Архив метки: контроль персонала

Хайпожор: BYOD

BYOD, или по-русски использование личных устройств для работы, с самого начала была чисто хайповой темой для срубания денег. BYOD рука об руку идет с мифом об эффективной надомной работе. Раз уж мы выгоняем сотрудников домой, то и давайте работать они будут на своих устройствах. Экономия во все поля, показатели взлетают до небес.

Ну, давайте думать, давайте разбираться.

По самой сути BYOD я писал еще в 2014 году. Тогда еще находились журналы, которые готовы были печатать независимое мнение по насущным проблемам отрасли. Что более удивительно, мою статью о BYOD пропустили, хотя она была, мягко скажем, не в тренде.

Как я тогда и говорил, BYOD — идея, не прошедшая испытание временем. Мало кто захотел вбухивать миллионы рублей за экономию на копеечных ноутбуках. BYOD не взлетел.

Это же и подтверждает количество постов у топовых блогеров. Например, Алексей Лукацкий сделал 22 поста о BYOD: 3 в 2017 г., 5 в 2015 г. 6 в 2014 г. 14 постов за 4 года.

Не буду повторять аргументы из статьи, все они подтвердились. Посмотрим, как вендоры пытаются отбить свои вложения хоть на чем-то. В массовое сознание запускает мысль, что работа вне офиса эффективна и выгодна.

Посмотрим на эффективность. Флагманом тут выступал IBM, который выгнал сотрудников домой:

В 2009 году IBM в отчете с гордостью отмечала, что 40% из 386 тысяч сотрудников IBM в 173 странах вообще не имеют офиса. Компания продала многие офисные помещения, заработав почти $2 млрд. Кроме того, IBM предлагала свои консалтинговые услуги другим корпорациям, чтобы организовать такую же эффективную безофисную систему. Личный пример служил хорошей рекламой.

Мать моя женщина, 2 млрд сэкономили. Или почти 12000$ на человека (будем надеяться это в год), или 1000$ в месяц. Много это или мало? Сложно сказать. При доходе в 95 млрд в 2009 году это составляет 2%. Неплохо.

Следовательно, вы получите выгоду тем меньше, во сколько раз вы меньше IBM.

Но в 2017 году IBM вернула своих сотрудников в офис. Что? Почему? Предположения совсем разные:

Издание предполагает, что изменения в IBM могут быть вызваны постоянным падением выручки в последние пять лет, а также не оправдавшимися ожиданиями по сокращению расходов за счёт экономии на офисах. Кроме того, многие крупные компании считают работу в офисах стимулом к повышению эффективности и IBM может быть частью этого тренда, полагают журналисты.

Там по ссылке много интересного. Оказывается, производительность бывает разная для сотрудников, занятых в разных сферах. Если вы работаете интеллектуально, то надомная работа снизит вашу эффективность. А если вы оператор колл-центра или страховой агент, то, наоборот, повысит. Видимо, IBM, как компания, делающая ставку на технологии и прогресс, это поняла и решила признать свою ошибку. С эффективностью разобрались.

Теперь по поводу экономии. За счет сокращения аренды мы выигрываем 2% от выручки. Еще сотые доли процента на экономии на электричестве и связи. Может еще столько же за счет экономии на рабочих станциях. Итого пускай будет 3% в дебете.

Теперь считаем кредит (расходы):

Доработка инфраструктуры;
Доработка бизнес-приложений;
Увеличение затрат на безопасность.

Цифры можно считать по-разному, но даже если они будут в 3 раза меньше, весь ваш выигрыш съедят за 3 года. Так еще и сотрудники будут чаще всего работать неэффективно…

В итоге, куда не кинь, всюду клин. BYOD забываем, как страшный сон. Если это не доступ к почте, конечно.

10 поленьев из 10.

TOP причин, почему не работают организационные меры. Первое место

Добавить комментарий

Вот и добрались мы до первого места. Шли мы через тернии оценок, доброты и национальных особенностей. Да, все это мешает организационным мерам, но осталась одна – последняя причина. Она же альфа и омега всех остальных.

И эта причина – Ты.

Да-да, мой дорогой читатель. Организационные меры не работают в первую очередь из-за тебя и меня, из-за начальника и директора, всех тех, кто эти меры реализует.

Это принимает разнообразные грани. Например, если очень надо, вас пропустят на режимный объект в присутствии начальника охраны, потому что обычным порядком это заняло бы пару дней, а надо срочно. Или же проблема VIP-пользователей, которую постоянно решают безопасники с ИТ-шниками.

Только не подумайте, что это что-нибудь плохое. Есть вещи и похуже, например, «общество нацеленных на успех» Алексея Лукацкого. Это данность, и ее просто надо принимать в расчет.

Главное направление выхода видится в отражении последствий за несоблюдение тех или иных оргмер. Только не в виде штрафов, выговоров или угрозы увольнения, а в ущербе для организации вообще и потенциального нарушителя в частности. Если последняя секретарша будет знать, что, запуская неизвестные файлы, она может парализовать работу компании, она скорее всего не будет этого делать. Но это нас приводит к другому коану – вы захотите, чтобы последняя секретарша знала, как парализовать ваш работу? ;)

Всего вам доброго.

Темы битвы: цена ИБ

1 комментарий

Плавно добираюсь до экватора, после угроз и компетенций мы скакнули к деньгам.

Как выглядит миф о затратах на безопасность? ИБ — это дорого или доступно?

Сейчас ИБ – это недорого и недоступно. За 10 лет в безопасности, работая и в заказчиках, и в интеграторах, и в вендорах, мне довелось увидеть всякое. Я работал в заказчиках, в которых из всей безопасности был антивирус, межсетевой экран, снифер и, ближе к концу, сканер уязвимостей. И нормально, я делал honey-pot, реинженерил SAP и занимался другими интересными вещами, вроде соблюдения порядка на корпоративах.

Чуть позже был у меня проект в одном крупном ведомстве. Я проводил аудит рисков с целью определения необходимости наличия DLP решения. Там было все плохо, и одной из угроз было копирование информации на флешку. Любой безопасник вам скажет, что это страшная угроза. Так сказал и я.

В мерах противодействия я написал:

Рекомендуется отключить USB
Установить DLP

Старшие товарищи посоветовали мне убрать первый пункт. Потому что в ведомстве бы так и поступили. Им было проще и понятнее отрезать провода на всех компах, чем возиться со всей этой безопасностью.

Лишь с помощью нечеловеческой воли и маркетинговых страхов про злых хакеров все сложилось удачно.

Когда я был студентом, я считал байкой историю о самом безопасном компьютере, который, выключенный, зарыт на три метра. Но если действовать в парадигме «все увеличивающихся угроз», именно к этому мы и загоним бюджетодержателей.

Кстати, у нас есть целая отрасль, работающая именно с «закопанными» компьютерами – работа с грифованной информацией. Там в порядке вещей прийти с утра, достать жесткий диск из сейфа, и, выходя на перекур, сдавать его обратно в сейф под роспись. Всех средств защиты – защита от НСД.

Все космические бюджеты (хотя какие они космические? посмотрите на ИТ), происходят от попыток скрестить ужа с ежом. Мы объявляем достойную защиты информацию и гоняем ее в сетях общего пользования и ЛВС для офис-менеджеров. Конечно, в этом случае нам потребуется защититься от всего на свете (см. вопрос 1), спеки растут, денег не дают.

В 2014 году в одном ретейле случился инцидент. В открытый доступ были выложены данные о планируемой акции скидок. Это серьезный инцидент. Можно сразу идти выбивать много денег. Проблема ровно одна – ретейл (продуктовый) между собой не конкурирует в отпускных ценах. Это легко проверить и без инсайда, сравните цены в 2-3 магазинах крупных сетей вашего района. Где-то будет пониже на что-то, и там же будет повыше на что-то другое. Люди ходят в свой магазин вне зависимости от того, есть там акции или нет. Кстати, особенно часто ходят в дорогие магазины, особенно люди с небольшими доходами.

И малая доступность ИБ связана все с теми же страхами. Если руководство запугано, оно пытается найти деньги и высококлассных специалистов. Как только заканчиваются деньги, сразу прекращается ИБ. Я не открою большой тайны, что никому не выгодны дешевые средства защиты. Вендорам и интеграторам, т.к. маржи мало. Безопасникам, т.к. надо обосновывать свою полезность. Руководителям, т.к. «дешевое не может быть качественным». А на дорогое денег нет.

Так и живем.

TOP причин, почему не работают организационные меры. Второе место

Добавить комментарий

На втором месте у нас глобальная причина, почему не работают организационные меры – менталитет. О, только не надо сразу ругаться. Я не стою ни на западнической позиции, ни на славянофильской. Я долго думал, как это лучше обобщить. Давайте посмотрим, и, думаю, вы согласитесь, что я был в затруднительном положении.

mentality

Я шел от обратного. На чем базируются организационные меры? Если совсем обобщить – на общей законопослушности. Законопослушность – это следование установленным в обществе нормам (законам), которые явно прописаны и однозначно толкуются (зачастую). Законопослушность – это социальное свойство, которое воспитывается в человеке путем укорачивания на голову всех несогласных. Примеры: Французская революция, где сделали всеевропейский Гражданский кодекс (Наполеон постарался, великий был человек), а с другой стороны, прямо на той же площади за углом в прямом смысле жрали друг дружку. В порядке вещей было подойти к трупу, обмакнуть тряпку в кровь и выжать себе в рот. Да и Европа — территория небольшая, густо населенная. Здесь легко сразу найти непонимающих новую генеральную линию людей и пустить в расход. Так воспитывается законопослушность.

Понятно, что прописать надо много и всего, но если прописал, то наступает красота и гармония. И люди, прошедшие такое горнило евгеники, всё понимают сразу. Написано: нельзя пальцы в розетку совать, значит, не буду. Это нам смешно, что в инструкциях для «тупых американцев» пишут, что нельзя животных в микроволновке сушить. А для законопослушного человека инструкция – тот же закон.

А что же мы? Русский человек – человек широкой души. Только не надо сюда примешивать всякий национализм. Русский человек – это человек говорящий и думающий по-русски. И от такой широты души, которая в немалой степени связана с размерами нашей необъятной родины, у нас такого звидеца как в Европе не было.

У нас недовольный в Сибирь уйдет – и иди его там ищи. Вон, старообрядцев 300 лет искали. А ведь опасные люди были в свое время, без малого еретики для нарождающейся Православной Руси. Была б Россия размером с Швейцарию, мы сейчас не за компами бы сидели, а с калашами по горам бегали, выслеживая неверных.

Т.е. русский человек может просто свалить. На том и стоим.

icecream

Так если у нас нет законопослушности, то все у нас плохо? Нет, у нас по-другому.

Мы с вами живем в понятийном обществе. Здесь намешано очень много, каждый может это заметить. Вот, например, у каждого мужика в стране есть договор. Договор между нами и Царем. Договор такой: он мне не мешает, я ему не мешаю. Плохо будет, иностранцы полезут – я за царя. Ну, думаю… и он за меня. А пока нет войны, настоящей. Когда не лезут иностранцы, царь ко мне не лезет, из-за плеча не нашептывает на ухо гадости всякие, и не пристает ко мне, и позволяет мне копейку зарабатывать…

И это лишь одна из граней. Именно поэтому у нас все не как на любимом некоторыми западе. Человек понятия не умещается в инструкцию, она слишком мала. Вспомните, у нас нет применения «итальянской забастовке» (правда, мы вместо этого просто бухаем или забиваем), потому что наши должностные инструкции написаны для регуляторов. Да что говорить? Я сам на крайнем месте работы подписывал должностные обязанности на инженера техподдержки. Потому что бумажка нужна. Думаете, европеец на моем месте пошел бы персданные делать с такими обязанностями? Да он скорее засудил бы всех нафиг.

Обратной стороной является то, что понятия у всех разные. Например, понимание кидка. Если начальник сволочь и зарплату мне не платит, обворовал практически, так ведь по справедливости и я у него что-нибудь украду. И все в таком духе.

Всего вам доброго.

Первое место

Третье место

Четвертое место

Анатомия кидка, или о пользе научного метода

1 комментарий

Хорошо на майских праздниках: работать не надо, пробок в Москве нет, погода отличная. Правда, и нет никого – все разъехались. Поэтому нет смысла в топовых материалах, нужно что-то такое ненапряжное.

Богоборцы

Говоря об информационной безопасности, мы всегда говорим о каких-то глобальных концепциях. Безопасность, угроза, риск. Эти понятия настолько размытые, составные и не конкретные, что уже граничат с философией. У нас на лицо все признаки. У нас уже есть свои философы, к которым ходят ученики, воспринимающие мир только с точки зрения учителя. Кто-то Платон, кто-то Декарт, а кто-то и Диогеном восхищается.

diogen-ialeksand-vstrecha

Сестра-антипод философии – физика (в метафизическом понимании науки). Физика наоборот — четкая, элементарная и конкретная. Физика оперирует базовыми, частными элементами. И уже из этого с помощью научного метода выводятся глобальные концепции. Что интересно, эти концепции постоянно пересматриваются, если появляются факты, противоречащие теории.

Вся наука построена на наблюдении и эксперименте. Сначала делаем эксперимент (видим что-то), потом делаем выводы, потом строим гипотезу, ищем подтверждения, появляется теория. Неотъемлемым свойством теории является фальсифицируемость, т.е. формулирование эксперимента (явления), который, будь он поставлен, мог бы опровергнуть теорию. Например, явление падения вверх опровергает наличие силы тяжести. Т.к. вверх не падаем, то и пересматривать текущую теорию силы тяжести смысла нет.

Как видно в нашей сфере все с точностью до наоборот. Классический пример, когда гуру на всех конференциях и блогах защищал концепцию, которая противоречила и позиции регуляторов и сложившейся практике. Бедные его ученики попали, но все еще верят гуру.

Поэтому предлагаю начать с азов. От чего защищает безопасность? От угроз. Что такое угроза? Вероятность, помноженная на ущерб. Что такое… Стоп. Ближе к жизни.

Помните, я недавно писал об игре в угадайку? Страшно заразная и вредная штука, т.к. люди не укладываются в какие-либо классификации. Но вот поступки людей на определенном отрезке времени очень хорошо классифицируются. Я назвал это теорией кидка.

Кидок, или при чем тут информационная безопасность?

В чем суть? Чтобы решать абстрактную задачу – риск-менеджмента в информационной безопасности, — нам надо эти риски (угрозы) выявить и классифицировать. Тут в действие вступают небесные силы, которые на Синае выдают нам две скрижали – Модуль угроз и Модель нарушителя.

boga_net

Я сам написал под сотню моделей угроз, и, думаю, вы не будете со мной спорить, что все они довольно абстрактны. Например, второй раздел из стандарта Минздравсоцразвития:

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

Хотите уточнения? Вот как в 2009 году описывалась угроза кражи:

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.

Если в Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок, установлены решетки на первых и последних этажах здания, то для всех типов ИСПДн вероятность реализации угрозы – является маловероятной.

При наличии свободного доступа в контролируемую зону посторонних лиц вероятность реализации угрозы должна быть пересмотрена, или необходимо принять меры по пресечению НСД посторонних лиц в контролируемую зону.

По сути каждый из этих пунктов лишь верхушка айсберга настоящей угрозы. Здесь требует уточнения буквально все: тип нарушителя, действия, приводящие к реализации, место действия, объект воздействия и т.п.

Думаете, модель нарушителя нам поможет? Фиг там.

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Да, это 2009 год, но за это время мало что изменилось. Не знаю, как вам, а мне из этого описания понятно только, что злой посторонний может зайти и что-то у нас украсть. Т.к. описание максимально неконкретное, нам необходима гора мер защиты, чтобы защититься от всего на свете. Вы со спецификацией приходите к начальству и сразу от него уходите с нехорошими криками в спину.

Где-то в середине всех этих размышлений у меня появился фактологический материал по кидкам. Что такое кидок по сути – это нарушение предписанных норм (договоренностей) с целью извлечения личной выгоды, спонтанный или спланированный. По сути, это описание инцидента информационной безопасности, во всяком случае, большей их части, относящихся к внутренним нарушителям.

Кстати, моральное удовлетворение — тоже личная выгода. Разве сотрудник не кидает родную компанию, когда продает базу клиентов конкурентам? Кидок? Он, родимый.

Сам по себе кидок (инцидент) – это действие. Каждое действие имеет предпосылки (причины), когда они переваливают за точку бифуркации – начинается хаос (кстати, крайне рекомендую по теме теории хаоса книгу самого Лоренса, который Эдвард. ). Понятно, что сами причины мы распознать можем лишь по косвенным признакам, если, конечно, при генерации не вкладывали точки в телепатию. Вот эти сами признаки и есть наши элементарные частицы. Чем их больше, тем вероятнее кидок. Так, кстати, работают все поведенческие системы.

У меня собралась обильная коллекция кидков в сфере риэлторства. Это всевозможные кидки со съемом квартиры, когда квартиранты тем или иным образом обманывают хозяев. Т.к. другой статистики под боком нет, буду использовать ее. Сами увидите, что параллели провести довольно просто.

Пример и следствия

Сегодня хотел бы рассказать лишь об одном инциденте. Мы сделаем из примера несколько следствий, и потом посмотрим, подтвердится ли наша теория.

Дело было в июле-октябре 2015 года. Квартиру сняли двое мужчин, которые были здесь на заработках. Снимали по прямому объявлению (без риелтора), их устраивало расположение квартиры, в 15-20 минутах от работы. Мужчины — славяне: один из Ростова, другой из Иркутска. С самого начала они попросили дать отсрочку на депозит, и, ссылаясь на то, что уходят рано, а приходят поздно – никак не могли встретиться с хозяином помещения. После неоднократных напоминаний о депозите и договоре (с обещаниями), в определенный момент оба мужчин испарились, оставив ключи в почтовом ящике, долги по коммуналке и геморрой по сдаче квартиры.

Следствие 1. Кинуть может любой. Нарушителем может быть любой, вне зависимости от положения, должности и прочих факторов.

Следствие 2. Кидок тем вероятнее, чем менее значительны последствия. Вернемся к примеру с квартирой. Оба мужчины могли просто вернуться домой, где их точно никто не будет искать. Плюс к этому — над ними не довлела комиссия риелтору, вряд ли вы будете каждые три месяца убегать из квартиры, если потратили на нее три цены при съеме.

Следствие 2.1. Чем известнее человек (выше должность), тем меньше вероятность кидка. И, наоборот, анонимусу нет смысла заботиться о репутации. Даже если об этом случае рассказать в интернете с фотками и адресами или рассказать работодателю.

Следствие 3. Вероятность кидка выше, чем меньше личный контакт. Тут все просто: тяжело кинуть людей, которым мы чем-то обязаны. И очень просто каких-то абстрактных менеджеров. Думаю, Сноуден шибко не мучался. Подумаешь, какие-то секреты ЦРУ, мало у них секретов что ли?

Следствие 4. Вероятность кидка повышается, если были нарушены первичные договоренности. Если бы хозяин настоял на депозите с самого начала, а не слушал слезливые истории о больных детях и сложной работе, все могло бы сложиться по-другому. Единожды нарушивший слово нарушит его снова.

На сегодня все. До новых встреч.

Собирательный портрет или игра в угадайку

2 комментария

Следующим материалом должно было стать продолжение отчета о CISO Forum, но те воспоминания еще болезненны, и я не могу спокойно смотреть в глаза открывшемуся ужасу. Поэтому сегодня более спокойная тема – о людях.

geshtalt

Когда-то я работал в Утконосе и моей задачей было ловить внутренних нарушителей. Т.к. я был молодым специалистом, то ловил я их в корпоративной сети и интернете. Если бы я справился, я бы подкачался и приобрел свирепый оскал, меня перевели бы на более ответственный фронт – склад.

Промеж слежения за сотрудниками, закрытием несанкционированных шар и т.п., я подсмотрел у старших товарищей такую штуку – ППН. Или, по-простому, психологический портрет нарушителя. Это небольшая памятка, описывающая типичного нарушителя: от внешнего вида, возраста, пола и одежды до поведения и особенностей биографии.

Цель ППН понятна – базовый фильтр при мониторинге. Конечно, это не универсальный фильтр, в нем можно сразу обнаружить кучу ошибок первого и второго рода. Но сама идея меня завлекла. Тогда я постеснялся спросить, как они его сделали. Поэтому стал изобретать велосипед.

Вообще собирательные профили делают все, кому не лень. Продавцы жвачки и люксовых автомобилей, и даже продавцы средств защиты информации. Интересны не сами профили, а выводы на их основании, а также предпосылки к ним. Вот о такой профессиональной деформации я и хотел бы вам поведать.

Не секрет, что ибешники в первую очередь работают с людьми, и лишь в пятую с компьютерами и угрозами, с ними связанными. Наравне с дипломатическими навыками должны развиваться навыки эмпатии и оценки — как раз те самые фильтры и категории, которые и помогают дипломатии.

По сути – это навешивание ярлыков (только не так, как это делает какая-нибудь оторванная от реалий соционика). Скорее это ближе к гештальтам (как законченной форме, а не гештальтпсихология, которая тоже под знаком ереси ходит). Если вы читали шпионские романы или даже интересовались историей спецслужб, то замечали, что все агенты имели прозвища (для конспирации). А эти прозвища, в свою очередь, часто были «говорящими» (теми самыми клише или гештальтами), слепком с личности человека. Да что далеко ходить — посмотрите на прозвища своих друзей.

Много общаясь с людьми, у человека происходит изменение восприятия. Он начинает замечать вещи, укладывающие определенные гирьки на чашу весов под тем или иным ярлыком. Если вы следователь – это только плюс, если вы обычный человек — то сомнения. Побочным эффектом этого является игра в угадайку, когда начинаешь оценивать рядом сидящих людей и предполагать, кем бы они могли быть. Еще лучше, если у вас есть партнер.

Например, вчера я гулял с ребенком, и второй раз в жизни увидел папу и мальчика лет 7-8, они на детской площадке гоняли мячик друг с другом. Я предположил, что это «воскресный папа», потому что:

Я их вижу второй раз. Оба раза в воскресные вечера.
Они играют вдвоем и ребенок рад, значит, либо папа много работает, либо видятся они только на выходных.
Папа плохо знает район, т.к. для их целей больше подошла бы коробка в 30 метрах, где вообще никого никогда не бывает, чем пяточек 3 на 4 метра.
Папа делает это не часто (см. пункт 2). Если бы он делал это часто, сын бы бегал с друзьями, а папа сидел на лавочке и уперся бы в телефон.
Папа был одет довольно легко, как раз для вождения машины. Вряд ли бы он стал так одеваться, выходя в достаточно прохладную погоду, даже если бы куда-нибудь потом ехал. Проще было дома переодеться.
Сын был одет для долгой прогулки, а не для пинания мячика. Если он любит футбол, то оделся бы более спортивно. И так далее.

Но каждому из этих пунктов можно было бы найти другое рациональное объяснение, доказывающее, что я ошибаюсь.

К чему это я? Что угадайка (считай навешивание ярлыков) может быть забавным способом времяпрепровождения, когда это касается посторонних людей, которых вы никогда больше не увидите. Но угадайка может быть фатальна, если с этим человеком вы будете вести совместные дела. Вам будет очень сложно выйти за рамки этого гештальта – пьяница, бабник, ленивый, вор и т.п. Вспомните жизнь ваших одноклассников, которых определили в группу ленивых или тупых. Уверен, что многие подсознательно корректировали свое поведение и отношение к ним.

В личных (рабочих, дружеских и т.п.) отношениях есть только один принцип – относись так, как относятся к тебе. Ярлыки и классификации тут не помогут.

Всего вам доброго.

TOP причин, почему не работают организационные меры. Четвертое место

2 комментария

Изначально в этом топе было 3 позиции, но, помедитировав над ним, решил добавить еще один пункт.

4 место – Отсутствие метрик

Это несколько абстрактная причина, которую по-бытовому можно было бы назвать «никто не знает, как выглядит «хорошо» (или плохо, если вы пессимист). Вернемся к нашему примеру с Альфа-банком. Фактически, услугу я получил (мера отработала), но качество этой меры никто не оценивает (ну, кроме меня, который ходил и возмущался). Я прождал двадцать минут после того, как высветился мой номер электронной очереди, потому что организовали еще и живую очередь.

И речь не только об этих 20 минутах. Если вы занимаетесь ИБ, скажите, какие у вас главные KPI по оргмерам? Думаю, я не сильно ошибусь, если в топ 3 из них входит: подписание соглашений о конфиденциальности с сотрудниками, и повышение осведомленности раз в год. У нас все хорошо, вот же метрики. Выполнение – 100%. Чего еще надо?

otricanie

Проблемы начинаются как раз после, в процессах. Эти несчастные 20 минут – это плохо или хорошо? Утечки были? Нет. Это ведь хорошо.

Чутка поразмыслив над этим, станет понятно, что у нас не охвачен целый пласт жизни. Наши метрики (количество сотрудников, прошедших тестирование) просто не способны оценивать качество последующей работы с этими условиями. И мы каждый раз удивляемся, а как же это у нас утечка произошла? Да все просто. В информационной безопасности мы работаем с отрицаниями (это те, что в логике обозначаются палочкой сверху $\overline{x}$ ). Не-утечка, не-взлом, не-вирус.

Если смотреть на результат, не понятно, что привело к не-взлому. То ли наша хитрая система защиты, то ли нам просто повезло. Конечно, методы и метрики оценки таких показателей есть, но вы никогда их не объясните вашему начальству. Вот и получается, что в безопасности вся система палочная. Чем больше поймали, тем эффективней работаем (кстати, при такой системе надо стараться, чтобы оргмеры были крайне неэффективными, а то палки закончатся).

Когда-то я был поставлен следить за расшаренными ресурсами. За 2 недели я закрыл все несанкционированные шары. Мне было о чем отчитаться, и мне дали медаль. А потом инциденты стали крайне эпизодическими, я впал в печаль. Конечно, выход был найден, но если бы я был не так молод и горяч, то растянул положительную отчетность месяца на 2. Как вы понимаете, к реальной безопасности это отношения не имеет.

Так и в Альфе — скорее меряют количество обслуживаемых клиентов (палки), а не их удовлетворенность.

Конечно, можно выбрать другие метрики, например, количество успешно предотвращенных взломов. Утверждение-то уже положительное! Но это те же яйца, только в профиль. По сути это производная от исходного не-взлома.

В сухом остатке: существующие методы оценки организационных мер входят в конфликт с KPI безопасников и работников. Конфликт разрешается в пользу KPI. Надо вводить качественные оценки.

Третье место

Эффективны ли программы слежения за сотрудниками?

1 комментарий

Проблема необходимости контроля над действиями сотрудников, вероятно, появилась одновременно с возникновением наемного труда. Кому и зачем это необходимо? Для начала разберемся с первым вопросом. Слежка за сотрудниками необходима всем компаниям, и более того, почти во всех она используется в том или ином виде. Особенно остро вопрос контроля встает в компаниях со стремительно растущей численностью сотрудников, а также с усложняющимися производственными операциями. Далее постараемся ответить на второй вопрос: зачем нам необходимо следить за своими сотрудниками?

Мотивация для установления контроля

Контроль всегда должен преследовать определенную цель. Чаще всего основной мотивацией для установления контроля над действиями сотрудников является предотвращение финансовых потерь. Работодатель всегда хочет иметь уверенность в том, что он не платит сотрудникам сверх меры, не несет дополнительных накладных расходов (например, из-за воровства или простоя ресурсов) и прямых убытков.

Довольный сотрудник согласен с установлением контроля над его действиями. Однако работодателю необходимо четко соблюдать границы дозволенного контроля, уважать своих подчиненных, иначе даже довольный работой сотрудник может стать нарушителем.

Итак, мы определили основную цель контроля: предотвращение финансовых потерь. Далее нам необходимо проанализировать работу компании и определить «дыры», то есть слабые места, где при допущении сотрудником ошибки или в результате его злонамеренных действий теоретически можно понести несравнимо большие убытки.

Перечень таких слабых мест может быть следующим:

воровство материальных и интеллектуальных ценностей;
нецелесообразное использование ресурсов (например, рабочего времени);
вандализм в отношении производственных процессов;
непреднамеренные ошибки (в том числе утечки данных, компрометация защищаемой информации и т.п.).

Итак, мы разобрались с мотивацией и основной направленностью слежки. А теперь задумаемся, как же отнесутся сотрудники компании к тому, что их действия контролируют?

Взгляд с обратной стороны

Информировать сотрудников о контроле не так сложно – необходимо внести упоминание об этом в трудовой договор или приложение к нему. Вам помогут:

Ст. 21 ТК РФ, которая обязывает сотрудника качественно выполнять работу: «Работник обязан: добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка…»
Ст. 22 ТК РФ дает вам (работодателю) право контролировать работу.
Ст. 189 ТК РФ определяет правила внутреннего трудового распорядка.

Очевидно, что самой распространенной реакцией на контроль будет резкое непринятие, негатив (не всегда, о чем мы поговорим ниже), ведь мы не любим, когда нам очерчивают рамки и следят за каждым шагом. Поэтому после установления контроля, как правило, встречаем противодействие, и включаемся в «гонку вооружений» с собственными сотрудниками.

Поэтому одним из ключевых моментов при организации контроля, позволяющим избежать негативной реакции на слежку, является донесение мысли о необходимости этого контроля до самих сотрудников. Возникает вопрос: как это сделать? Вариантов множество. Например, можно объяснить сотрудникам, что контроль над выносом материальных ценностей поможет выполнить производственный план, а следовательно, получить премиальные.

Чуть сложнее донести мысль о необходимости слежки до сотрудников, работающих в информационной сфере. Информацию необязательно выносить в кармане через проходную, а ущерб от некоторых утечек может перекрыть на годы вперед таковой от воровства материальных ресурсов. Для человека, как правило, недосягаема мысль о неправильности поступка при краже или утере информации, поскольку информация нематериальна. А раз нематериальна – значит ничего не украл и не потерял.

Где же найти решение проблемы?

Для каждой компании оно свое. Но, как правило, сотрудники положительно или по крайней мере равнодушно реагируют на контроль в тех компаниях, в которых их устраивают график работы, уровень заработной платы, способ поощрений и т.д. Итак, можно сделать следующий вывод: довольный сотрудник согласен с установлением контроля над его действиями. Однако работодателю необходимо четко соблюдать границы дозволенного контроля, уважать своих подчиненных, иначе даже довольный работой сотрудник может стать нарушителем.

Сообщать о слежке или нет?

Итак, контроль над действиями сотрудников установлен. Возникает вопрос: сообщать ли сотрудникам о слежке или нет?

Ответ один: сообщать. При выборе второго варианта мы рискуем узнать подробности ст. 137 Уголовного кодекса РФ «Нарушение неприкосновенности частной жизни» и 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». Данные статьи – это дамоклов меч любого безопасника, практика их применения большая, и всегда не в пользу работодателя.

Какой бы ни была цель контроля, стоимость его организации не должна превышать совокупной суммы ущерба. Для всестороннего расчета суммы ущерба необходимо использовать специальные методы, описание которых займет не одну статью. Эмпирически можно вывести правило, что чем ближе контролируемая цель к производственному процессу, тем эффективней должен быть контроль над действиями пользователей.

Таким образом, нам так или иначе приходится информировать сотрудников о контроле. Это не так сложно – внесите упоминание об этом в трудовой договор или приложение к нему. Вам помогут:

Ст. 21 Трудового кодекса, которая обязывает сотрудника качественно выполнять работу: «Работник обязан: добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка…»
Ст. 22 ТК РФ дает (работодателю) право контролировать работу.
Ст. 189 ТК РФ определяет правила внутреннего трудового распорядка.

Закон не разделяет отношения работник-работодатель на отношения с использованием компьютерной техники либо без нее. Правоотношения, их субъекты, суть и результат не меняются с модификацией орудий производства. Какие бы программы ни использовались, мы имеем дело все с теми же трудовыми отношениями, в которых сотрудник обязан выполнить работу в рабочее время, а работодатель – ее оплатить.

Существует внутренний трудовой распорядок, сотрудник с ним ознакомлен. А значит, не нарушаются конституционные права работника (ст. 23, 24 Конституции РФ). Отсутствие умысла работодателя выбивает почву из-под ног и у сторонников привлечения шефа к ответственности по ст. 137 и 138 УК РФ.

Но вернемся к самой слежке за действиями сотрудников в среде, наиболее нас интересующей, – информационной.

Что использовать?

Решая вопрос о достижении наших целей (контроль утечек и укрепление дисциплины), нам не обойтись без технических средств. Разумеется, прежде чем выбирать меры слежения, нам необходимо составить модель нарушителя и определить каналы утечки информации (в случае с укреплением дисциплины – способы реализации). Меры могут быть организационные (например, отключить доступ к Интернету) и программно-аппаратные.

Кратко рассмотрим основные программно-аппаратные меры, которые помогут, в порядке необходимости:

подсистема идентификации и аутентификации пользователей. Это основа основ. Если мы не можем однозначно идентифицировать пользователя, то мы не сможем его контролировать. И разумеется, никаких локальных администраторов на рабочих машинах;
подсистема доступа в Интернет (proxy). Proxy выступает первым эшелоном контроля, ограничивая каналы утечки через Интернет;
подсистема контроля приложений (программной среды). Мы контролируем установку приложений на рабочих компьютерах, а следовательно, уменьшаем возможность принести «сюрприз из дома»;
подсистема контроля подключаемых устройств. Логическое продолжение предыдущего пункта: если мы не можем подключить флешку, то сюрпризов у нас будет гораздо меньше. Также мы ограничим утечки класса «поработаю дома»;
подсистема контроля утечек конфиденциальной информации (DLP-системы). Если мы все же разрешаем использовать Интернет и подключать флешки, нам необходимо знать, что именно передается;
подсистема IRM (Information Rights Management). Это уже глобальный уровень отслеживания перемещения документов и действий сотрудников с ними в рамках всей организации и за ее пределами.

Данные средства позволят контролировать все основные каналы утечки и дисциплину сотрудников. Однако всегда найдутся каналы и способы, которые трудно отследить (к примеру, фотографирование). В этом случае для эффективного контроля должен использоваться комплекс мер (в приведенном примере с фотографированием необходимы средства поведенческого анализа и организационные методы).

Измеряем эффективность

Как работодателю оценить, эффективен ли его контроль над действиями сотрудников? Измерение эффективности слежения прямо связано с поставленными целями. Если наша цель в уменьшении непродуктивно используемого времени, проведенного в Интернете, то мерой эффективности слежения будет уменьшение случаев непродуктивного использования (с учетом вышеназванных ограничений). Чем меньше инцидентов, тем лучше.

Следить за действиями сотрудников необходимо. Главное – соблюсти баланс интересов бизнеса и сотрудников.

Дудко Дмитрий
Опубликовано: Журнал «Information Security/ Информационная безопасность» #6, 2013