Information Security for Non-Professionals: Simple Solutions for Computers and Mobile Devices

добрый день владимир мой коллега я хочу представить тоже владимир занимается технической частью и работает с программным обеспечением а я скорее моя деятельность связана с работой с людьми с клиентами с безопасностью в целом и и я воспринимаю любую тему связанную с информационной безопасностью в контексте безопасности компании в целом да и тема сегодняшнего моего до нашего доклада посвященном работе с людьми с непрофессионалами мы не можем обеспечить безопасность компании любой если мы не поработали с лицом принимающим решение если мы ну в идеальных условиях может быть такие существуют когда нужно достаточно прийти и к человеку и сказать человеку который распределяет ресурсы и принимает решение и сказать это нужно и все сразу как волшебная палочка и все запустить запускается выделяются деньги или

ресурсы другие какие нам нужны но в жизни к сожалению так не происходит и поэтому приходится безопасность которая нужна людям нужна компания ее приходится продавать продвигать убеждать и вот в этом проблема как ее решать что делать собственно мы знаем как помочь защитить компанию но нам нужно приложить больше гораздо усилий чтобы вообще этот проект продвинуть и реализовать вот и что нам делать связи с этим что нам делать связи с этим нам нужно работать в первую очередь с лицами принимающими решения 3 мотивации как бы преобладают will пэров 1 мотивация это страх 2 это алчность и третье вот по моей оценке практической с практической точки зрения там два может быть процента до 5 максимум лпр настолько продвинутых что они готовы

вкладываться в собственную безопасность безопасность компании и вот с этим нам нужно работать нам нужно стать во первых очень важно что мы работаем с не технарями они эти люди не понимают в общем всего и нам нужно специальное усилия прикладывать чтобы объяснить им рассказать убедить и только после этого мы сможем начать работать после этого нам нужно будет работать с другими людьми с 2 категории еще я выделю это средний менеджмент и собственно сотрудники компании и там тоже нужно прикладывать специальные усилия чтобы эти дни технари и не специалисты в области информационной безопасности смогли как бы воспринять в наши идеи и смогли как бы захотеть что ли жить в этом то есть нам нужно добиться чтобы идея информационной безопасности стала частью

корпоративной культуры компании да ну да примеры жизни очень хороший вопрос пример жизни такой увели деньги со счета в компании увели порядка 20 тысяч гривен я вот рассказывал коллегам как раз мы беседовали перед моим выступлением увели и что но мы подготовили разобрались в ситуации подготовили рекомендации разослали всем нашим клиентам и никто не захотел себя внедрять вот эти рекомендации и через несколько месяцев у другого в компании увели уже порядка двухсот тысяч к нам снова обратились мы дополнили список из 6 рекомендаций мы поработали с безопаснее со службами безопасности нескольких банков собрали информацию проанализировали просты и понятны и рекомендации которые несложно бесплатным это недорого не сложно реализовать и там их стало не 6 a 8 и разослали опять эти рекомендации

нашим клиентам и опять никто не отреагировал и вот еще через несколько месяцев по 600 тысяч порядка 600 тысяч у самого крупного попытались увезти и повезло просто вот взаимодействие с банком позволило не уюни уйти этим деньгам вот они после этого к нам обратились сказали делайте что хотите сколько надо денег что вам нужно любые полномочия это случай жизнь это реальность если lpl показать что он потеряет много он скажет давай работай вперед если пару показать угрозы которые произойдут в результате утечки информации он скажет вперед а надеяться на то что он настолько продвинут что скажет да мне нужна безопасность пока он не почувствуют угрозу себе или потери денег алчность или страх особенно если это в контексте каких-то незаконных действий

потенциально незаконных действий контролирующих органов то он не пошевелится надо отдать себя в этом отчет и научиться работать с этим уже если мы не научимся у нас не будет результата и зная про прекрасные продукты мы не сможем их внедрить не сможем реализовать вот обратите внимание на презентацию вообще сегодняшний доклад он состоит из двух частей можно так сказать самопрезентация которую мой коллега готовил и она скорее носит технический может быть такой системный характер об этом это часть вот собственно я вам сейчас рассказываю и не всегда эти две части связаны между собой воспринимаете это спокойно я рекомендую с презентацией по работать отдельно внимательно потому что много информации вот и что нам делать собственно вот возник это вопрос да актуальная задача человеческий фактор

мотивация лиц принимающих решения что нам делать с ними работать надо учиться работать второй момент нужно дать менеджмент среднего уровня с ним тоже нужно работать потому что если не пользоваться поддержкой менеджмента среднего уровня то внедрять систему строить систему безопасности очень сложно будет и есть в менеджменте целое направление называется управление изменениями и если мы этого не будем учитывать не почитаем или не изучим этот материал то нам очень сложно будет строить систему безопасности вот и пользователи как работать пользователями самое лучшее конечно самый простой вариант это жестко административной модели когда директор сказал кто не будет слушаться кто не будет использовать эти инструменты и помогать специалистам тот будет жестоко наказан или волен и все сразу стал ну это такое знаете пустыня

зыбучих песков и когда мы встаем на этот путь мы пришли в компанию и мы встали на этот путь нас поджидает много ловушек и сложностей и проблем и дорогу осилит идущий надо с этим все равно работать до они обвинят им будет не интересно им будет не хотим не будет хотеться заниматься этим и обучаться вот мы сейчас linux ставим больше 300 человек даже подпись под 500 человек персонала и всем linux и в общем это люди большое противодействие

[музыка] ну то есть по сути нам приходится выступать к такими конструкторами каких то систем мотивации работать с персоналом это и чар технологии вот вот в этом направлении мы вынуждены работать если мы не хотим просто остаться в узких рамках технаря или если нет с нами рядом в команде человека который за нас это все решит ну во многих компаниях я я говорю исходя из опыта руководителя службы безопасности холдинга и информационная безопасность является частью системы я говорю исходя из опыта руководителя консалтинговые компании и мы компания занимается комплексной безопасностью и информационная безопасность эта часть я говорю с точки зрения адвоката который сопровождает уголовные дела ну защищает клиента в уголовных делах в основном связанных с экономикой и в этом контексте приходится как это я не скажу

противодействовать я скажу так взаимодействовать с представителями контролирующих органов который с некоторой степенью вероятности могут действовать незаконно вот так обтекаемо сформулирую и вот с этих и 4 собственно сторона с точки зрения научной деятельности потому что работаю над вот уже на финишную прямую вышел диссертация связанная с управлением информационной безопасностью в бизнесе вот с этих четырех точек зрения есть опыт уже за более чем в 2004 года сколько это наверно 14 лет вот этот опыт я собственно пытаюсь вам передать и когда я отвечаю за систему в целом это совсем другой взгляд чем когда у меня есть рядом со мной человек в команде который продвинет убедит выделит выбит собственно ресурсы и все это сделает и нужно просто прийти и там реализовать

что-то вот с этой точки зрения и техно сейчас он должен стать уже не технарем во многом он должен стать менеджером и мышление менеджером должно уже быть чтобы успешно работать с точки зрения вот пример еще противодействия не противодействия как бы преодоление преодоление сопротивления ну в опыте например когда мы зашифрованную почту внедряли или например использование программы true crypt когда каждая машина должна быть зашифровано или там какой-то в носитель внешней приходилось когда разговариваешь с финансистом то есть разговаривать на его языке потому что как это не в каждой компании бывает случай когда у топ-менеджера вскрыли машину и вытащили из нее ноутбук и он сидит и думает кто к нему придёт сейчас в ближайшее время кому это информация по папа попало и ли

не в каждом компании бывает такое когда региональный менеджер переписывается с центральным офисом а через пару месяцев к партнеру в этом регионе приходит представитель одной из организаций серьезных выкладывает пачку листов такую на стол и говорит ну вот здесь за последние там два года значит сколько было продано до за сколько каким образом и вот весь этот учет и вот той компании где это произойдет гораздо легче работать а если этого не произойдёт вот как раз нужно наше искусство убеждения продажи и работы с людьми чтобы реализовать нашу систему вот и что еще важно я уже неоднократно говорил stem а системы системы кроме вот такого фактора осознанности действий lp раме и сотрудниками компании очень важно нам держать в голове что мы

создаём систему использовать системный подход это может быть звучит скучно но если мы не будем осознанно реализовывать системный подход мы проиграем потому что нам нужно же закрыть очень много разных граней и так далее и тому подобное и как результат нашей деятельности уже деятельности не технарей а скорее управленцев в этой области информационная безопасность и вот правила информационной безопасности должны стать частью корпоративной культуры и это тоже но это может быть звучит знаете такую корпоративная культура мотивационный климат все такое прочее но в практике мы строили системы когда действительно люди воспринимали сотрудники не технарь и что это необходимо и это нужно это правильно и вот эти правила нужно выполнять

ну еще из методов какие есть такое правило принцип системы безопасности он основан на помощь и каждый сотрудник в компании может обратиться за консультацией за помощью и узкий специалист ему должен помочь и вот если это внедрить так просто люди знают сотрудники что к ним относятся как это проявляется в любой момент может прийти и обратиться за помощью и в ответ ответная реакция но это один из способов до следующий момент очень важный принцип экономической целесообразности принцип вообще целесообразности в деятельности компании мы не должны мешать основному бизнес-процессов поэтому нужно выделить самые критические до вещи и их качественно защитить пролоббировать административные процедуры обязательность выполнения и защитить и второй момент создать некую такую минималистичную что ли модель информационной безопасности для пользователей чтобы не перегружать их в

не мешать им в работе и вот мы это должны держать в голове любой продукт который мы предлагаем или любую правила которые мы вводим стандарт мы всегда должны встать на сторону человека который выполняет основной бизнес процессы подумать подумать как сделать так чтоб это ему не мешало эти все подходы мы должны держать в голове и постоянно быть вот в этой как бы роли понимаете и тогда нам легче гораздо будет и мы эффективнее будем действовать на самом деле лучше получен результат до и в этом контексте искать простые решения нам нужны простые решения продвижения наших идей правил и простые решения технические по возможности но это вот как раз модель отражающая системный подход что еще интересно использовать опять же простые и доступные средства

визуализации например представьте человеку директору компании который думает в основном о продажах нужно рассказать про систему безопасности таким образом визуализировать и и какие то вот простые мне mccarthy допустим использовать просто понятно доступна с помощью палки и веревки рассказать об информационной безопасности в его компании почему это может привести в негативном случае или от чего мы защитим ся в позитивном случае это вот как раз пример реализации классификации в описании модели информационной системы и модели угроз дальше будет свойств вы сможете с этим поработать материалы все будут предоставлены участникам как вот например вот например мы внедряли программу безопасности мобильных устройств каким образом мы работали с директором компании мы собирали проводили очень простые короткие семинары для менеджеров среднего звена и вот на пальцах им показывали что может

случиться с их мобильным устройствам с телефоном с планшетом эти мобильные особенно в продажных компаниях сейчас это инструмент даже ноутбуки уже не нужны что региональные менеджеры работают региональные представители с планшетами или с телефонами вполне этого достаточно это нужно это часть информационной системы нужно защищать и в сознании у коммерсантов нет такого представления что планшет этот там что-то должно быть какие-то специальное программное обеспечение установлено вот мы использовали очень простые и доступные семинары чтобы люди поняли и приняли вот что это тоже необходимо

вот вот например как результат такого стремления создать какие-то простые и эффективные модели например для безопасности рабочих станций была предложена такая модель 5 программ которые необходимо чтобы были установлены на у каждого на компьютере у каждого сотрудника или вот и когда показываешь коммерсанту продажник у вот такой слайд и говоришь всего 5 всего 5 и минимальный уровень безопасности обеспечен это воспринимается гораздо позитивнее и выше готовность к тому чтобы сказать да давай вперед устанавливает а делай и вот второй вариант для мобильных устройств ну аналог такую

ну да так ну понимаете простому финансисту или продажник у как тогда нужно объяснить что значит ваша дата рождения или там еще что-то совершенно не годятся и в общем такие методы визуализировать как-то нужно вот в общем подводя итоги подводя итоги обобщу и может быть повторюсь чтобы вы запомнили получше применяли в работе необходимо обеспечить осознанные отношения к информационной безопасности особенно

дальше как это применить системный подход а значит я сейчас являюсь частью вот этой систем информационный которая должна теперь поделиться знаниями системный подход осознанные отношения не стремиться к тому чтобы опасность стало сейчас частью корпоративной акценты на чем делали акцент именно на работу судимых с этими категориями 1 менеджеры среднего звена остальные сотрудники методах познания самом деле это в компании любые простые и доступные способы передачи знаний какие-то статьи пост и семинары не такие простые тоже доступны и легкий облегченный вариант семинаров чтобы по сути нужно их вывести на некий уровень определенный знаний чтоб они стали вашими союзниками далее используем опять же инструменты визуализации для донесения необходимой информации необходимых правил если есть возможность используем административные методы при продвижении при построении системы

выделяем критические процессы и серьезных зачищаем и реализуем минимально необходимый набор для пользователей который не будет мешать основному бизнес процессу системный подход используем обязательно мы же должны работать непрерывно над этим до используя защищая разные элементы информационные системы вот ну и становимся в меньшей степени технарями в большей степени специалистами скажем в менеджменте в работе с персоналом в продвижении управление изменениями вот таким образом продвигаем среди непрофессионалов наши планы и наших идей какой вопрос

да ну когда-то я задумался наступил такой момент и вот я задумался над этим вопросом и ответом для меня лично был следующий подход я проанализировал кто чаще всего но это в контексте было еще вот взаимодействие скажем так силой коми с контролирующими органами кто с наиболее высокой вероятностью может какие-то действия такие которые мы подозреваем незаконные деструктивные проводить по отношению компании и цель была выйти на уровень скажем например областного управления возможности до технических понимаете ну это такая так как вариант на самом деле или кроме незаконных возможно действие контролирующих органов могут быть незаконные действия мошенников или там каких-то злоумышленников негодяев опять у нас есть возможность работать со статистикой мы понимаем какие угрозы могут быть кому по отношению компании и конечно это

часто или интуитивно или на основании же говорю опыта или статистики мы выбираем необходимый уровень и реализуем систему которая уверенно будет им противостоять на практике два пути была выбрана первое это правильный способ формирования модели информационной системы формирование модели угроз на основе бизнес-процесса из существующей информационной системы мы строили моделировали строили модели проводили анализ какие угрозы дальше проводили анализ это с высокой ну 80 на 20 до вероятность вот пожалуйста с высокой степенью вероятности или наибольший ущерб и исходя из этого инструменты противодействия угрозам все скажем так вот я достал такую до какую-то брошюру и сказал это универсальная модель и вот отвечающие на все вопросы нет такого нет потому что скажем вот мы приходим в одну компанию а это сеть розничных магазинов одни

угрозы мы приходим в другую компанию а это крупный опт и они просто у них огромный склад в другом регионе и кабинет в котором сидит отдел логистики и который управляет отгрузка me по всей украине и даже там дальше да и если этот отдел остановит свою работу то ну это вот ключевая как бы место уязвимости да

это же ну во первых это пример для пользователей то есть это да и так ли это рабочая станция или ноутбук или компьютер сотрудника и мобильные устройства отдельная тема это защита серверов отдельная тема это бэкапы и ну ну это вообще на самом деле те отдельная такая серьёзная тема и она была осознать мы осознанно не включили об этом да и но опять же есть такой принцип в управлении безопасностью как экономическая целесообразность и мы его учитываем что это значит на практике это значит что например мы предпочитаем регулярный просто контроль ну то есть не непрерывный контроль да а допустим раз в месяц или раз в неделю или раз в квартал контроль происходит

да вот но опять же в зависимости от клиента от компании ну необходимо нужно ну нужно или не нужно это делать есть необходимость или нет необходимости готовы они за это заплатить или не готовы за [музыка]

[музыка]

[музыка] во-первых за компьютер например могут числе можно поставить там регулярная чистка при включении и выключении компьютера можно говорить о роберте просто посмотреть как когда машину я не знаю пароля и меня порой правильно туда просто не до хилл да вот например зашифровали целиком машину украли ее или изъяли но не имеет значения все она защищена и он вынужден ну что еще хочу сказать что вот это системы информационной безопасности здесь нет не все же показаны об этом это только отдельные для примера она предполагает если эта компания достаточно хотя бы средняя до или даже ну порядка 300 человек или даже порядка 100 человек все равно мы должны создать некую систему стандартов со систему правил систему инструкций чем оно будет меньше компактнее проще тем

лучше конечно но мы это вынуждены сделать потому что нам же нужно людей а ознакомить с этим вот то что я говорил про корпоративную культуру это добавляет осознанности добавляет понимание что это не там собрались люди им нечего делать и они развлекаются и как бы обосновывают свои зарплаты до он должен понимать почему это ну и нужно но это не а не отменяет что должна быть написана инструкция ему запрещено что либо устанавливать на свой компьютер + технически мы должны обеспечить максимально как бы помочь себе создавать или управлять этой системой вот и тогда вот это в чем системность системный подход это не просто красивые слова системность проявляется в том что мы и [музыка] побеседовали с ним по-доброму как будто

и инструкцию написали и провели обучение и контролируем регулярно и техническими средствами и и программное обеспечение и контроль доступа в помещение и серверная и сервер сервера у нас в эстонии и вот это все создает образуют нашу систему которую там бэкапы и система такая что оно должно выдерживать ну как бы гарантированно до какое-то воздействие и эти элементы себя страхуют погну помогают как бы друг другу тогда мы говорим я могу сказать уверенно директору ли акционеру что вот перечень угроз я тебя от них значили защитил с вероятностью девяносто пять процентов например да вот и он ну это реально работает и вот мы должны вот именно так и мыслить ну и самый главный посыл если мы не перестроимся то мы будем мы

останемся технарями которые будут зависеть от того есть рядом человек который так мыслит и так сможет все это продвигать или нет или или лпр он продвинутый настолько чтобы так мыслить или нет вот

отвечаю вот почему корпоративная культура потому что это человеческий фактор когда я беседую с новым сотрудникам и рассказываю ему о правилах безопасности я ему говорю сразу но это тоже один из принципов который работает и помогает если у тебя возникнет проблема любая ты можешь ко мне прийти и я тебе постараюсь помочь но не факт что смогу я ж не знаю какой она будет но я тебе постараюсь помочь и компания ну и это подход компании реально в управлении компании если говорить уже ну так более серьезно в финансовом скажем модели управления компанией заложены средства на то чтобы помогать сотрудникам решать их проблемы если они у них возникнут ну конечно конечно да я развожусь с мужем мне нужно помочь конце

вот иди view радел есть фон специальный юристу воплотят его работу и вот из таких элементов складывается система мотивации когда человек настроен на то чтобы помогать с другой стороны с другой стороны один из главных принципов если есть возможность техническими способами не дать сотруднику что-то сделать нехорошие даже не желает а вода-то но на это реализовать ну например вот в примерах когда выводили со счетов деньги классика жанра когда бухгалтер выходит в интернет с того же компьютера где он управляет стоит ключи дистанционного банковского обслуживания клиента вот и там же и пароль и там же ключ и там же сама программа и он ее в интернет выходит да поставить отдельно и но самое лучшее решение стоит отдельный компьютер пожалуйста тут твой рабочий и ты мы же

все люди тебе нужно в социальную сеть

конечно техническими чтобы не нужно было напрягать этого тренировать бухгалтера пусть она за чашкой чаю выйдет где-то facebook зайдет и кухней значит клин банку на отдельной машине коллеги последний вопрос на привете максим скажите пожалуйста очень интересная лекция спасибо вам большое вы говорили про то что первое что формирует общая безопасность интернета всей компании этой безопасность именно самом коллективе скажите пожалуйста такой наиболее эффективные методы работы вы знаете который было бы эффективным и доступным не только вам знакомом коллективе но если вы приходите мне знакомую совершенно компанию как как запрограммировать их или обеспечить им это безопасность ну из опыта из опыта спасибо за вопрос из опыта нашей работы когда мы приходим присаживайтесь мы приходим незнакомую компанию и в этой компании есть

специалист даже по безопасности ну например вот у нас был случай там целый полковник на пенсии такой классный очень серьёзный дядька там есть свой руководителя эти отдела там есть люди которые сисадмин который отвечает за безопасность информационной системы и первое что я предлагаю и ну это на практике мы отработали мы предлагаем провести аудит в нашем случае мы взяли международный стандарт и его доработали несколько скажем адаптировали и вот проводим аудит это может быть стоит недорого но это очень полезно потому что сразу визуализирует вот пожалуйста все проблемы понятны тем более когда специалист или руководитель отвечает на вопросы нам анкета он отвечает на вопросы это реализовано нет это не ты то нет это не ты то нет и вот он на 10 вопросов или восемь ответил что

это не реализовано с ним вообще он шелковый становится потому что ну реально он понимает у него ё-моё я плачу зарплату людям до которые сделают они реально делают но это анкета отражает систему всю в том числе там при найме персонала проверка какая-то некая происходит или нет ну и так далее и когда он видит что с точки зрения всей системы у него куча пробелов все с ним гораздо легче разговаривать ну и либо после проблемы какой-то вот уголовное дело обыск вынесли сервера вот и мотивация высокая сразу в течение двух месяцев если вы людям не помогли они сделали счастливыми точно третий месяц в них мотивация пропадает и они не уже счастливыми дуть хотят по другому поводу и вы с

безопасностью пролетаете ну конера он же понимает все до спасибо спасибо нашему крайнему докладчику два слова и если есть вопросы или вы там под у вас будет доступ поработать с презентацией на фейсбуке можно задавать вопросы писать я буду отвечать или владимир мы открыты у нас один из наших принципов работы эта открытость и мы как это с радостью делимся опытом и знаниями поэтому можете обращаться спасибо