Компания VMware недавно провела опрос среди более 1,5 тыс. ИТ-руководителей компаний в Европе (http://www.vmwareemeablog.com/belgie/are-there-covert-clouds-hiding-in-your-business-1). Читая краткие итоги опроса, я обратил внимание на следующее наблюдение:
Т.е переводя на наш могучий: более трети ИТ-руководителей убеждены, что сотрудники тайно используют облачные сервисы, о чем ИТ-служба (а значит и ИБ-служба) просто не в курсе.
Мне это напомнило один момент из доклада основателя компании Мегаплан на одной из конференций, посвященных облачным и мобильным технологиям. Он как раз рассказывал про одну крупную компанию, отдел маркетинга которой тайно от ИТ-подразделения начал пользоваться Мегапланом для решения локальных бизнес-задач, просто потому что это было удобно.
Думаю что такая угроза вполне реальна и по мере роста количества и ассортимента облачных сервисов она будет только возрастать. Большие компании как правильно не используют публичные облака, а создают собственные приватные. Но где гарантия, что сотрудники не "гнут свою линию" ?
А вы уверены что у вас не завелись несанкционированные облака ? :)
P.S. Об этом мало говорится в профессиональной ИБ-среде, но похоже что всесторонний анализ сетевого трафика становится все более актуальной дисциплиной.
P.S. Об этом мало говорится в профессиональной ИБ-среде, но похоже что всесторонний анализ сетевого трафика становится все более актуальной дисциплиной.
Facebook
==> Связаться со мной <==
Ещё вопрос, что пользователи могут использовать собственное железо для доступа к таким сервисам (к примеру с айфонов) и в таком случае анализ трафика не даст защиты.
ОтветитьУдалить> отдел маркетинга которой тайно от ИТ-подразделения начал пользоваться Мегапланом для решения локальных бизнес-задач, просто потому что это было удобно
ОтветитьУдалитьА что для пользования Мегапланом нужно получать особое разрешение от ИТ-отдела? Руководство сам сервис и цена на него устроила, деньги проплачены - вот и пользуются.
Да, и ещё сотрудники тайно от ИТ-отдела могут заводить почтовые ящики, регистрироваться в социальных сетях, создавать там группы, обсуждения, вести журналы и блоги, в которых они будут писать и о своей работе в том числе. Ну, потом эти сотрудники могут "калымить" на стороне, используя для этого облачные сервисы и ресурсы своего так называемого основного работодателя, и об этом тоже ИТ-отделу ни-ни.
>Но где гарантия, что сотрудники не "гнут свою линию" ?
А как должно быть? Сотрудники должны выбирать с какой CRM, например, им работать. Или ИТ-отдел должен навязывать, в какой CRM работать сотрудникам? Тем более когда ИТ-отдел начнет что-то внедрять в крупной компании... может пройти столько времени, что после завершения внедрения этой системой пользоваться никто не будет или просто некому будет пользоваться.
>P.S. Об этом мало говорится в профессиональной ИБ-среде, но похоже что всесторонний анализ сетевого трафика становится все более актуальной дисциплиной.
Как только введется всесторонний анализ сетевого трафика - сотрудники сразу начнут приходить на работу с собственными ноутами с мобильным интернетом на борту. Более того сотрудники уже приходят, играются там в игрушки, рассматривают котиков и вообще развлекаются как хотят - анализатором сетевого трафика в данном случае выступают вылупленные глаза руководства, которое видит происходящее на экране :)
Речь не о том, IT должно навязывать конкретные сервисы, а о том, используемые для работы с конфиденциальной информацией компании ресурсы должны быть подконтрольны самой компании. Если сотрудникам не удобно выходить через дверь, потому автобусная с другой стороны здания, это не значит, что они должны сделать пролом в противоположной стене и лазить через него.
УдалитьЧто до котиков и игрушек, то и до повсеместного распространения Интернет сотрудники могли заниматься на рабочем месте чем угодно - хоть книги читать, хоть спать. Мониторинг сетевого трафика - лишь один из методов контроля, но далеко не всеобъемлющий.
> Речь не о том, IT должно навязывать конкретные сервисы, а о том, используемые для работы с конфиденциальной информацией компании ресурсы должны быть подконтрольны самой компании
УдалитьРазговор шел о Мегаплане, это платный сервис, следовательно, за его использование компания проплатила деньги. Где здесь неподконтрольность, если компания заключила договор и по нему заплатила? Да, ИТ-отдел не посчитали нужным поставить в известность, ну, это заморочки самой компании. Не считают там ИТ-отдел пупом земли, которого надо во всём ставить в известность, руководство компании не против такого положения вещей.
> до повсеместного распространения Интернет сотрудники могли заниматься на рабочем месте чем угодно - хоть книги читать, хоть спать
Да, всё верно и сейчас они тоже могут это спокойно делать. Речь о том, что времена меняются. Что сейчас ИТ-отделы могут предоставить своим сотрудникам? Системный блок и клавиатуру с мышкой, MS Office, ящик корпоративной почты, доступ в инет, доступ к приложениям старым как мир? Так у людей это все и так появляется: у них свое железо, свои договора с инет-провайдерами, они сами решают какими приложениями пользоваться, они за свои деньги могут покупать приложения, оплачивать Интернет-сервисы и т.д. Как ИТ-отдел может это контролировать? Тут тенденция намечается к тому, что ресурсы (перечисленные выше) компании вообще скоро станут никому не нужны и компании смогут избавиться от лишнего геморроя. Устраиваешься на работу - приноси свой ноут или комп с доступом в инет, сейчас же никого не смущает требование иметь права категории В и собственное автотранспортное средство?
Tom, дело в том, что Мегаплан бесплатен для небольших команд (до 10 человек кажется), так что компания ни за что не платила и руководство использование этого сервиса не санкционировало.
УдалитьОсновная проблема здесь именно в том, что делается это втихаря.
Исходные данные для обработки в облаке они все равно из информационных ресурсов (файловый сервер, CRM, прикладное ПО) компании берут. DLP-решение при должных настройках позволило бы вычислить такую "активность". В отличие от всестороннего анализа трафика, так как (как отмечено выше) ноут с самостоятельным выходом в сеть (через "своего" прова) совсем не проблема.
УдалитьС ув. Turkish
Александр, если уж совершенно точно, то Мегаплан бесплатен (пока) для 3-х человек http://www.megaplan.ru/solutions/free/. Если компания большая (ведь в ней существует целый ИТ-отдел), то 3 человека это вообще ни о чем, отделы по работе с клиентами там явно должны быть больше 3-х человек. Да и если говорить о совместной работе в большой компании, 3 человека будут совместно работать, а с остальными как работать? по электронной почте? смысл использования инструментов для совместной работы теряется в таком случае.
Удалить> Основная проблема здесь именно в том, что делается это втихаря.
Ну, чтобы не делалось втихаря, ИТ-отдел должен изучать потребности пользователей и предлагать удобные решения. Мы сейчас не говорим о каких-то специфических потребностях и ПО, но уж всякие CRM, бухгалтерское ПО, так называемые инструменты для совместной работы, системы управления содержимым сайтов, системы контроля версий, такс-трекеры и т.д. - в этом уж сотрудники ИТ-отделов должны разбираться и держать руку на пульсе. Узнав потребность пользователей в подобных системах, ИТ-отделы должны на опережение что-то предлагать, тогда втихаря действовать не будут. А то сейчас зачастую думают, файловый сервер есть - вот пусть на нем и работают с документами совместно и радуются по уши, а то что таким образом работать неудобно - да по фиг. Какая ещё CRM, а чем вас файлы excel не устраивают? Какие ещё таск-трекеры, пишите на почту, ставьте 100 человек в копию.
А почему бы не бороться с "левыми" облаками классическими методами web-фильтрации и системами DLP? В чём тут особенность?
ОтветитьУдалитьДа и кстати, какое ИТ-отделу вообще есть дело до того, кто и как внутри компании обрабатывает свои данные, им только проще в этом случае - не надо администрировать, соблюдать ЖЦ данного решения, выделять под это человека.
ОтветитьУдалитьА вот службе ИБ до этого есть прямое дело, и то только в разрезе утечки конфиденциальной информации.
С ув. Turkish
> Да и кстати, какое ИТ-отделу вообще есть дело до того, кто и как внутри компании обрабатывает свои данные, им только проще в этом случае - не надо администрировать, соблюдать ЖЦ данного решения, выделять под это человека.
УдалитьЭто - да. Но с другой стороны, если ИТ-отдел будет сидеть совсем сложа ручки, то теоретически у руководства может возникнуть вопросы и подозрения, а зачем они вообще нужны? Тем более периодически то тут, то там мелькают статьи с заголовками типа "Куда податься ИТ-специалисту при внедрении в компании облачных решений".
Железо администрировать :)
УдалитьНа самом деле не все так плохо, как правило решения "изкоробки" (в данном случае из облака) не работают так как нужно это конкретно взятому бизнесу в конкретно взятой компании. Всегда есть потребность что-то конфигурировать и "допиливать", что еще возможно делать, если ПО в собственности (коробочное и предоставляет такую возможность, типа 1С, CRM, банковское ПО) и невозможно, если оно в облаке.
Хотя в перспективе, согласен, самыми вакантными будут места эникеев.
С ув. Turkish
Да-да, мы понимаем, что все специалисты по ИТ безопастности - параноики и что они вовсе не страдают от этого :)
ОтветитьУдалитьВСЕ продвинутые пользователи пользуются внешними (и часто облачными) веб-сервисами.