10 Декабря, 2013

Старая сказка на новый лад

Роман Идов
Мы с вами уже неоднократно обсуждали  в нашем блоге одну важную, заметную, но от этого как-то не желающую становиться менее острой проблему, а именно - нежелание пользователей обращать достаточно внимания на информационную безопасность при возможности получения разных "плюшек" в виде "лайков" и прочей бесполезной ерунды.
Новые сообщения,иллюстрирующие эту проблему, появляются с пугающей, я бы сказал, частотой. Как вам, к примеру, это:

Корпорация Symantec выяснила, что многие пользователи популярного сервиса Instagram добровольно передают логин и пароль своего Instagram-аккаунта специальному приложению InstLike с целью бесплатно получить дополнительное число лайков и подписчиков. В результате, пользователи InstLike отдают контроль над своим аккаунтом, превращая его в бота, который ставит лайки и подписывается на аккаунты других людей. 

Или, вот, к примеру, еще интереснее:

Компания Amdocs обнародовала результаты исследования, которое продемонстрировала, что большинство клиентов готовы делиться своими персональными данными, включая информацию о семье и профилях в социальных сетях, если оператор может взамен гарантировать более высокое качество обслуживания.
Подробнее: http://www.cnews.ru/news/line/index.shtml?2013/06/24/533176

"Это всё интересно", скажете вы. Но что с этим делать? На мой взгляд, если речь идет не о корпоративной безопасности, а о личных аккаунтах, то безопаснее всего будет просто дать каждому юзеру в руки ответственность за свои аккаунты. Человеческая природа такова, что охота пуще неволи, и тут ничего не поделаешь. Но на работе надо как-то обуздывать это безудержное стремление к "лайкам", что на практике достаточно проблематично. Поэтому без контроля действий персонала с помощью DLP-системы вряд ли получится обойтись.
или введите имя

CAPTCHA
Vit
11 Декабря, 2013
если речь идет не о корпоративной безопасности, а о личных аккаунтах, то безопаснее всего будет просто дать каждому юзеру в руки ответственность за свои аккаунтыЭто даже не должно обсуждаться. ...на работе надо как-то обуздывать это безудержное стремление к "лайкам", что на практике достаточно проблематично. Поэтому без контроля действий персонала с помощью DLP-системы...А вот это интересный вопрос. Я знаю вполне честных и ответственных людей, которые увольнялись, узнав, что за ними следит служба безопасности предприятия. Более того, несколько лет назад сам отказался подписывать документы службы безопасности по принципу: "Не доверяете - ищите другого специалиста" (и вполне доволен тем своим решением). Просто в таких вопросах хорошо бы обращать внимание на точки зрения обеих сторон. И использовать поменьше паранойи.
0 |
  • Поделиться
  • Ссылка
чепчерицо
11 Декабря, 2013
Каждая компания выбирает свой путь в вопросе "говорить или не говорить сотрудникам о DLP". Знаю достаточно примеров как с одной, так и с другой стороны. Что ни говори, а превентивные меры тоже работают. К примеру, я знаю, что МОЖЕТ быть осуществлён контроль эффективности использования моего рабочего времени. Пусть даже на уровне "работал-бегал на перекур". В настоящий момент времени понятия не имею, смотрят или не смотрят. Да и всё равно, т.к. работаю. Поэтому для тех, кто действительно занимается работой на рабочем месте, внедрение DLP особой угрозы не представляет.
0 |
-_-
11 Декабря, 2013
У вас там конвейер? Сочувствую.
0 |
чепчерицо
11 Декабря, 2013
Где у нас? Конвейер чего? Если вы думаете, что люди, едва заслышав о системе мониторинга в компании, пакуют чемоданы, то глубоко заблуждаетесь. Или вы принципиально не ходите в магазины, если видите табличку "ведётся видеонаблюдение"? Ведь там тоже ЗА ВАМИ СЛЕДЯТ! АААААА!
0 |
Vit
11 Декабря, 2013
Если компания ставит условием "никаких личных дел в рабочее время", то DLP действительно угрозы не представляет. Только вот далеко не все специалисты согласны на такое условие. Как правило, специалисты, способные сделать что-то нестандартное, "штучную работу", как раз относятся к той категории, способной мгновенно сказать такой компании ПНХ. О чем я и написал. Следить на уровне пауз между нажатием клавиш я тем более не позволю - не секретарь-машинистка. Могу и неделю не подходить к компу, а работать на бумаге, или вообще в воображении. Как-то так... Впрочем, если компанию устраивает стандартный планктон, дрожащий за бомжовскую зарплату, то с DLP нет проблем. А вот там, где требуются творческие специалисты и инженеры повышенной грамотности (а то и ученые), со слежкой бывают проблемы. Это все не в качестве спора, а по факту. Самому интересно, как решают эти вопросы в разных организациях.
0 |
чепчерицо
11 Декабря, 2013
А решаются условно просто. Ни один адекватный руководитель не будет одинаково контролировать сотрудника одной задачи и творческого сотрудника. Вы правильно заметили, что можете неделю не работать с машиной. А дабы не лить воду, расскажу пример из собственной практики. Один из сотрудников как раз занимается "творческой" деятельностью. Я вижу, сколько у него времени уходит на подготовку того или иного задания. Но я, с другой стороны, знаю, что времени должно уходить меньше. Прежде, чем начинать махать шашкой, было проведено "исследование", целью которого было подтвердить систематическое завышение времени, расходуемое на задачу. После этого с сотрудником была проведена беседа, что негоже столько сидеть над каждой задачей. Никаких штрафов или ограничений. Просто по-человечески поговорили. В итоге теперь всё нормально. Я понимаю, что бывают времена застоя, когда действительно можно биться целый день над парой строк. Но это исключение, а не правило. И такие исключения я готов принять.
0 |
Vit
11 Декабря, 2013
Кстати, насчет адекватности руководителя, здесь есть интересная мысль. В том, что когда руководитель понимает работу сотрудников, тогда он мог бы использовать DLP для дополнительного контроля. Но во многих случаях адекватный руководитель и так отлично справляется, здесь DLP действительно может быть уместна для предотвращения утечек, если все-таки попался хреновый сотрудник. А вот неадекватным руководителям давать DLP в руки нельзя. Кроме злоупотреблений и (чаще всего бессмысленных) скандалов ничего не будет. Это как наши чиновники хотят контролировать и/или запретить все, причем почти ничего не понимая.
0 |
чепчерицо
11 Декабря, 2013
А неадекватам и не дают)
0 |
Vit
11 Декабря, 2013
Кстати, насчет "говорить или не говорить сотрудникам о DLP". В смысле? Использовать, но не говорить? Так за это владелец может так качественно под суд влететь, что банкротом станет. Это именно в том случае, когда сотрудник, не зная о слежке, использовал личную информацию в рабочее время. Если приватность личной жизни по отношению к государству гарантируется только в теории (и то не всегда), то по отношению к другим частным лицам - вполне даже на практике. Надо только не забывать защищать свои права.
0 |
чепчерицо
11 Декабря, 2013
в моём понимании "говорить/не говорить" сводится таким вариантам: 1. Не говорить = прописать дополнительные пункты где-нибудь в трудовом договоре и особо не офишировать что и как там изменилось. 2. Говорить = донести в головы сотрудникам (так, чтобы дошло), что есть DLP, что умеет и какую информацию перехватывает. Само собой, скрытое использование - плохой вариант.
0 |
Vit
11 Декабря, 2013
Да, именно донести. И сотрудники уже сами будут решать, устраивают ли их изменения существенных условий трудового договора. Если нет, очевидно, либо персональный договор, либо прекращение договора в соответствии с ТК. Просто, иначе компания рискует подставить сама себя, если найдется юридически грамотный сотрудник.
0 |