В чем заключается здравый смысл, когда речь идет о минимизации риска распространения важной информации сотрудниками конкурирующих компаний?
На сегодняшний день ясно, что даже правительство и военные США не могут быть уверены в том, что их данные надежно хранятся в их дверях. Таким образом, я понимаю, что мой вопрос, вероятно, следует записать как «Какой здравый смысл мешает сотрудникам распространять важную бизнес-информацию?»
Если кто-то захочет распространять информацию, он найдет способ. Так устроена жизнь, и так было всегда.
Если мы сделаем сценарий немного более реалистичным, сузив количество сотрудников, предположив, что у нас есть только обычные системные администраторы John Does, а не системные администраторы, любящие Linux, какие меры должны быть хорошими мерами предосторожности, чтобы, по крайней мере, усложнить для сотрудников отправку важной бизнес-информации. соревнование?
Насколько я могу судить, есть несколько очевидных решений, у которых явно есть как плюсы, так и минусы:
Что реально делать в реальном мире? Как с этим справляются крупные компании? Конечно, мы можем подать на бывшего работодателя в суд и подать в суд, но к тому времени ущерб уже нанесен ...
большое спасибо
Есть множество вещей, которые можно сделать. Целые отрасли создана вокруг самой идеи «как не допустить утечки информации». Повсеместное распространение статических хранилищ данных и беспроводных сетей (как Wi-Fi, так и 3G / 4G) делает безопасность периметра проводной сети меньшим препятствием, чем это было даже 5 лет назад.
Как и в случае со всеми видами безопасности, управление исключениями может быть очень сложным. Да, вы можете отключить все USB-порты, но это оставляет USB-клавиатуры, мыши и принтеры в темноте. Вы можете полностью отключить доступ к Facebook, но отделу по связям с общественностью обязательно потребуется доступ. Крайний параноик может запретить все телефоны с камерами (чтобы кто-то не снял документ на камеру и не отправил его конкуренту), но это действительно в наши дни трудно сделать палку. А еще есть старомодный метод - забрать домой распечатки по факсу.
Если кто-то действительно хочет утечку информации, это обычно просто.
Я не могу не переоценить то влияние, которое муниципальные сети с высокой пропускной способностью оказывают на состояние безопасности. Благодаря тому, что почти у каждого есть камера в кармане и телефонный план, в котором можно разместить фотографии, документы на 1-5 страниц можно легко отправлять, даже не касаясь корпоративной локальной сети. Если USB-соединения включены, многие смартфоны могут предоставлять локальное хранилище компьютеру на рабочем месте и сохранять на нем файлы, которые затем можно отправлять с телефона напрямую, если они не подключены домой и не отправляются оттуда.
Атака на камеру телефона особенно коварна, поскольку она не оставляет следов на оборудовании компании, как это потенциально могут сделать USB-крепления.
Ирония заключается в том, что ограничения доступа в Интернет, блокирующие сайты социальных сетей и всех известных провайдеров веб-почты, заключаются в том, что они заставляют людей пользоваться своими телефонами для получения той же услуги.
Крупные компании справляются с этим, игнорируя сложные угрозы (хороший пример см. Выше) и управляя рисками, которыми они могут управлять дешево. Это значит:
В наши дни периметр сети находится не только на границе WAN / LAN, он касается каждой точки сети, где данные передаются в аналоговую форму любого вида, а инструменты для использования таких аналоговых дыр становятся все лучше и более распространенными. И другие подобные вещи.
В первом случае речь идет о вредоносной деятельности / корпоративном шпионаже? Или глупость / халатность? (оба настоящие проблемы).
В любом случае начните с записи того, какой обмен информацией является необходимо для выполнения работы (помните, что ИТ-хвост никогда не должен вилять собакой) и кадровую политику на рабочем месте, в которой прописано, что это все, что разрешено, и что нарушения являются дисциплинарными вопросами.
В дополнение к этому помните, что сотрудники - люди - если вы не работаете где-то, что явно и явно требует драконовской политики безопасности, то чрезмерные меры приведут к отчуждению персонала и нанесут ущерб производительности - помните, что вы не обеспечиваете безопасность системы, потому что обеспечение безопасности системы - хорошее развлечение, вы делаете это, чтобы защитить бизнес. Часть защиты бизнеса включает в себя не раздражать и не мешать сотрудникам без всякой пользы.
Наконец, что касается «установки политики», помните, что ИТ-безопасность не существует в вакууме. Нет смысла блокировать сеть, если физическая безопасность недостаточна. Зачем кому-то нужно взламывать сеть, если он может просто зайти в офис и взять данные в красивой маленькой распечатке, спрятать их в коробку для завтрака и выйти?
Если вы не хотите, чтобы сотрудники одного отдела говорили о конфиденциальных делах с сотрудниками другого отдела, то опять же, это необходимо им разъяснить. Опять же, нет смысла блокировать сеть, если кто-то может просто купить обед другу и спросить его об этом.
Убедитесь, что принтеры и копировальные аппараты надежно закреплены - люди оставляют всевозможные документы рядом с принтером. А принтеры и копировальные аппараты иногда сохраняют в памяти копию последнего напечатанного документа ...
Что же до собственно ИТ-стороны ...
Ваши 6 баллов являются хорошей отправной точкой, но здесь нужно знать несколько вещей:
Блокировка конфигурации и управление ею - хорошее начало, но как информация законно поступает и покидает бизнес? Можно ли злоупотреблять этими рабочими процессами?
Если вы блокируете все USB-порты, как работает мышь? В конце концов, это обычно USB. Если вы оставите для этого один порт, решительный вор может отключить мышь и подключить USB-накопитель. Так что, возможно, вам нужно подумать о программной блокировке, которая запрещает установку определенных классов устройств.
Вам нужно подумать о сложной фильтрации электронной почты, если вы хотите пойти по этому пути. Вместо того, чтобы просто предполагать, что любые файлы, превышающие определенный размер, должны быть заблокированы как плохие, вам нужны виды фильтрации электронной почты, которые доступны, которые сканируют контент по ключевым словам и шаблонам, которые вы определяете, и предпринимают действия на основе этого.
Разделение чувствительных офисных VLAN (если не полностью физически разделенных сетей) является хорошей стандартной практикой. Имейте в виду, что это увеличит расходы на поддержку и может привести к нарушениям из-за человеческой ошибки со стороны технических специалистов службы поддержки, выполняющих монтаж.
Одна вещь, которую я бы определенно сделал, - это убедиться, что данные не хранятся локально на рабочих станциях и ноутбуках, а сохраняются на центральных серверах. Их должно быть проще защитить как физически, так и электронно. Рассмотрите возможность хранения документов в системы управления документами которые позволяют отслеживать доступ и внесенные изменения. Это также может позволить IRM контролировать, кто и что может делать с документом. Эти системы не являются надежными, но могут помочь.
Вы можете еще многое сказать по этому поводу, но это может натолкнуть вас на интересные мысли. Это предмет, о котором можно написать книгу (действительно, несколько человек).
Короткий ответ: вы не можете и должны доверять своим пользователям. Все, что вы можете сделать, - это ограничить информацию, к которой кто-то имеет доступ, исходя из уровня их доверия. Если он им нужен для работы, но вы им не доверяете, значит, вы выбрали не того человека. Большинство критически важных данных будут не большими, а такими, как финансовые показатели, номера кредитных карт клиентов и т. Д. Например, у нас есть только номера кредитных карт, которые входят в систему в одну сторону и никогда не отображаются ни одному пользователю или даже клиенту. Финансовые отчеты проверяются и проверяются, чтобы узнать, кто и откуда их ведет.
Как вы упомянули, если кто-то захочет вытащить вещи, они найдут способ, даже если вы заблокировали очевидные маршруты. Например, попробуйте запретить сотрудникам использовать камеры сотовых телефонов для захвата экрана или кражи распечаток.
Я предпочитаю мониторинг и зеркальное отображение очевидных маршрутов. Это побуждает пользователей идти по пути наименьшего (контролируемого) сопротивления. Не блокируйте все использование USB, вместо этого регистрируйте использование и зеркалируйте данные на сервер (для этого мы используем DriveLock) - он также может блокировать USB-накопитель, не блокируя USB-клавиатуры и мыши. Периодически настраивайте аудит данных и ищите нечетные передачи.
Вы можете делать аналогичные вещи с устройствами BlueCoat для сети, но вы должны проксировать все SSL-соединения, чтобы устройство могло проверять все передачи файлов. Я бы посмотрел на них, чтобы охватить ваши (1) и (6). Однако пользователи будут знать о проксировании.
Если вы полностью заблокируете доступ к устройствам или сайтам, не забудьте периодически проверять журналы на наличие неудачных попыток, чтобы узнать, кто что делает. Однако без перехвата самого контента попытки легко отрицать, например путем переименования чертежей САПР в familyphoto.jpg.
Для (5) используйте загрузочные пароли BIOS, чтобы предотвратить несанкционированные изменения оборудования или загрузочного носителя, в противном случае любой пользователь может загрузиться с LiveCD и скопировать целые диски.
(3) глупо, как упоминалось ранее. Для этого больше подходят ACL и шифрование контента.
Кроме того, прежде чем проверять журналы аудита, составьте план, какие шаги будут предприняты, если необходимо собрать дополнительную информацию. Кто согласится на более подробное обнюхивание, если будет обнаружено что-то незаконное / требующее действий? Нередко включается аудит в компании среднего размера и сразу же обнаруживается что-то уродливое.
Конечно, перед внедрением любой из этих политик поговорите с соответствующим юридическим лицом в вашей организации и получите письменное разрешение, прежде чем что-либо делать.
То, что вы перечислили, достойно, если у вас действительно такая важная информация. С технической стороны тоже все логируйте - заблокировать нельзя ВСЕ. Пункт 3 выглядит довольно глупо - просто установите соответствующие ACL для общих ресурсов (файлов, веб-сайтов / SharePoint и т. Д.).
С нетехнической точки зрения - у вас могут быть соглашения об отказе от конкуренции. Как вы говорите, вы можете подать на сотрудника в суд. Это также сдерживающий фактор, а не просто лекарство - помните об этом.
Вы также можете вести свой бизнес таким образом, чтобы ваши сотрудники чувствовали себя ценными и были бы менее склонны к подобным действиям. Это может противоречить, а может и не противоречить работе заведения, как будто оно заблокировано, и никому нельзя доверять какую-либо информацию.
Какую важную информацию хранит ваша компания? Если он запатентован или является коммерческой тайной, то конкурент не может его использовать (по закону, AFIAK, IANAL и т. Д.). Если это опыт и навыки вашего сотрудника, жестко - вы им не владеете, если только это не кто-то настолько ценный. что у вас действительно есть с ними обязывающий контракт на определенный период времени. Если это что-то проприетарное (по моему собственному опыту, большая база данных подрядчиков, которым сервисная компания доверила работу по всей стране) - что ж, это сложнее. Технически не раскрывайте всю базу данных; но кто-то, кто привержен проекту, может со временем собрать самую важную информацию и постепенно скрыться с ней.