Поиск утечек в корпоративной почте

Здравствуйте! Только сегодня прилетела из Москвы, где слушала курсы по криптографии, об этом напишу отдельно, а сегодня предлагаю Вашему вниманию статью в открытом доступе о методах поиска утечек в корпоративной почте на портале sec.ru - ссылка.

Теория рисков в системе комплексной безопасности организации

Вышла моя новая статья в журнале Директор по безопасности. На этот раз о построении карты рисков.

История теории рисков насчитывает не одно тысячелетие, первые положения были сформулированы еще в античные времена. Дальнейшее развитие теория получила благодаря азартным играм, люди старались искусственно повысить свои шансы на победу, проводя сложные вычисления. В наши дни теория рисков становится все более популярной, поскольку высокий уровень конкуренции порождает и высокий уровень возможных «опасностей». Об основах этой теории и о построении карты рисков – в статье Ксении Шудровой.

Ссылка

Информационная безопасность Вконтакте и свежая статья

Интересный паблик о блогах по защите информации - Ссылка. Есть и про меня :)

Вышла моя новая статья о персональных данных в журнале "Директор по безопасности". Анонс статьи:

Многие руководители считают, что если организация работает только с юридическими лицами, то тема персональных данных для них неактуальна. Они забывают про своих сотрудников – их личные данные должны защищаться не меньше, чем информация о клиентах. Оператору зачастую трудно разобраться во всех тонкостях и организовать адекватную защиту собственными силами. Не должна сбивать с толку небольшая сумма штрафа за нарушение (порядка 10 тысяч руб. для юридических лиц) – в скором времени планируется утвердить поправки в КоАП, наказание станет во много раз строже. Ниже об этом будет рассказано подробнее.

Информационная безопасность для домохозяек

Много думала и решилась - буду по кусочкам публиковать сюда свою с позволения сказать "книгу", скорее, конечно, книжонку :) Надеюсь на то, что 1. Вам это понравится. 2. Если вам это не понравится, то я получу ценную конструктивную критику и мы перейдем к пункту 1. :) Начнем!

Маме, папе, Ане, Роме, дедушкам и бабушкам посвящается…

 (А вы говорили, что не напишу! :-Р)

Информационная безопасность для домохозяек

Будучи достаточно тщеславным ребенком, не умеющим ни петь ни танцевать, я решила, что вырасту и обязательно напишу (а главное издам) книгу. Для чего в подростковом возрасте начала проводить подготовительные работы по написанию мелодраматических стишочков, даже заняла как-то с ними почетное третье место на школьном конкурсе чтецов, но дальше дело не пошло. Потом были еще попытки с прозой, а затем, уже где-то в студенческие годы меня озарило, что есть такой прекрасный жанр – техническая литература. Если вдруг не знаешь о чем дальше писать, всегда можно вставить описание технологии, кусочек из федерального закона или судебной практики, в крайнем случае, добавить совет. Тему было выбрать совсем просто, потому что информационной безопасности я отдала лучшие свои годы (надеюсь, отдам еще и «так себе годы», а может даже и «преклонный возраст»). Идея написать книгу по защите информации витала в воздухе лет пять, наверное, но так как вначале я намеревалась написать настоящий учебник, а опыта и знаний явно не хватало, то даже первая страница не была написана. Однако как-то за чаем, спасибо дорогой подруге Анастасии Будниковой, мы поняли, что мой конек - писать несерьезно о серьезном.[1]

Писать книгу оказалось сложнее, чем я думала, хотя малые формы вроде бы неплохо получаются, поэтому уговариваю себя, что книга, это просто большаааая статья и сажусь писать.[2] Никакой коммерческой выгоды от своего творения я не ищу, поэтому можете копировать и распространять любые части,[3] хотя бы даже чтобы посмеяться над «еще одной бездарной писательницей»[4]. Цель написания этой книги[5] - поразмышлять вместе с вами над информационной безопасностью, отдохнуть и попробовать взглянуть на проблемы, которые ставит перед нами отрасль отвлеченно. В этом месте нужно очень остроумно пошутить, раз уж я заявила эту книгу, как несерьезную, поэтому … Вот здесь на полчаса меня заклинило, можно было даже слышать треск шестеренок внутри головы, а шутка так и не придумалась, эх…

Приходит один сосед к другому и спрашивает:
- Почему это у тебя свинья на костылях бегает?
- Я что, из-за тарелки холодца всю свинью резать буду?!

(с) Бородатый анекдот из моего детства[6]

Как сэкономить на информационной безопасности или почему не надо рубить всю свинью

По моему глубокому убеждению на защите информации можно и нужно экономить. В последнее время благодаря принятию закона «О персональных данных» (который дал многим из нас хлебушек с маслицем) многие организации задумались о защите своих информационных активов. Это очень правильно, но для того, чтобы не разориться на установке дорогостоящих сертифицированных «игрушек», нужно подходить к подбору средств защиты с умом.

Продолжение следует...

---

[1] Вот почему моя диссертация так плохо продвигается, в настоящий момент в науке не очень ценят популярный стиль (здесь и далее примечание автора)

[2] В блоге вы можете ознакомиться с полным перечнем моих статей, все точно, как в аптеке, список регулярно обновляется.

[3] Только, пожалуйста, указывайте авторство, так как я не только была тщеславным ребенком, но и стала тщеславным взрослым.

[4] И это будет здорово, потому что я как раз и хочу, чтобы вы посмеялись и продлили себе жизнь (а я почищу себе карму добрым делом).

[5] Нас в аспирантуре учат, что вначале обязательно надо сформулировать цель и актуальность, совсем здорово, если будут еще выделены задачи, поставленные перед автором.

[6] Очень люблю эпиграфы, в них вся соль.

Субботние размышления ни о чем

С некоторых пор полюбились мне походы на почту - дни, когда я получаю журналы со своими статьями. Писать сложно, постоянно приходится преодолевать лень, собственную ограниченность в предметной области, усталость, отсутствие вдохновения, что угодно, есть тысячи причин, чтобы не писать. Но все это забывается, когда видишь свои публикации на бумаге, очень приятное ощущение :) Каждый раз, когда начинаю работать над статьей, хочу сделать ее максимально простой и в то же время полезной. Как это у меня получается, судить читателям. Единственное, что по силам автору, стараться сделать каждую новую статью лучше предыдущей. 

Р.S. В обеденные перерывы читаю замечательную книжку по социальной инженерии, понравилась видимо общеизвестная, но незнакомая мне ранее фраза:

Чтобы быть счастливым, нужно любить себя, свою семью, людей и труд. Просто и гениально, ничего не могу к этому добавить.

Лояльность сотрудников

Здравствуйте, дорогие читатели! Сегодня я бы хотела порассуждать с вами на тему лояльности. Все мы понимаем, что, чем сложнее становятся настройки систем безопасности, тем больше злоумышленники пользуются "человеческим фактором". Буквально каждый день я уже несколько лет размышляю - зачем вообще нужны технические меры защиты, если мы говорим об угрозе изнутри? Безусловно, ограничивая доступ к флешкам и сети Интернет, мы в значительной степени затрудняем вынос клиентских баз за пределы офиса и это уже очень хорошо. Однако, если человеку необходимо вынести небольшой объем информации, то он может сфотографировать на телефон важные сведения или даже просто их запомнить. Можно придумать защиту от фотографирования - отнимать телефоны на входе или, например, направить камеру в лицо каждому пользователю и одновременно на экран монитора. Кажется, что теперь защита безупречно. Однако, мы часто забываем о том, что обрабатывать видеоданные будет человек. И опять мы возвращаемся к человеческому фактору, социальной инженерии и другим подобным вопросам.

Эффективность использования человеческого фактора напрямую зависит от лояльности персонала, значит необходимо уметь ее оценивать. Путем долгих размышлений и анализа своего личного опыта, я выделила несколько ключевых факторов для определения лояльности. Вне всяких сомнений, мой взгляд на проблему достаточно субъективный, поэтому буду рада выслушать ваши замечания и предложения. "В споре рождается истина" :)

Итак, что я выделила для себя:

1. Статистика увольнений по годам или кварталам. Участившиеся увольнения - признак значительного снижения лояльности. Однако необходимо понимать, что используются относительные величины. Если штат расширился и количество увольнений пропорционально этому расширению выросло, то нет особых причин для волнений.
2. Большое количество нарушений внутреннего распорядка - опоздания, игнорирование правил безопасной работы с ценной информацией также свидетельствует о низком уровне лояльности. Сотрудники не считают себя обязанными выполнять инструкции, а значит авторитет руководства достаточно низкий.
3. Тяжелые условия труда - ненормированный рабочий день ( с неоплачиваемыми дополнительными часами работы), проблематичный уход в отпуск, периодическое лишение премий, понижение заработной платы. Все эти факторы приводят к накоплению негативных эмоций у сотрудников и как следствие - понижению лояльности.
4. Отсутствие взаимовыручки и поддержки внутри коллектива, явные конфликты между структурными подразделениями и отдельными сотрудниками. Если документы пишутся быстрее, чем согласовываются, а получить информацию в другом отделе тяжелее, чем самостоятельно найти ее, есть весомый повод задуматься о лояльности такого коллектива.

На мой взгляд эти пункты - основные признаки низкой лояльности, однако их несомненно больше. Например, здесь не учтены негативные отзывы о компании в сети Интернет, в частности на сайтах о недобросовестных работодателях. А какие факторы выделили бы вы?

Как создать информационную сеть среди сотрудников?

Вышла январская статья в "Директоре по безопасности" о лояльности, инсайдерах, человеческих отношениях и информировании внутри коллектива, надеюсь, получилось занятно. Материал называется - "Методы создания информационной сети среди сотрудников", статья доступна только в ограниченном доступе для подписчиков журнала.