Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797

Глава 27

Сценарии использования централизованных архивов

Расследование инцидентов ИБ

Решение проблемы резервного копирования

Решение задач бизнеса

Итоги

Зачем российским компаниям может потребоваться собирать архивы корпора­тивной корреспонденции? В предыдущей главе разобраны нормативные акты, так или иначе требующие внедрить централизованный архив. В этой главе же проана­лизируем конкретные сценарии использования этих продуктов: расследование ин­цидентов ИТ-безопасности, создание системы резервного копирования и возмож­ность производить аналитические выборки для решения задач бизнеса.

Считается, что эффективно функционирующая ИТ-инфраструктура должна обяза­тельно включать средство для создания архива корпоративной корреспонденции. Более того, хранение всех входящих и исходящих сообщений является хорошим стилем менеджмента. Итак, какую пользу может принести централизованный архив для организации?

Анализ всех входящих и исходящих сообщений является эффективным мето­дом расследования любых корпоративных инцидентов, особенно в сфере ИБ и финансового мошенничества.

Централизованный почтовый архив решает проблему резервного копирования электронных сообщений, которую в противном случае каждый сотрудник дол­жен решать самостоятельно.

Возможность делать специфические выборки из хранилища корреспонденции позволяет решать многие деловые задачи в области маркетинга, продаж и т. д.

Рассмотрим эти стимулы подробнее.

Расследование инцидентовИ Б

Одно из основных преимуществ от использования централизованного архива — это возможность провести эффективное расследование практически любого инци­дента внутренней ИБ, то есть выявить инсайдера и доказать его вину.

На данный момент в российских организациях сложилась порочная практика про­ведения внутренних расследований, при которой персональные компьютеры по­дозреваемых служащих арестовывают, самих сотрудников увольняют с рабочих мест, а специалисты по И Б последовательно изучают электронные письма в почто­вом клиенте.

Недостатки такого подхода очевидны. Во-первых, провести такое расследование незаметно для персонала практически нереально. Это значит, что через несколько минут после начала следственных действий вся организация узнает — в фирме за­велся «крот». Не исключено, что в результате сплетен информация дойдет до прес­сы или конкурентов.

Во-вторых, скрыть круг подозреваемых лиц невозможно. Другими словами, каж­дый сотрудник, чью рабочую станцию арестовали, будет знать, что руководство ему не доверяет. Это особенно плохо отразится на общем климате среди персона­ла, если окажется, что инсайдера так и не удалось найти. Сотрудники могут чувство­вать себя обиженными, что при определенных обстоятельствах пршюдит к сабота­жу по принципу: «Обидели незаслуженно заслужи!»

В-третьих, хоть немного подкованный ренегат догадается просто удалить ком­прометирующие его сообщения из почтового клиента, а так как специалисты по ИБ не знают точно, кто из подозреваемых является инсайдером, они не ста­нут тратить время на восстановление стертых данных на всех рабочих станци­ях подряд.

Между тем если в компании есть централизованный архив корпоративной коррес­понденции, то все расследование займет от силы несколько часов, в течение кото­рых офицер безопасности будет спокойно сидеть в своем кресле и делать аналити­ческие выборки из хранилища. Фильтры сообщений, сортировка по группам, поиск ключевых фраз — все эти инструменты позволяют довольно быстро найти любые подозрительные сообщения в общем архиве. При этом никто не беспокоит ни в чем не повинный персонал и не портит рабочую атмосферу в офисе. Именно так посту­пают цивилизованные компании, заботящиеся о себе и своих служащих.

По экспертной оценке компании InfoWatch, примерно 80 \% инцидентов внутрен­ней ИБ удается раскрыть путем анализа электронных сообщений. Таким образом, создание централизованного хранилища входящих и исходящих писем позволяет проводить эффективные расследования даже в крупной компании.

Решение проблемы резервного копирования

Сегодня каждая компания использует электронную почту как одно из основных средств коммуникации. При этом на крупных предприятиях ежедневный объем электронной корреспонденции может составлять десятки и сотни гигабайт. Все эти сообщения хранятся в папках персональных почтовых клиентов служащих. Вследствие постоянного обмена письмами личные ящики сотрудников «разбуха­ют», а программа для работы с корреспонденцией начинает «тормозить». Как ре­зультат, персонал просто удаляет сообщения, например, полугодовой давности, так что эти письма можно считать безнадежно утраченными.

Между тем использование централизованного архива корпоративной корреспон­денции снимает со служащих обязанность самостоятельно следить за наполнени­ем своих ящиков и делать резервные копии. Кроме того, минимизируется риск утраты критически важного сообщения, которое может потребоваться и через два, и через четыре года.

Решение задач бизнеса

Очевидно, что архив корпоративной корреспонденции снимает с рядовых служа­щих заботы о собственном резервном копировании, а при соответствующей ;шщи те хранилища аутентичные сообщения могут быть представлены в кнчегтпе докм* зательств в суде. Однако это лишь верхушка айсберга, в то время как под нодой скрывается масса бонусов для решения деловых задач. Приведем несколько еце-иарисв такого использовании.

Софтверная компания выпустила очередную версию своего продукта. По прошествии нескольких месяцев глава технического департамента решил оценить динамику изме­нения качества работы программистов и тестеров. Для этого он просит своего подчи­ненного написать отчет по количеству обращений в службу технической поддержки со стороны пользователей. При этом необходимо отсортировать запросы на катего­рии — отдельно для каждой версии программного продукта, а также представить динамику роста числа запросов по времени. Эта задача очень легко решается с помо­щью архива корпоративной корреспонденции. Служащий технического департамен­та делает аналитическую выборку: отфильтровывает вначале все запросы в службу технической поддержки, потом разбивает их на различные версии продуктов (фильт­рация по ключевым словам), а далее — создает с помощью мощных встроенных средств аналитический отчет (отражающий динамику по времени). Все этой займет не более получаса. Для наглядности в этом примере опущены еще две роли: админи­стратора корпоративного архива (сотрудника, настраивающего его работу, но не имеющего доступа к самим сообщениям) и офицера безопасности (сотрудника, имеющего доступ к сообщениям, но не имеющего прав для управления хранилищем). Такое разделение ролей необходимо для обеспечения аутентичности архива. Заметим, что без использования хранилища корпоративной корреспонденции решить постав­ленную техническим директором задачу будет намного сложнее.

Телекоммуникационная компания запустила новую услугу, например новый та­рифный план для доступа в Интернет или пользования мобильной связью. Дирек­тор по маркетингу хочет оценить реакцию потребителей на новинку, сравнив ее с реакцией на услугу, запущенную, скажем, в прошлом году. Он поручает написать соответствующий отчет менеджеру по маркетингу, которому с помощью админист­ратора и офицера безопасности надо просто отфильтровать все сообщения, посту­пившие на публичные ящики компании и упоминающие новую услугу. Аналогично предыдущему случаю отчет составляется не более чем за 30 мин. В результате руко­водитель отдела маркетинга может оперировать реальными цифрами, выполняя функции контроля и планирования в деятельности своего подразделения.

Начальник одного из подразделений крупной компании планирует создать эксперт­ную или просто рабочую группу по решению конкретного вопроса или разработке нового проекта. Подбирая членов формируемой команды, руководитель сталкива­ется с вопросом: «А знакомы ли рассматриваемые кандидаты друг с другом?» Вместо того чтобы приглашать к себе более десятка специалистов и спрашивать у них, знают ли они кого-нибудь в комнате, начальник просто просит «пробить» име­на кандидатов в почтовом архиве: наверняка люди, хоть немного знающие друг друга и работающие в одной компании, обменивались письмами. Кроме того боль­шое количество общих сообщений может свидетельствовать о дружбе между служа­щими и устойчивых товарищеских отношениях. Таким образом, опытный руково­дитель может учесть важный межличностный компонент при формировании команды профессионалов.

Таких примеров можно приводить довольно много, так как аналитические выбор­ки требуются во многих областях корпоративного менеджмента. Их можно ис­пользовать для оценки эффективности внутрифирменных коммуникаций, марке­тинговых акций, технических решений и т. д.

Итоги

Создание и хранение архивов корпоративной корреспонденции позволяет решить целый ряд важных вопросов как в сфере совместимости с законодательными актами, так и в области ИБ и бизнеса. Такой подход помогает решать эффективно те задачи, которые раньше требовали значительно большего объема работ (напри­мер, расследование инцидентов и поиск инсайдеров), а также дает в руки менед­жерам эффективный инструмент анализа данных (проведение маркетинговых, технических и других исследований). Таким образом, средства создания корпора­тивных архивов органично дополняют арсенал информационных процессов, по­зволяющих бизнесу повысить свою конкурентоспособность.