Как минимизировать риск распространения важной информации сотрудниками? [закрыто]
В чем заключается здравый смысл, когда речь идет о минимизации риска распространения важной информации сотрудниками конкурирующих компаний?
На сегодняшний день ясно, что даже правительство и военные США не могут быть уверены в том, что их данные надежно хранятся в их дверях. . Таким образом, я понимаю, что мой вопрос, вероятно, вместо этого следует записать как «Каков здравый смысл, чтобы затруднить сотрудникам распространение важной бизнес-информации?»
Если кто-то захочет распространять информацию, он найдет способ. Так устроена жизнь, и так было всегда.
Если мы сделаем сценарий немного более реалистичным, сократив количество сотрудников, предположив, что у нас есть только обычные системные администраторы John Does, а не системные администраторы, любящие Linux, то какие меры должны быть хорошими мерами предосторожности, чтобы, по крайней мере, усложнить для сотрудников отправку бизнес-запросов: критически важная информация для конкурентов?
Насколько я могу судить, есть несколько очевидных решений, которые явно имеют как плюсы, так и минусы:
- Блокировать службы, такие как Dropbox и аналогичные, не позволяя кому-либо отправлять гигабайты данных по сети .
- Убедитесь, что по электронной почте можно отправлять только файлы, размер которых меньше установленного (?).
- Настройте VLAN между отделами, чтобы клептоманам и любопытным людям было сложнее шпионить за ними.
- Подключите все съемные носители - CD / DVD, дисководы гибких дисков и USB.
- Убедитесь, что никакие конфигурации оборудования не могут быть выполнены (?)
- Мониторинг сетевого трафика на предмет нелинейных событий (как?)
Что реально делать в реальном мире? Как крупные компании справляются с этим? Конечно, мы можем подать на бывшего работодателя в суд и подать в суд, но к тому времени ущерб уже нанесен ...
Большое спасибо
Существует множество вещей, которые могут быть сделаны. Всех отраслей промышленности создал вокруг самой идеи, "как я утаиваю информацию от утечки". Повсеместность статического хранения данных и беспроводных сетей (и Wi-Fi и 3G/4G) делает соединенную проводом безопасность сетевого периметра меньшим количеством барьера, чем это было даже 5 лет назад.
Как со всей безопасностью, справляясь с исключениями может быть очень хитрым. Да, можно отключить все USB-порты, но это оставляет клавиатуры USB, мышей и принтеры в темноте. Можно отключить весь доступ к Facebook, но офису Связей с общественностью определенно будет нужен доступ. Чрезвычайно параноидальное может запретить все телефоны с камерами (чтобы кто-то телефонный бегунок, документ и отправляет его по почте конкуренту), но это действительно твердо сделать палку в эти дни. И затем существует старомодный метод забирания домой распечаток к факсу.
Если кто-то действительно хочет пропустить информацию, это обычно легко.
Я не могу подчеркнуть достаточно влияние, которое муниципальные сети широкой полосы пропускания масштаба оказывают на положение безопасности. Почти со всеми с камерой в их кармане и телефонном плане, который в состоянии размещать изображения, документы на 1-5 страниц могут быть отправлены легко, никогда не касаясь корпоративной LAN. Если соединения USB включены, много смартфонов могут выставить локальное устройство хранения данных компьютеру рабочего места и экономить на файлах это, который может затем быть отправлен от телефона непосредственно, если не sneakernetted домой и отправил оттуда.
Телефонный бегунок 'нападение' конкретен коварный, так как это не оставляет трассировки журнала на оборудовании компании путем, который монтируется USB, потенциально может.
Ироническая вещь об ограничениях доступа в Интернет, блокирующих сайты социальных сетей и всех известных поставщиков веб-почты, состоит в том, что это вынуждает людей на их телефоны для того же сервиса.
Крупные компании обрабатывают это путем игнорирования твердого для управления угрозами (см. выше для хорошего примера одного), и управление рисками они могут чесотка дешево. Это означает:
- Блокирование веб-сайтов любого подозрительного класса (социальные сети и сайты веб-почты являются большими целями запрета), и известные сайты веб-прокси
- Запись всей исходящей электронной почты
- Осуществите присоединенный портал для доступа в Интернет, требуя входа в систему с корпоративными учетными данными, прежде чем доступу предоставят
- Контроль исходящей электронной почты для частного использования данных переменные сложности фильтров (большая промышленность с этим)
- При обеспечении наименьшего-количества-полномочия в локальной сети, таким образом, у людей нет доступа к секретам, в которых они не нуждаются
- Используя инвентаризирующее актив программное обеспечение для контроля корпоративных аппаратных средств для событий изменения
- Используйте контрольное программное обеспечение журнала событий для отслеживания аппаратных событий, таких как использование съемных носителей
- Установите Групповые политики для запрета определенных поведений, которые считают ненужными на рабочем месте
- Используя устойчивое шифрование на любом WLANs используемый
В эти дни сетевой периметр не только в WAN/LAN demarc, это касается каждой точки сети, где данные выпущены в аналоговую форму любого вида, и инструменты для использования таких аналоговых дыр становятся еще лучше и еще более распространенными. И другие такие вещи.
В первом случае мы говорим о злонамеренном действии / корпоративном шпионаже? Или глупость/небрежность? (оба - реальные проблемы).
В любом случае запустите с обращения внимание, что совместное пользование информацией необходимо для получения, сделанное задание (помните, что хвост IT никогда не должен качать бизнес-собакой), и рабочее место политика HR, которая обстоятельно объясняет это, это - все, что позволяется и это, нарушения являются дисциплинарными вопросами.
В дополнение к этому помните, что сотрудники - люди - если Вы не работаете где-нибудь, что ясно и очевидно требует, чтобы драконовские службы безопасности, затем перебарщивающие, отчуждали штат и вредили производительности - помнят, что Вы не защищаете систему, потому что обеспечение системы является хорошим развлечением, Вы делаете его для защиты бизнеса. Часть защиты бизнеса включает не раздражающих и разрушающих сотрудников ни для какой хорошей цели.
Наконец, с точки зрения "точек" политики установки, помните, что Безопасность IT-систем не существует в вакууме. Существует мало точки в блокировке вниз сети, если физическая безопасность слаба. Почему кто-то должен был бы ворваться в сеть, если они могут просто идти в офис и взять данные в миленькой распечатке, скрыть их в своей коробке для завтрака и выйти?
Если Вы не хотите людей в одном отделе, говорящем о конфиденциальном бизнесе людям в другом отделе с другой стороны, это должно быть ясно дано понять им. Снова, существует мало точки в блокировке вниз сети, если кто-то может просто купить друга ланч и спросить их об этом.
Удостоверьтесь принтеры и фотокопировальные устройства соответственно защищаются - люди оставляют все виды документов, сидящих у принтера. И принтеры и фотокопировальные устройства иногда сохраняют копию последнего печатного документа в их памяти...
Что касается фактической стороны IT вещей...
Ваши 6 точек являются хорошей начальной точкой, но существует несколько вещей знать здесь:
Блокировка конфигурации и управление являются хорошим началом, но как информация законно прибывает в и оставляет бизнес? Этими рабочими процессами можно злоупотребить?
Если Вы блокируете все USB-порты затем, как мышь работает? Это обычно USB в эти дни, в конце концов. Если Вы оставляете один порт для этого, решительный вор мог бы отключить мышь и включить Карту памяти. Таким образом, возможно, необходимо рассмотреть основанное на программном обеспечении блокирование, которое запрещает установку определенных классов устройства.
Необходимо рассмотреть сложную почтовую фильтрацию, если Вы хотите идти по той дороге. Вместо того, чтобы просто предполагать, что любые файлы свыше определенного размера должны быть заблокированы как плохо, Вам нужны виды электронной почты, фильтрующей, которые доступны, которые сканируют содержание для ключевых слов и шаблонов, Вы определяете и принимаете меры на основе этого.
Разделение чувствительных офисных VLAN (если не физически полностью отдельные сети) является хорошей общепринятой практикой. Знайте, что это увеличит затраты на поддержку и может быть подвержено нарушениям из-за человеческой ошибки со стороны специалистов по поддержке, которые делают проводное соединение.
Одна вещь, которую я, конечно, сделал бы, гарантируют, что данные не хранились локально на рабочих станциях и ноутбуках, а скорее сохранялись на центральный, разъединяет. Их должно быть легче защитить и физически и в электронном виде. Рассмотрите хранящие документы в системах управления документами, которые позволяют Вам отследить доступ и внесенные изменения. Это может также позволить, чтобы IRM управлял, кто может сделать что к документу. Эти системы не являются надежными, но могут помочь.
Существует намного больше вещей, которые можно сказать об этом предмете, но они могли бы дать Вам некоторые интересные мысли. Это - предмет, о котором можно записать книгу (действительно, несколько человек имеют).
Короткий ответ - Вы, не может, и необходимо смочь доверять пользователям. Все, что можно сделать, ограничить, к какой информации у кого-то есть доступ на основе их доверительного уровня. Если им нужен он для их задания, но Вы не доверяете им, чтобы иметь его, то у Вас есть неправильный человек в том положении. Большинство критические данные не будет большим, но вещи как финансовые числа, клиентские номера кредитных карт и такой. Например, у нас только есть номера кредитных карт, идут одним путем в систему и никогда не отображаются никакому пользователю или даже назад клиенту. Финансовые отчеты контролируются и рассматриваются для наблюдения, кто выполняет их и от где.
Как Вы упоминаете, если кто-то захочет вывести материал, то они найдут путь, даже если Вы заблокировали очевидные маршруты. Например, попытайтесь мешать сотрудникам использовать бегунки сотового телефона, чтобы сделать screengrabs или красть распечатки.
Я предпочитаю контролировать и зеркально отражать очевидных маршрутов. Это поощряет пользователей идти путь наименее (контролируемого) сопротивления. Не блокируйте все использование USB, вместо этого регистрируйте использование и зеркально отражайте данные к серверу (мы используем DriveLock для этого) - это может также заблокировать устройство хранения данных USB, не блокируя клавиатуры USB и мышей. Настройте аудит данных периодически и ищите нечетные передачи.
Можно сделать подобный материал с устройствами BlueCoat для сети, но необходимо проксировать все соединения SSL, чтобы позволить устройству контролировать все передачи файлов. Я изучил бы их для покрытия Вашего (1) и (6). Пользователи будут знать о проксировании все же.
Если Вы действительно полностью блокируете доступ к устройствам или сайтам, удостоверьтесь, что проверяли журналы на неудачные попытки периодически для наблюдения, кто пытается что. Не прерывая само содержание, хотя, попытки являются легко спорными, например, путем переименования рисунков CAD к familyphoto.jpg.
Для (5), используйте пароли начальной загрузки BIOS для предотвращения несанкционированных изменений аппаратной конфигурации или загрузочного носителя, иначе любой пользователь может загрузиться с LiveCD и скопировать целые диски.
(3) глупо, как упомянуто ранее. ACLs и шифрование содержания более подходят для этого.
Кроме того, прежде, чем контролировать журналы, имейте план относительно того, какие шаги будут сделаны, если больше информации должно быть собрано. Кто будет хорошо более подробный сниффинг, если что-то недопустимое/действенное будет найдено? Весьма распространено позволить контролировать в средней компании и найти что-то ужасным сразу же.
Конечно, говорите с соответствующим легальным контактом в своей организации прежде, чем проводить любую эту политику и получите разрешение в письменной форме прежде, чем сделать что-либо.
Вещи, которые Вы перечислили, достойны, если у Вас действительно есть такая критическая информация. С технической стороны зарегистрируйте все также - Вы не можете заблокировать ВСЕ. Объект 3 довольно глуп, хотя - просто устанавливает соответствующий ACLs на совместно используемых ресурсах (файлы, веб-сайты/SharePoint, и т.д.).
С нетехнической точки зрения - Вы можете иметь, не конкурируют соглашения. Как Вы говорите, можно подать на сотрудника в суд. Это - также средство устрашения, не только, средство - помнит это.
Можно также выполнить бизнес таким способом, которым сотрудники чувствуют себя ценными и, менее вероятно, участвовали бы в таких действиях. Это может или не может противоречить выполнению места как, он находится на блокировке, и никому нельзя доверить информацию.
Какова критическая информация, которую содержит Ваша компания? Если это запатентовано или коммерческая тайна, то конкурент не может использовать его (по закону, AFIAK, IANAL, и т.д.), Если это - опыт Вашего сотрудника и навыки, жесткие - Вы не владеете этим, если это не кто-то так высокое значение, что у Вас действительно есть юридически обязательный договор с ними в течение определенного промежутка времени. Если это - что-то собственное (на основе моего собственного опыта, большой базы данных подрядчиков, которым компания сферы обслуживания доверяла, чтобы сделать работу в национальном масштабе) - хорошо, это более жестко. Технически, не выставляйте целую базу данных; но кто-то, кто согласился на проект, мог собирать самую важную информацию со временем и медленно скрываться с ним.