`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Разработка стратегии снижения вероятности и минимизации последствий ИБ-инцидентов

Несмотря на то, что разработка стратегии снижения вероятности и минимизации последствий ведется всегда специалистами отдела информационной безопасности, грамотное выполнение этого этапа невозможно без комплексного видения целей и задач всей организации. Связано это с тем, что у специалистов по информационной безопасности недостаточно сведений о долгосрочных целях компании и влияния тех или иных информационных рисков на них. Поэтому ответственность за принятие стратегии должна, в конечном счете, возлагаться на высшее руководство организации, которое должно данную стратегию согласовывать.

Вполне понятно, что первоначальная разработка стратегии, которая будет согласовываться с руководством организации, ляжет именно на отдел информационной безопасности. Однако для уменьшения количества последующих итераций согласования целесообразно сразу привлечь к консультациям кого-то из совета директоров (идеально – директора по безопасности, если в компании такой имеется, на него же потом можно возложить и согласование стратегии с другими руководителями компании).

После того, как стратегия управления информационными рисками разработана, к её реализации должны приступать два подразделения компании – ИТ-отдел и отдел информационной безопасности. ИБ-служба обеспечивает оперативное управление рисками в сфере ИБ и реагирует на инциденты в соответствии с разработанными ранее политиками информационной безопасности, ИТ-отдел обеспечивает работоспособность необходимых для функционирования ИБ-службы технических средств.

Впрочем, помимо этого у ИТ-отдела могут быть собственные задачи, связанные с управлением ИБ-рисками, например, с управлением риском утраты данных (ведь создание резервных копий важных данных и последующее восстановление их из резервной копии традиционно являются задачами, решаемыми ИТ-отделом).

В рамках реализации стратегии управления ИБ-рисками имеет смысл не делать ИТ-отдел подчиненным отделу ИБ и наоборот, поскольку в абсолютном большинстве случаев в любой компании задачи этих отделов достаточно сильно различаются, и то, что является важным для отдела ИБ может, например, показаться совершенно лишним руководителю отдела ИТ.

Разработка стратегии снижения вероятности и минимизации последствий ИБ-инцидентов

Ликбез по VPN — 2

В прошлом посте я рассказал еще не все о VPN, что хотел. Поэтому продолжим. Сейчас я хотел бы поговорить о двух вещах: о VPN в корпоративной среде и о мобильном VPN.

VPN для организаций

К примеру, сегодня многие компании используют VPN-соединения для организации единой корпоративной сети между находящимися на значительном географическом удалении друг от друга офисами. Такая сеть позволяет сотрудникам, находящихся в разных городах и даже разных странах, пользоваться общими сетевыми ресурсами так, как если бы эти работники находились в соседних кабинетах. VPN упрощает администрирование единой корпоративной сети и позволяет компании пользоваться услугами меньшего количества системных администраторов, чем в случае разделенных сетей в каждом офисе.

Впрочем, настоящей находкой VPN является в тех случаях, когда необходимо организовать стабильное соединение с каким-то удалённым технологическим оборудованием. В тех случаях, когда прокладывать отдельный кабель слишком сложно и накладно, а подключать напрямую через беспроводное интернет-подключение нельзя по соображениям безопасности, VPN становится единственным выходом из ситуации. Классические примеры подобного использования виртуальной частной сети – подключение охранной сигнализации удалённых объектов, управление промышленной автоматикой, для контроля транспортных средств.

Уровень надежности VPN настолько высок, что эта технология применяется и там, где жизненно необходимы высокая защищенность и бесперебойная работа сети. VPN давно применяется в банковской сфере, в частности, при подключении банкоматов и платёжных терминалов, которые значительно удалены от банковских учреждений.

Помимо экономии на оплате труда администраторов сети, VPN даёт использующим его организациям и ряд других преимуществ. VPN можно очень легко и быстро масштабировать, как подключая к сети новых пользователей, так и исключения из неё уже подключенных. Изменить конфигурацию единой VPN-сети тоже гораздо проще и быстрее, чем конфигурацию нескольких локальных физических сетей.

Помимо этого, VPN предоставляет возможность осуществлять контроль событий и действий пользователей, что позволит обеспечить выполнение удаленно подключающимися сотрудниками выполнение корпоративной политики информационной безопасности и получить необходимую информацию для расследования инцидентов, связанных с её нарушениями.

Мобильный VPN

В те времена, когда мобильная связь была способна обеспечить только низкоскоростную передачу данных, мало кто всерьёз задумывался об использовании VPN через мобильное подключение к интернету. Сегодня, когда на смену «старичкам» GPRS и EDGE пришла связь стандарта 3G, мобильный интернет становится одним из самых удобных средств организации виртуальных частных сетей для любых организаций.

Посудите сами: если раньше для того, чтобы подключиться к корпоративной сети, работнику нужно было иметь, как минимум, телефонную розетку, то сейчас эта розетка всегда с ним. И работать он может там, где ему удобно — не только дома, но и на даче или на рыбалке, не только в гостинице, но и в поезде. Сегодня, когда важно быть первым и удовлетворять потребности партнеров и заказчиков максимально оперативно, VPN через мобильный интернет может оказать немалое влияние на успех той компании, бизнес которой построен на прямых продажах.

Мобильный интернет позволяет использовать технологии VPN и соответствующие проверенные решения, разработанные для использования в локальных сетях, там, где до сих пор можно было применять только существенно более дорогие специализированные технологии. Это и уже упоминавшийся выше контроль транспортных средств, и «последняя миля» для организации связи с находящимся в труднодоступных местах оборудованием, и десятки других возможностей применения.

Нельзя и недооценивать усиливающиеся тенденции оптимизации организационных расходов с помощью перевода сотрудников, присутствие которых в офисе не носит необходимого характера, на режим удалённой работы. Впрочем, слишком увлекаться этим тож не стоит.

Резюме

Как видите, VPN — это очень полезная технология. И отделы ИБ должны быть "за" её внедрение по изложенным выше причинам. Впрочем, это моё ИМХО — своими соображениями можете поделиться в комментариях, подискутируем.

Ликбез по VPN — 2

Ликбез по VPN

Намедни столкнулся с тем, что кое-кто из знакомых не очень представляет себе, что такое VPN и зачем об вообще нужен. Поэтому позволю себе провести краткий ликбез, посвященный этой технологии. Сразу скажу, что каждому из нас присущ определённый консерватизм, однако не стоит сразу отвергать предложения, которые вам делают люди, предлагающие попробовать новую технологию – наверняка уже через очень короткое время вы привыкните к ней настолько, что будете спрашивать себя, как жили до того, как познакомились с ней. Применительно к VPN это верно на все 200%.

Аббревиатура VPN расшифровывается как Virtual Private Network, что на русский язык можно перевести как виртуальная частная сеть. Так обычно называют сеть, которая работает физически в рамках какой-то другой сети, предоставляя своим пользователям ровно те же возможности, которые имеют те, кто подключен к настоящей локальной офисной или домашней сети. То есть, VPN отличается от обычной локальной сети тем, что существует не в виде какого-либо сетевого оборудования и объединённых с его помощью компьютеров, а исключительно в виртуальном виде.

Существуют разные виртуальные частные сети, но сегодня в роли «базы» для них удобнее всего использовать Глобальную сеть – интернет. Тогда возникает вопрос: каким образом можно внутри огромной сети, вход в которую доступен каждому, выделить небольшую сеть, которая будет защищена от посторонних глаз, и в которой можно будет работать с важными документами, не опасаясь утечек информации и вредоносных программ? Ответ прост: Для того, чтобы сохранить сеть в виде именно частной сети, то есть сделать её недоступной для внешнего мира, используется шифрование. Именно оно позволяет выделить отдельный канал, по которому можно передавать даже не защищённую специальным образом информацию (например, незапароленные архивы).

Это всё замечательно, можете сказать вы. Но зачем кому-либо может понадобиться организовывать свою собственную локальную сеть в интернете? Ведь там и так есть всё, что нужно, чтобы обмениваться файлами, писать текстовые сообщения, даже разговаривать друг с другом, как по обычному телефону. Неужели всего этого недостаточно для работы и отдыха любому человеку?

Чтобы объяснить, в чем состоит основная ценность VPN, смоделируем простую и, к сожалению, не такую уж редкую ситуацию. Представьте, что вы поехали в командировку с рабочим ноутбуком, и перед важной встречей неожиданно обнаружили, что вы забыли захватить с собой один из совершенно необходимых вам по работе файлов. Вы точно знаете, что этот файл есть у вас в офисе на файл-сервере, но через интернет к нему «достучаться» нельзя. Что же остаётся в таком случае? Приходится звонить сослуживцам, отрывая их от собственных важных дел, и подолгу объяснять им, какой именно файл вам нужен, просить поторопиться с его поисками, потому что у вас срывается важная встреча, и надеяться, что капризный сервер электронной почты не подведёт, и вы успеете получить файл вовремя. И, конечно, по законам Мерфи обязательно оказывается, что или почтовый сервер отключился в самый неподходящий момент, или коллега прислал не тот файл, или почта не успела дойти до начала момента встречи. И в итоге вы, вместо того чтобы оперировать заранее подготовленными данными и графиками, пытаетесь на пальцах изложить суть своего предложения.

Совсем другое дело, когда у вас есть VPN-подключение к офисной сети, и вы сами можете скачать нужный файл с сервера. Вам не нужно тратить время на объяснения вашим сослуживцам, как именно найти интересующий вас файл, и вы больше не переживаете по поводу того, не подведёт ли электронная почта при его доставке. Время нужно только на установление подключения и на передачу файла с сервера на ваш компьютер. И, самое важное, вы больше не зависите от расторопности коллег и настроения почтового сервера.

На самом деле, доступом к файлам возможности VPN далеко не ограничиваются. С помощью этой технологии вы сможете читать почту со своего корпоративного ящика, получать информацию из корпоративных баз данных, просматривать такие корпоративные ресурсы, как планировщик задач, календарь встреч, и т.д. И командировка – не единственный случай, когда вам пригодится VPN. Он будет чрезвычайно полезен и тогда, когда вы заболели и хотите пару дней отлежаться дома с горячим чаем и ноутбуком под пледом, или когда в конце отпуска вам нужно экстренно готовиться к погружению в первый же день в работу, и во всех прочих случаях, когда вам нужен доступ к корпоративным ресурсам в тот момент, когда вы находитесь вне офиса.

Ликбез по VPN

Служба ИБ и конфликты в коллективе

К сожалению, неотъемлемым свойством всех конфликтов является желание каждой из сторон навредить друг другу, что, понятное дело, не идет на пользу общему делу – работе. Также враждующие стороны могут стараться «выжить» друг друга из компании, в результате чего та теряет ценных специалистов. А, как известно, «кадры решают всё».

Уже исходя из одного этого мониторинг конфликтов между сотрудниками с целью их урегулирования в мирном русле представляется немаловажной задачей. Отдел информационной безопасности может отслеживать конфликты, передавая информацию руководителю подразделения, в котором работают конфликтующие сотрудники, чтобы тот постарался найти соломоново решение, которое исчерпало бы конфликт.

Но, к сожалению, наиболее часто конфликты возникают не по горизонтали, а по вертикали. Поскольку руководитель отвечает за постановку и приемку задач, распределение ресурсов в команде и многие другие важные вопросы, то у подчиненного куда больше шансов вступить конфликт именно с ним, а не с кем-нибудь из своих «горизонтальных» коллег. В зависимости от типа руководителя, такие конфликты могут решаться как путем обсуждения, так и авторитарным «задавливанием» подчиненного, что по понятным причинам способствует не разрешению конфликта, а его переходу в «подпольное» состояние. Именно такие ситуации наиболее опасны, поскольку побуждают сотрудника искать способ отомстить всей компании, которую олицетворяет для него непосредственный начальник.

Подобная ситуация способствует «злокачественному перерождению» лояльного сотрудника в злонамеренного инсайдера, который распространяет закрытые корпоративные данные с целью нанесения ущерба компании. Такой сотрудник так же смертельно опасен  для компании, как злокачественная опухоль – для организма, ведь давно известно, что для банкротства компании в пяти из десяти случаев достаточно утечки всего 20% её корпоративных секретов.

Сотрудники, которые чаще всего включаются в подобную «партизанскую» борьбу с начальством – это, согласно проведенным в России компанией SearchInform исследованиям, ИТ-специалисты. На их долю приходится без малого четверть всех утечек данных, специально организованных работниками. При этом из этих утечек около 70% приходятся на тот момент, когда работник уже увольняется или уволился из компании. Среди других «специалистов» по утечкам информации – менеджеры по продажам, офис-менеджеры, линейные руководители среднего звена. Впрочем, это не значит, что отдел информационной безопасности должен выпускать из своего поля зрения других сотрудников – любой из них при соответствующих условиях может стать злонамеренным инсайдером.

Что ж, опасность «вертикальных» конфликтов для сотрудников и для самой компании очевидна, остается самая малость – понять, как их выявлять и что делать с выявленным конфликтом.

К счастью, выявление в данном случае – дело сравнительно простое. Вертикальный конфликт обычно находит свое отражение в электронной переписке между сотрудником и руководителем, их общении по Skype или ICQ, и потому если в компании внедрена нормальная DLP-система, контролирующая информационные потоки внутри и вовне организации, то выявить с её помощью конфликт сравнительно несложно. Для этого достаточно настроить её на специальные «стоп-слова», часто встречающиеся в конфликтных письмах, и тщательно отфильтровывать результаты, которые она обнаруживает в переписке. Также «вертикальные» конфликты могут быть отражены в выносящихся работнику замечаниях, выговорах и так далее.

Когда конфликт обнаружен, необходимо поставить в известность высшее руководство компании, которое будет в данном случае «третейским судьей», который сможет охладить пыл руководителя и подчиненного. В любом случае, такого подчиненного стоит поставить на особый контроль отдела информационной безопасности, поскольку вероятность организации им утечки информации заметно выше, чем в среднем по коллективу.

Таким образом, как видите, безопаснику действительно стоит знать о конфликтах, происходящих в трудовом коллективе, особенно когда эти конфликты имеют структуру «начальник-подчиненный». Вдумчивая и внимательная работа специалиста по информационной безопасности с такими конфликтами позволит избежать неприятных последствий для компании и предупредит возможные утечки конфиденциальной информации.

Служба ИБ и конфликты в коллективе

ИБ и СБ

Если нет возможности организовать полноценный отдел ИБ, лучше отдать эту функцию службе безопасности, а не ИТ-отделу. Это, в целом, довольно очевидно, поскольку именно «айтишники» являются причиной пятой части всех ИБ-инцидентов в отечественных организациях. И, как бы там ни было, все-таки обеспечение ИБ ближе к функциям службы безопасности, чем ИТ-отдела.

Проблема же, чаще всего, заключается в том, что служба безопасности не всегда владеет «предметной областью», то есть, информационными технологиями, чтобы чувствовать себя в сфере ИБ как рыба в воде. Очевидно, возникает необходимость взаимодействия отдела ИТ и СБ для того, чтобы последняя могла эффективно выполнять свои ИБ-функции. Наиболее часто руководство организации решает эту проблему, делая один отдел подчиненным другому.

Этот вариант трудно назвать удачным, и вот почему. Если отдел СБ подчиняется ИТ-отделу, то последний, в силу своих функций, начинает просто-напросто блокировать работу по обеспечению ИБ, которая представляется «айтишника» избыточной и ненужной. Вполне понятно, что в итоге имеется примерно тот же самый вариант, что и при передаче функции обеспечения ИБ просто самому ИТ-отделу. Если же, напротив, ИТ-отдел подчиняется СБ, возникает неизбежный конфликт СБ и других служб, поскольку ИТ-отдел обычно просто физически не в состоянии выполнять все задачи, которые ставит перед ним СБ, и при этом эффективно обеспечивать работоспособность других служб организации.

Равноправие отделов – тоже, в принципе, интересный, но не слишком эффективный вариант их взаимодействия, поскольку в таком случае срочные задачи, которые ставятся СБ перед ИТ-отделом, нередко оказываются в общей очереди с задачами других отделов, что приводит к утечкам информации и другим подобным инцидентам, и, как следствие, к убыткам для организации.

А вы как считаете, что лучше?

ИБ и СБ

Порочащая компанию информация в соцсетях. Как бороться?

Сегодня интернет является исключительно важным маркетинговым каналом для всех без исключения организаций. Поэтому допускать появление во Всемирной паутине информации, порочащей компанию, не просто нежелательно, а даже и опасно. Но как можно бороться с подобным явлением?

Социальные сети сегодня имеют исключительную важность для распространения информации среди пользователей. Достаточно одного «лайка», чтобы поделиться информацией со своей френд-лентой, которая у некоторых насчитывает тысячи активных пользователей. Каждый из них может передать информацию дальше — и вот она уже распространяется по лавинообразному принципу. И негативная информация, как показывает практика, может распространиться гораздо быстрее, чем позитивная. Поэтому появление в социальной сети негативного отзыва о вашей компании может произвести для неё самый настоящий эффект разорвавшейся бомбы.

Как показывают исследования, значительную часть негативных отзывов в социальных сетях генерируют сами сотрудники компании. Поэтому можно использовать испытанные в корпоративной практики инструменты контроля действий сотрудников на рабочих местах, чтобы бороться с негативной информацией о компании в социальных сетях. Прежде всего, это DLP-системы — программные продукты, предназначенные для предотвращения утечек конфиденциальной информации из организаций. DLP-система образует виртуальный защитный контур вокруг информационной сети организации, собирая и анализируя, а при необходимости и фильтруя всю проходящую через этот контур информацию. Соответственно, она сможет достаточно быстро обнаружить и негатив, отправленный сотрудником в социальную сеть, чтобы затем специалист по информационной безопасности мог нейтрализовать его.

Что именно должна делать DLP-система для того, чтобы организация могла адекватно упредить массовое распространение порочащей её информации в социальных сетях? Прежде всего, нужно организовать регулярный мониторинг публикации по названию компании, а также по ключевому списку негативных слов, таких, как «недобросовестный», «красть», «откаты» и т.д. — т.е. тех слов и словосочетаний, которые чаще всего встречаются в негативных материалах о компании, размещаемых в социальных сетях. Составлять список таких слов нужно с учетом отраслевой принадлежности компании, с учетом того, связан её бизнес с товарами либо же с услугами, с привязкой к региону и т.д. Идеально будет найти несколько десятков реальных негативных отзывов в интернете и взять их за основу такого словаря.

Если DLP-система действительно выявит факты распространения сотрудниками негативной информации о компании-работодателе, то перед применением каких-либо санкций и взысканий, лучше всего провести с сотрудником разъяснительную беседу и, в зависимости от мотивов его поведения, дать ему «испытательный срок» на исправление. Понятно, что в том случае, если отправление негативного отзыва социальную сеть повторится, речь уже однозначно должна идти об увольнении, по возможности — «по статье».

Стоит несколько слов сказать и о том, зачем работники прибегают к распространению в социальных сетях сведений, порочащих своего работодателя. Чаще всего, мотивом подобного рода действий, являются обиды на руководства, связанные с наложенными дисциплинарными наказаниями, или с недостаточной оцененностью с точки зрения самого сотрудника — то есть, даже если сотрудника никто не обижал, он вполне мог сам обидеться. Почти всегда работники размещают порочащую компанию информацию в состоянии эмоционального напряжения, например, после получения «головомойки» от начальника. Отдельный разговор — это недавно уволенные или уволившиеся работники, которые хотят как можно громче «хлопнуть дверью» и «наказать» бывшего работодателя.

Тем не менее, конечно, одними сотрудниками распространение негативной информации о компании в социальных сетях не ограничивается. Её партнеры и клиенты, столкнувшиеся с какой-либо неприятной для себя ситуацией, могут также начать писать и распространять негативные отзывы. Лучшей профилактикой такого поведения клиентов и партнеров является следование компании этическим нормам бизнеса, однако, конечно же, никто не застрахован от каких-то «внештатных ситуаций», когда негативные отзывы всё же появляются. Что делать в таких случаях?

Как и в случае с сотрудниками, имеет смысл организовать мониторинг. В этом поможет уже не DLP-система, а служба Google Alerts и другие подобные ей. Задав «алерт» по ключевому слову, являющемуся названием компании, можно получать от поисковой системы уведомления о появлении в социальных сетях негативных отзывов о компании. С самими отзывами необходимо разбираться в индивидуальном порядке, то есть, если содержащаяся в них информация соответствует действительности, то имеет смысл признать свою вину и рассказать о нейтрализации негативных последствий в комментариях к посту. Если же пост имеет явные признаки клеветы, то можно связаться с администрацией соцсети с просьбой удалить его, предварительно оставив автору в комментариях напоминание об ответственности за клевету перед законом. Как видите, ничего сложного в борьбе с негативной информацией о компании в социальных сетях нет, нужно только подойти к этому вопросу комплексно и серьезно.

Порочащая компанию информация в соцсетях. Как бороться?

Сколько в мире жертв утечек?

На этот весьма интересный вопрос меня натолкнула статистика Symantec. Самая интересная ее часть — это, конечно, утечки конфиденциальной информации, которые затронули сотни миллионов пользователей. В одном только месяце одного только года. А сколько человек пострадали во время недавней большой утечки от Adobe? А сколько еще в тысячах более мелких, которые даже не всегда попадают на страницы СМИ? Вопрос интересный и неоднозначный.

С одной стороны, легко посчитать, что если в месяц в мире от утечек страдают, скажем, сто миллионов человек, то за год пострадают больше миллиарда, а за несколько лет — все живущие. Но это бред. Потому что дети лет до трех-четырех (а то и всех двенадцати) от утечек записей из Фейсбука обычно не страдают, как и множество пожилых людей. У сотен миллионов африканцев и северокорейцев интернета вообще нет. А кто-то, скачивая двадцать раз Flash Player, каждый раз регистрировался на Adobe.com заново. В общем, учесть всё это в подсчетах числа жертв утечек очень сложно, но необходимо, а то данные получатся неадекватными.

Лично мне кажется, что здесь всё происходит по известному закону «80/20», который здесь действует так: 80% пользователей страдает от 20% утечек, которые можно отследить в течение года. То есть, если в месяц 100 млн человек, то за всё время — эта цифра, умноженная на 12, то есть, около миллиарда. И в разные годы страдают от всё новых утечек примерно одни и те же люди.

Думаю, это вполне адекватная оценка. А как думаете вы?

Сколько в мире жертв утечек?

Про Facebook и WhatsApp

Конечно, это немного неоригинально, но трудной пройти мимо такой новости. Итак, Facebook купил WhatsApp (один из самых популярных мессенджеров) за $16 млрд. Причем буквально накануне Viber с не сильно меньшей аудиторией обошелся покупателю примерно в 20 раз дешевле. Так в чем же секрет?

Сам по себе мессенджер Facebook’у не очень сильно нужен – у них есть своя платформа обмена сообщениями. Социальной сети интереснее аудитория WhatsApp. Это полмиллиарда человек. Из них каждый день мессенджером пользуются почти 70%. У самого Facebook показатели охвата аудитории не столь впечатляющие, так что, как говорят аналитики, возможно, Цукерберг хочет таким образом поднять их.

Но тут интереснее другое. Мне, например, сразу вспомнилась другая недавняя новость, касающаяся Facebook:

Facebook теперь читает ваши SMS
Компания Facebook выпустила обновление мобильного клиента под Android. Новая версия требует дополнительные разрешения, в том числе разрешение читать текстовые сообщения SMS или MMS. Отсюда

А теперь сопоставим одно с другим. Трафик WhatsApp уже сравнялся с мировым SMS-трафиком, и при этом еще и растет: каждый день мессенджер скачивают около миллиона новых пользователей. Очевидно, что дело не только в показателях посещаемости Facebook: трафик WhatsApp дает широчайшие просторы для анализа предпочтений пользователя и, соответственно, таргетинга. Особенно с учетом привязки к телефонной книге смартфона. Думаю, это стоило заплаченных за сервис миллиардов.

Таки про Фейсбук и Вотсапп

Почему Skype так популярен?

Всё-таки, что ни говори, но Skype стоит на VoIP-рынке несколько особняком, превосходя многократно все остальные решения по распространённости и популярности. И тому есть несколько достаточно веских причин. Первая ‑ это высокое качество связи, достигаемое за счёт использования специально оптимизированных алгоритмов сжатия данных и, во многом, благодаря децентралированной пиринговой структуре протокола Skype. Вторая ‑ высокая защищённость переговоров, ведущихся через Skype. Весь трафик, передаваемый программой, шифруется с помощью современных криптографических алгоритмов, что, как известно, вызывает большое неудовольствие спецслужб разных стран мира.

Пожалуй, будет вполне уместным сказать, что в корпоративной среде Skype хорошо прижился, во многом, именно из-за своей защищенности: специалисты отмечают, что при использовании VoIP, и особенно Skype, для ведения важных переговоров, существенно снижаются затраты на обеспечение их защиты. Так, можно сэкономить на покупке технических средств защиты, специальной организации защищённых каналов связи и других моментах. Поэтому  Skype вполне легально используется работниками во многих из тех организаций, где стараются максимально оградить сотрудников от использования на рабочих местах таких популярных средств коммуникаций, как социальные сети, ICQ, Mail.ru Agent и прочие подобные вещи.

Впрочем, причина этого во многом состоит ещё и в том, что Skype достаточно сложно заблокировать на сетевом уровне. Создатели Skype приложили максимум усилий к тому, чтобы отправляемые и принимаемые их программой пакеты обходили как программные, так и аппаратные «файрволы». Почти все успехи производителей брандмауэров сводятся на нет регулярными обновлениями клиента Skype и самого протокола. Хотя есть и такие решения, которые вполне успешно борются со Skype-трафиком, но их сложно назвать дешевыми. Из-за этого самым частым способом блокировки Skype в компаниях становится запрет на установку клиента Skype на пользовательских рабочих станциях, контролируемый системными администраторами обычно с помощью различных штрафных санкций по отношению к нарушителю.

Сейчас много других VoIP-решений, в ряде случаев даже более удобных, чем Скайп (например, оптимизированный под мобильные платформы Viber). Но Скайп смог стать лучшим из первых подобных программ, поэтому именно он до сих пор доминирует на рынке.

А как думаете вы?

Почему Skype так популярен?

Неприемлемые риски

Для того чтобы понять, какие риски приемлемы, а какие – нет, их сначала необходимо оценить. Вы можете обратиться к консалтерам, которые сделают всё за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов.

В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и её возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространённые методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объёма статистических данных.

После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить как произведение трёх величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть, необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета.

На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы.

Неприемлемые риски

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT