно использовать ту же логику: не важно кто и как будет ломать пароль, важно осознание критичности информации пользователями этой информации.

Upd. Пока писал, тут уже немного ответили. Я как-то сразу перешёл на уровень отношений с бизнесом.

Согласен с автором. Методом последовательного устранения проблем всё равно приходим к этому: главная проблема - в прослойке между спинкой стула и... (дальше все знают).
И решение проблемы - это не замена прослойки, а её обучение.
Был комментарий про руководство. Человек, работающий на Украине, знает национальную черту руководящего работника: "Шо? Ти мене вчити будеш? Ломоносов! Пиши заяву!"

Спасибо за поддержку. Все верно. Либо мы сможем их выучить либо нас просто задавят огромным количеством глупых вопросов и ситуаций
Microsoft Security Trusted Adviser
MVP Consumer Security

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT