|
|
Обзор Защита информации и бизнеса от инсайдеров подготовлен Как использовать архив корреспонденции?Примерно 80% инцидентов внутренней ИТ-безопасности удается раскрыть путем анализа электронных сообщений. Таким образом, создание централизованного хранилища входящих и исходящих писем позволяет проводить эффективные расследования даже в крупной компании. Считается, что эффективно функционирующая ИТ-инфраструктура должна обязательно включать средство для создания архива корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента. Итак, какую пользу может принести централизованный архив для организации? Во-первых, анализ всех входящих и исходящих сообщений является эффективным методом расследования любых корпоративных инцидентов, особенно в сфере ИТ-безопасности и финансового мошенничества. Во-вторых, централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотрудник должен решать самостоятельно. В-третьих, возможность делать специфические выборки из хранилища корреспонденции позволяет решать многие деловые задачи в области маркетинга, продаж и т.д. Расследование инцидентов ИТ-безопасности Одно из основных преимуществ использования централизованного архива — это возможность провести эффективное расследование практически любого инцидента внутренней ИТ-безопасности, т. е. выявить инсайдера и доказать его вину. На данный момент в российских организациях сложилась порочная практика проведения внутренних расследований, при которой персональные компьютеры подозреваемых служащих арестовываются, сами сотрудники сгоняются со своих рабочих мест, а специалисты по ИТ-безопасности последовательно изучают электронные письма в почтовом клиенте. Недостатки такого подхода очевидны. Во-первых, провести такое расследование незаметно для персонала практически нереально. Это значит, что через несколько минут после начала следственных действий вся организация узнает — в фирме завелся «крот». Не исключено, что в результате сплетен информация дойдет до прессы или конкурентов. Во-вторых, скрыть круг подозреваемых лиц невозможно. Другими словами, каждый сотрудник, чью рабочую станцию арестовали, будет знать, что руководство ему не доверяет. Это особенно плохо отразится на общем климате среди персонала, если окажется, что инсайдера так и не удалось найти. Сотрудники могут чувствовать себя обиженными, что при определенных обстоятельствах приводит к саботажу по принципу: «Обидели незаслуженно — заслужи!». В-третьих, хоть немного подкованный «ренегат» догадается просто удалить компрометирующие его сообщения из почтового клиента. Так как специалисты по ИТ-безопасности не знают точно, кто из подозреваемых является инсайдером, они не станут тратить время и восстанавливать стертые данные на всех рабочих станциях подряд. Между тем, если в компании есть централизованный архив корпоративной корреспонденции, то все расследование займет от силы несколько часов, в течение которых офицер безопасности будет спокойно сидеть в своем кресле и делать аналитические выборки из хранилища. Фильтры сообщений, сортировка по группам, поиск ключевых фраз — все эти инструменты позволяют довольно быстро найти любые подозрительные сообщения в общем архиве. При этом никто не беспокоит ни в чем неповинный персонал и не портит рабочую атмосферу в офисе. Именно так поступают цивилизованные компании, заботящиеся о себе и своих служащих. По экспертной оценке InfoWatch, примерно 80% инцидентов внутренней ИТ-безопасности удается раскрыть путем анализа электронных сообщений. Таким образом, создание централизованного хранилища входящих и исходящих писем позволяет проводить эффективные расследования даже в крупной компании. Пример из практики — победу над инсайдерами при помощи централизованного архива продемонстрировал в середине февраля 2006 года российский системный интегратор LETA IT-company. Благодаря грамотному подходу к внутренней ИТ-безопасности фирме удалось обезвредить инсайдера, уличенного в злоупотреблении служебным положением. Все дело было в том, что один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Если бы инсайдеру удалось привести свой план в действие, то LETA понесла бы серьезные финансовые потери, связанные с недополученной прибылью и утечкой сведений о заказчиках. Возможно, что еще больший ущерб компания бы понесла вследствие ухудшения своей репутации. Однако злоупотребление было оперативно и заблаговременно выявлено с помощью комплексной системы предотвращения утечек. В ИТ-инфраструктуру фирмы была внедрена система фильтрации почтового трафика и обнаружения утечки конфиденциальной информации — InfoWatch Mail Monitor, а также централизованный архив — InfoWatch *Storage. Сначала офицер ИТ-безопасности компании получил предупреждение о подозрительной активности сотрудника от Mail Monitor. Однако доказать вину инсайдера помогли лишь изучение почтовых сообщений, которыми инсайдер обменивался с потенциальными заказчиками. Для этих целей пришлось сделать несколько аналитических выбор из Mail Storage. Далее, как только подозрения окрепли, об инциденте тут же было сообщено начальству. Таким образом, организации удалось защитить свой самый ценный информационный актив — клиентскую базу. Уличенный в нарушении трудового договора, который предусматривал положение о конфиденциальности, и корпоративной этики инсайдер возместил ущерб и был уволен. При этом руководство LETA решило не замалчивать инцидент, а проинформировать общественность и другие компании, чтобы инсайдер не смог найти себе новую жертву. Решение проблемы резервного копирования Сегодня каждая компания использует электронную почту как одно из основных средств коммуникации. На крупных предприятиях ежедневный объем электронной корреспонденции может составлять десятки и сотни гигабайт. Все эти сообщения хранятся в папках персональных почтовых клиентов служащих. Вследствие постоянного обмена письмами личные ящики сотрудников «разбухают», а программа для работы с корреспонденцией начинает «тормозить». Как результат, персонал просто удаляет сообщения, например, полугодовой давности, так что эти письма можно считать безнадежно утраченными. Между тем, использование централизованного архива корпоративной корреспонденции снимает со служащих обязанность самостоятельно следить за наполнением своих ящиков и делать резервные копии. Кроме того, минимизируется риск утраты критически важного сообщения, которое может потребовать и через два и через четыре года. Решение задач бизнеса Очевидно, что архив корпоративной корреспонденции снимает с рядовых служащих заботы о собственном резервном копировании, а при соответствующей защите хранилища аутентичные сообщения могут быть представлены в качестве доказательств в суде. Однако это лишь верхушка айсберга, в то время как под водой скрывается масса бонусов при решении деловых задач. Приведем несколько сценариев такого использования: Софтверная компания выпустила очередную версию своего продукта. По прошествии нескольких месяцев глава технического департамента решил оценить динамику изменения качества работы программистов и тестеров. Для этого он просит своего подчиненного написать отчет по количеству обращений в службу технической поддержки со стороны пользователей. При этом необходимо отсортировать запросы на категории — отдельно для каждой версии программного продукта, а также предоставить динамику роста числа запросов по времени. Эта задача очень легко решается с помощью архива корпоративной корреспонденции. Служащий технического департамента делает аналитическую выборку, отфильтровывая сначала все запросы в службу технической поддержки, потом разбивая их на различные версии продуктов (фильтрация по ключевым словам), а далее создавая с помощью мощных встроенных средств аналитический отчет, отражающий динамику по времени. Все этой займет не больше 30 минут. В этом примере опущены еще две роли: администратора корпоративного архива (лицо, настраивающего его работу, но не имеющего доступа к самим сообщениям) и офицера безопасности (лицо, имеющего доступ к сообщениям, но не имеющего прав для управления хранилищем). Такое разделение ролей необходимо для обеспечения аутентичности архива. Заметим, что без использования хранилища корпоративной корреспонденции решить поставленную техническим директором задачу будет намного сложнее. Другой пример: телекоммуникационная компания запустила новую услугу, например, новый тарифный план для доступа в интернет или пользования мобильной связью. Директор по маркетингу хочет оценить реакцию потребителей на новинку, сравнив ее с реакцией на услугу, запущенную, скажем, в прошлом году. Он поручает написать соответствующий отчет менеджеру по маркетингу, которому при помощи администратора и офицера безопасности надо просто отфильтровать все сообщения, поступившие на публичные ящики компании и упоминающие новую услугу. Аналогично предыдущему случаю отчет составляется не более чем за 30 минут. В результате руководитель отдела маркетинга может оперировать реальными цифрами, выполняя функции контроля и планирования в деятельности своего подразделения. Или такой вариант: начальник одного из подразделений крупной компании планирует создать экспертную или просто рабочую группу по разрешению конкретного вопроса или разработке нового проекта. Отбирая членов формируемой команды, руководитель сталкивается с вопросом: «А знакомы ли рассматриваемые кандидаты друг с другом?». Вместо того чтобы приглашать к себе более десятка специалистов и спрашивать у них, знают ли они кого-нибудь в комнате, начальник просто просит «пробить» имена кандидатов в почтовом архиве. Практически наверняка люди, немного друг друга знающие и работающие в одной компании, хотя бы раз обменивались письмами. Между тем, большое количество общих сообщений может свидетельствовать о дружбе между служащими и устойчивых товарищеских отношениях. Таким образом, опытный руководитель может учесть важную межличностную компоненту при формировании команды профессионалов. Можно приводить довольно много примеров, так как аналитические выборки требуются во многих областях корпоративного менеджмента. Их можно использовать для оценки эффективности внутрифирменных коммуникаций, маркетинговых акций, технических решений и т.д. На службе безопасности и бизнеса Создание и хранение архивов корпоративной корреспонденции позволяет решить целый ряд важных вопросов, как в сфере совместимости с законодательными актами, так и в области ИТ-безопасности и бизнеса. Такой подход помогает эффективно «закрыть» те задачи, которые раньше требовали значительно большего объема работ (например, расследование инцидентов и поиск инсайдеров), а также дает в руки менеджерам эффективный инструмент анализа данных (проведение маркетинговых, технических и других исследований). Таким образом, средства создания корпоративных архивов органично дополняют арсенал информационных процессов, позволяющих бизнесу повысить свою конкурентоспособность. Алексей Доля |