Rambler's Top100
Статьи ИКС № 03 2011
Антон РАЗУМОВ  09 марта 2011

Борьба за безопасность в мире Web 2.0

Многие приложения Web 2.0 являются мощными помощниками в бизнесе, но несмотря на это, к ним зачастую относятся как к небезопасным игрушкам. Как, не отказываясь от предоставляемых этими инструментами преимуществ, избежать связанных с ними рисков?

Антон РАЗУМОВ, консультант по безопасности Check Point Software TechnologiesС появлением социальных сетей и приложений Web 2.0 характер использования Интернета в рабочее время сильно изменился. Очень скоро руководители компаний пришли к пониманию того, что веб-приложения – это эффективный канал коммуникаций для налаживания связей с нужными людьми, установления дружеских отношений, проведения переговоров и т.д. Например, отдел по подбору персонала может искать потенциальных сотрудников через LinkedIn, Facebook, «Мой круг» или «Одноклассники». Менеджеры по продажам могут взаимодействовать с клиентами через Twitter; отдел маркетинга – находить на YouTube обзоры и обучающие ролики.

 

Однако приложения Web 2.0 хотя и расширяют возможности сотрудничества для предприятий, но также создают новые риски. По данным исследования, проведенного Ponemon Institute (июнь 2010 г.), до 82% администраторов, занимающихся обеспечением ИТ-безопасности, сознают, что использование сотрудниками социальных сетей, интернет-приложений и виджетов ведет к ухудшению корпоративной информационной защищенности.

 

Итак, основные недостатки приложений Web 2.0:

 

Угрозы безопасности. Список возможных рисков, связанных с приложениями Web 2.0, длинный – от вирусов, заражения вредоносными программами и программами-шпионами, внедрения SQL-кода и ботнетов до потери данных, незаконной деятельности или нанесения ущерба репутации компании. У организаций есть много причин для беспокойства. Инструменты Web 2.0 становятся все более популярными среди киберпреступников, поэтому их присутствие в корпоративной сети вызывает опасения.

 

Избыточная загрузка каналов связи. Работа с файлообменными сетями и такими интернет-приложениями, как YouTube, истощает пропускную способность корпоративной сети. Согласно недавним исследованиям, около 10% всей корпоративной пропускной способности расходуется сотрудниками во время просмотра видеороликов на YouTube и посещения Facebook. Для того чтобы не допустить нецелевого расходования пропускной способности и оградить сеть предприятия от опасных для бизнеса приложений, ИТ-администраторы обычно их блокируют или ограничивают к ним доступ.

 

Эффективность использования рабочего времени. Несмотря на то что масса приложений Web 2.0 действительно помогают в бизнесе, в них часто видят лишь интернет-игрушки, которые снижают производительность труда персонала.

 

Долгое время из-за этих опасений компании были вынуждены ограничивать и даже запрещать доступ к интернет-приложениям и социальным сетям с помощью межсетевых экранов и веб-фильтров. А многие из них решительно выступают за ограничение работы с определенными интернет-приложениями для определенных пользователей или на определенное время.

 

И все же, есть ли способ определить, какие из тысяч веб-приложений являются продуктивными инструментами для бизнеса, какие – бесполезной тратой времени сотрудников, а какие представляют реальную угрозу безопасности для корпоративной сети? Социальные сети, такие как Facebook, можно отнести к любой из вышеперечисленных категорий. У ИТ-специалистов нет возможности оценить уровень использования сотрудниками Интернета, что затрудняет выбор тактики, которая защищала бы бизнес, не препятствуя предпринимательской деятельности.

 

Для того чтобы не отказываться от выгод, предоставляемых приложениями Web 2.0, компаниям необходимы более совершенные инструменты для их контроля.

 

Технические и организационные меры

 

В первую очередь бизнес требует нового уровня контроля безопасности, чтобы среди тысяч приложений, работающих через HTTP, выделять необходимые. Некоторое время назад было достаточно селекции по URL-адресам или доменным именам, а также политик, основанных на классификации сетей – подсетей и IP-адресов. Однако сегодня, в среде Web 2.0 традиционные инструменты, такие как IP-Based Firewall policies и URL Filtering, достигли предела своих возможностей. Организациям необходимо создать детальную, гранулированную политику безопасности, которая может разграничить коммуникационные потоки приложений, использующие один протокол и порты через межсетевой экран.

 

Во-вторых, организации нужно разбить пользователей на категории и назначить им привилегии в зависимости от их роли, группы или обязанностей, а также в зависимости от конкретного способа, которым они выходят в Интернет, – через ПК, ноутбук или, скажем, мобильное устройство. Так, отделу по подбору персонала и отделу маркетинга доступ в «Мой круг» может быть необходим для того, чтобы выполнять свои функции.

 

Можно, например, позволить сотрудникам посещать Facebook Chat, но запретить другие непродуктивные приложения, например игры в Facebook. Или можно разрешить доступ к «Одноклассникам» или «ВКонтакте» только в обеденный перерыв.

 

Повышение уровня ответственности пользователей

 

Помимо технологий, снизить риски и злоупотребления приложениями Web 2.0 на рабочем месте должны помочь информирование и обучение сотрудников. И в самом деле, согласно исследованиям института Ponemon, большинство ИТ-специалистов считают, что именно конечные пользователи должны нести ответственность за последствия их работы с интернет-приложениями. Однако те же самые ИТ-специалисты признают, что их коллеги редко или никогда не принимают во внимание угрозы для корпоративной безопасности в своих повседневных бизнес-коммуникациях.

 

Для того чтобы ликвидировать этот пробел, следует повысить уровень информированности пользователей. Персонал должен быть осведомлен о потенциальных рисках, связанных с их онлайн-поведением, о корпоративной политике и допустимом применении инструментов Web 2.0 в своей работе. В то же время ИТ-отдел должен лучше понимать, какие приложения используются и для каких целей.

 

 

Большая прозрачность, лучшая видимость и усиленный контроль – вот что необходимо организациям, чтобы дать сотрудникам гибкость в работе с приложениями Web 2.0, свести к минимуму угрозы, связанные с безопасностью, и ограничить непродуктивное расходование пропускной способности корпоративной сети. В конце концов, задача состоит в том, чтобы «приручить» мир Web 2.0, а не запретить его.  

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: