«Подводные камни» корпоративного контента::БИТ 08.2012
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

13.12.2024

Рынку индустриального ПО нужна стратегия развития Итоги III Конференции по матмоделированию

Читать далее 

07.12.2024

Avanpost FAM/MFA+ стали еще безопаснее: вышла обновленная версия системы аутентификации

Читать далее 

07.12.2024

M1Cloud: Итоги 2024 года на российском облачном рынке

Читать далее 

06.12.2024

Действия сотрудников назвали главной причиной утечек информации

Читать далее 

06.12.2024

САТЕЛ представляет систему записи разговоров СИЗАР

Читать далее 

показать все 

Статьи

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

Читать далее 

11.12.2024

Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?

Читать далее 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

показать все 

«Подводные камни» корпоративного контента

Главная / Архив номеров / 2012 / Выпуск №3 (21) / «Подводные камни» корпоративного контента

Рубрика: Тема номера /  Управление корпоративным контентом


Андрей Бирюковспециалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

«Подводные камни» корпоративного контента

При работе с корпоративным контентом существует ряд моментов, о которых обычно не задумываются. Некоторые из них рассмотрены в данной статье

Множество различных статей написано об управлении корпоративным контентом. Десятки компаний разрабатывают программные продукты для оптимизации работы с ресурсами организации. Однако далеко не всегда работа с корпоративным контентом ведется эффективно. Рассмотрим некоторые подводные камни, возникающие при работе с данными ресурсами, с точки зрения бизнеса. Попробуем разобраться, что же представляет этот тип контента.

В любой организации имеются почтовая система, базы данных, однако существенная часть корпоративного контента представляет собой неструктурированную информацию, то есть документы, статьи, руководства, сообщения электронной почты, графические изображения и схемы, аудио и видеофайлы. При этом объем неструктурированных данных может составлять порядка 80% всей корпоративной информации, и количество неструктурированных данных постоянно удваивается. Поэтому основной упор в данной статье сделан именно на вопросах работы с неструктурированным контентом.

Если обслуживание почтовых серверов и баз данных, как правило, является процессом не слишком дорогостоящим (имеется множество как платных, так и бесплатных продуктов, выполнение административных задач автоматизировано, есть встроенный функционал по обеспечению безопасности и управлению доступом пользователей и т.д.), то с неструктурированными данными не все так просто. Стоимость развертывания файловых хранилищ зачастую превышает цену внедрения почтовой системы или БД. Далеко не все задачи можно решить с помощью штатного ПО операционных систем, используемых для хранения неструктурированных данных. Да и с безопасностью там не все так просто.

А между тем очень часто информация, представляющая наибольшую ценность для организации, хранится именно в неструктурированном виде. Например, документы, составляющие коммерческую тайну, партнерские прайс-листы, планы развития бизнеса и многое другое. Во многих компаниях эта ценная информация хранится в так называемых файловых помойках, то есть файл-серверах, доступ к которым, хотя бы на чтение, имеют все сотрудники компании. Конфиденциальные файлы могут храниться вместе с фильмами и музыкой, оставленными пользователями. При этом руководство не особенно задумывается над эффективностью использования этих файловых ресурсов. Вот с них и начнем наш разговор о подводных камнях.

Безопасность

В простейшем случае файловое хранилище – это сервер с подключенным к нему дисковым массивом. При этом весь функционал по безопасности и управлению файловыми ресурсами обеспечивается операционной системой, установленной на данном сервере.

Классическим решением является создание личных папок для каждого пользователя и общей папки, доступ в которую имеют все. Естественно, в личную папку имеют доступ только сам пользователь и администраторы. И все бы ничего, но очень часто конфиденциальные файлы оказываются в общей папке и в результате становятся доступны для любого пользователя. Причина этого, как правило, не злой умысел, а невнимательность пользователей. Например, для того, чтобы передать своему коллеге или руководителю громоздкий файл, не «пролезающий» в почту, сотрудник выкладывает его в общую папку. Получатель копирует файл к себе, а из общей папки его не удаляет.

Бороться с этим несложно и недорого. Например, можно регулярно, раз в неделю, стирать все файлы, находящиеся в общей папке, а пользователей регулярно уведомлять о недопустимости хранения конфиденциальных данных в общем доступе.

Отделу информационной безопасности необходимо на регулярной основе проводить аудит данных, имеющихся в общем доступе.

Видишь доступ – а он есть

Другая проблема, уже не столь очевидная, кроется в избыточных правах на доступ к файловым ресурсам. Например, имеется папка с бухгалтерскими документами. В нее имеют доступ все сотрудники бухгалтерии. Но также туда когда-то открыли доступ для некоторых руководителей отделов и менеджеров, для выполнения каких-либо единовременных задач. Этим сотрудникам доступ в папку давно уже не нужен, а он у них все равно есть. А ведь чем больше пользователей имеют доступ к объекту, тем ниже его защищенность.

Эта проблема довольно распространенная. Для борьбы с избыточным доступом необходимо средство, способное осуществлять мониторинг доступа пользователей к ресурсам и генерацию отчетов по их использованию. Наиболее эффективным решением в этой области является ПО Varonis® Data Governance Suite [1]. Данная система в течение месяца собирает информацию об использовании файловых ресурсов, а затем выводит отчет, в котором указано, какие учетные записи ни разу не обращались к тому или иному файлу.

Далее генерация отчетов производится периодически. На основании этих отчетов администраторы могут существенно снизить избыточность прав доступа и тем самым повысить защищенность ресурсов.

Инсайдеры

Также решение от Varonis позволяет бороться с инсайдерами. Большинство компаний более-менее научились защищаться от внешних угроз. Межсетевые экраны, системы обнаружения вторжений, антивирусы и другие средства защиты существенно снижают шансы успешного проникновения злоумышленника из Интернета в корпоративную сеть. А что делать, если это сотрудник компании? Например, нелояльный сотрудник, который решил продать конкурентам сведения обо всех проектах компании, или программист, задумавший украсть все наработки. В таких случаях злоумышленники начнут копировать на мобильный носитель все имеющиеся на корпоративных ресурсах документы. Система Varonis сможет определить такую утечку и сообщить об этом администратору.

На рис. 1 приведен пример подобного отчета. Система обнаружила, что пользователь превысил количество обращений к ресурсу более чем в 10 раз по сравнению со своим обычным поведением. Утечка информации может привести к серьезным убыткам, поэтому не стоит пренебрегать данной угрозой.

Рисунок 1. Нестандартное поведение пользователя

Рисунок 1. Нестандартное поведение пользователя

Мобильные проблемы

Помимо файловых серверов, корпоративный контент также очень часто хранят на рабочих станциях. Многие документы разрабатываются непосредственно на компьютерах пользователей, а на корпоративные хранилища выкладывается только финальная версия. Если автоматизированным рабочим местом пользователя является десктоп, то особых проблем не возникает. Единственное, о чем следует позаботиться, – это резервное копирование данных.

Совсем другое дело, если это мобильный компьютер, с которым сотрудник ездит в командировки и забирает его домой. Начнем с ноутбуков. Есть масса случаев, когда пользователи теряли или же у них похищали их ноутбуки с конфиденциальными данными внутри. Но и это еще не самый худший вариант. Для ноутбуков имеется немало средств шифрования данных, которые не позволят злоумышленникам прочесть украденную информацию.

А вот что делать с новомодными планшетами и смартфонами? Во-первых, эти устройства, как правило, являются частной собственностью сотрудника. Соответственно он его использует не только для задач, связанных с работой, но и для личных нужд, прежде всего для навигации в Интернете, которая очень часто приводит к заражению вредоносным кодом, в том числе и троянами, они без ведома владельца могут передать конфиденциальную информацию на сторону.

Во-вторых, шифрование и резервное копирование данных на мобильном устройстве. Решения, позволяющие реализовывать данные задачи, есть и под Android и под iOS. Но большинство пользователей, работающих с конфиденциальными данными, не слишком заботятся об их безопасности. Нечасто можно встретить средство шифрования на планшете, да и бэкап данных настраивают единицы. Между тем с учетом быстрого распространения планшетов и смартфонов очень скоро они будут использоваться для обработки конфиденциальной информации не меньше ноутбуков. И думать об их защищенности нужно начинать уже сейчас.

Ничего личного

Говоря о мобильных устройствах, нужно четко отделять личные от корпоративных. Личным компьютерам доступ в корпоративную сеть и работа со служебными документами должны быть запрещены. В противном случае проблемы с нерадивыми пользователями, нежелающими думать о безопасности, будут возникать постоянно.

Тут, правда, стоит отметить, что многие компании устраивает, что их сотрудники используют личные устройства для работы. Ведь тогда он может работать из дома в случае болезни или в отпуске. Поэтому руководителям необходимо взвесить, насколько нужна им возможность удаленный работы пользователей с личных устройств, если ей сопутствует ущерб безопасности.

Еще одним решением проблемы безопасности планшетов может стать использование защищенного планшета Континент Т-10 от компании «Код Безопасности». Это мобильный компьютер, выполненный в форм-факторе планшета под управлением мобильной ОС Android, с предустановленными криптографическими средствами защиты информации.Правда, сейчас этого решения на рынке еще нет. Разработчик анонсировал Т-10 еще в феврале текущего года, однако пока продажи устройства не ведутся.

Контроль изменений

Еще один важный аспект при работе с корпоративными данными – это возможность полного контроля изменений. Когда несколько человек правят один и тот же документ, то нередки случаи, что кто-то, сохраняя свою версию документа под тем же именем, затирает изменения, сделанные другими участниками. Но это еще не самое страшное, гораздо хуже, когда кто-то преднамеренно вносит изменения в документ. В случае если не ведется аудит обращения к файлу, найти того, кто внес изменения, потом будет очень непросто. А ведь иногда одно предложение, добавленное или удаленное из технического задания или договора на работы, может обречь компанию на выполнение за те же деньги дополнительных задач.

Например, у вас в ТЗ указано, что все работы проводятся только в городе Москве. Однако если некто удалит это ограничение, и вы перед передачей окончательной версии заказчику не обнаружите правку, то впоследствии заказчик вполне может потребовать от вас реализовывать решение и в других городах. А ведь бюджет уже зафиксирован, и командировки в него не заложены. При этом найти «вредителя» будет не так просто, потому что с документом работало много пользователей, и неизвестно, кто именно внес изменения.

Такая ситуация типична при использовании файловых серверов в качестве хранилища документов. Поэтому лучше для хранения документов и другого важного контента использовать специализированные решения.

Электронный документооборот

Для управления корпоративными документами во многих средних и крупных компаниях используют системы электронного документооборота. MS Sharepoint, DocsVision CompanyMedia и многие другие, эти системы позволяют, по сути, структурировать неструктурированные данные. С помощью СЭД можно настроить контроль версий файлов, назначить описание каждому из них, заблокировать изменение другими пользователями.

В общем, имеется масса преимуществ перед файловыми хранилищами. При этом большинство промышленных СЭД является коммерческими, их внедрение стоит немалых затрат. Однако и эти решения не лишены ряда недостатков, связанных с безопасностью хранимых на них данных.

Например, большинство СЭД позволяет работать с документами на файловом уровне. Проще говоря, пользователь может подключиться к серверу посредством IP-адреса и получить доступ к документам. Для борьбы с этой угрозой администраторам необходимо не забывать управлять правами доступа на файловом уровне.

Дорогая «дешевизна» разработки

Другая проблема – бреши и уязвимости. Если, к примеру, корпорация Microsoft регулярно выпускает обновления к своим продуктам, в том числе и к Sharepoint, то небольшие разработчики зачастую не уделяют выпуску обновлений должного внимания. Это касается прежде всего разработчиков, выпускающих недорогие программные продукты, которые просто не могут в силу ограниченности бюджета и соответственно штата сотрудников проводить качественное тестирование своих решений и оперативный выпуск обновлений.

Также некоторые компании предпочитают в целях экономии нанимать программистов, которые для них разрабатывают СЭД. Такой подход, конечно, позволяет сэкономить определенные средства на этапе внедрения продукта, но вот потом…

В процессе эксплуатации могут возникать различные проблемы: выявляться бреши в защите, некорректная обработка входных данных и другие трудности. Однако программист, разрабатывавший это приложение, может к моменту обнаружения уже уволиться. А если использовался фрилансер, то шансов найти его будет еще меньше. Соответственно приложение может находиться в уязвимом состоянии довольно продолжительное время.

Отдельное внимание следует уделить процессу внедрения. Установку и настройку ПО должен делать сторонний специалист. Привлечение к процессу установки штатного системного администратора компании может привести к неприятным последствиям. Например, если в процессе установки СЭД в сети «упадет» почтовый сервер, то админ, естественно, первым делом бросится восстанавливать почтовую систему компании. При этом внедрение СЭД будет отодвинуто на задний план. В результате, во-первых, будут сдвинуты сроки внедрения системы, а во-вторых, система может оказаться недонастроенной, например, каким-либо пользователям будет предоставлен расширенный доступ или не настроены парольная политика и резервное копирование.

Поэтому при внедрении системы электронного документооборота руководству стоит хорошо задуматься над тем, как это решение будет не только внедряться, но и поддерживаться. Лучшим выходом является использование хорошо зарекомендовавшего себя программного продукта, внедрять который будет системный интегратор (а не свой сисадмин, у которого и без этого работы невпроворот). Также необходимо сразу заключить договор на поддержку внедренного решения.

Конечно, такая СЭД обойдется намного дороже, чем использование двух студентов-программистов на пару с местным сисадмином, но надежность такой системы будет на порядок выше.

Я много внимания уделил безопасности корпоративного контента, так как считаю это одним из важнейших аспектов функционирования любой сети компании. Но между тем есть и другие трудности, о которых мы поговорим далее.

Эффективность использования

Как уже упоминалось ранее, файловое хранилище и его инфраструктура стоят больших денег, а вот насколько эффективно они используются – большой вопрос. При отсутствии контроля за хранимыми файлами пользователи начинают использовать файл-сервер в личных целях. В результате в пользовательских папках появляются гигабайты данных, не имеющих никакого отношения к рабочим обязанностям данного сотрудника. Мы сталкиваемся с неэффективным использованием дискового пространства вашего файлового хранилища.

Но это еще не все. Во многих компаниях производят резервное копирование файловых серверов. При этом бэкап «ненужных данных» расходует пространство на носителях резервных копий, увеличивает время резервного копирования, а при бэкапе по сети еще и «съедает» часть пропускной полосы канала связи. Все эти ресурсы тоже стоят денег.

Поэтому, прежде чем приобретать еще одну «дисковую полку», поинтересуйтесь, какие данные хранятся на ваших файловых серверах. Может, ничего покупать и не требуется, а нужно просто навести порядок.

Наводить порядок можно различными способами. В простейшем случае можно с помощью встроенных средств операционной системы попробовать найти «ненужные» файлы. Выполняя эту операцию регулярно, при этом официально уведомив пользователей о недопустимости хранения на файловых серверах личных файлов, можно добиться существенного снижения нагрузки на хранилища.

Однако для автоматизации процесса лучше использовать средства инвентаризации. Одним из таких средств может стать связка Microsoft System Center Configuration Manager и SIEM-системы, например, ArcSight. На рис. 2 представлен отчет об использовании файловых ресурсов в филиалах одной крупной российской компании. Как видно, сотрудники очень любят смотреть фильмы и слушать музыку. А ведь все это тоже является корпоративным контентом. В особенности это касается файлов, хранимых на серверах.

Рисунок 2. Отчет ArcSight об использовании файловых ресурсов

Рисунок 2. Отчет ArcSight об использовании файловых ресурсов

Для лучшего понимания стоимости хранения файловых ресурсов можно прибегнуть к упрощенной формуле: стоимость файлового хранилища делится на его объем в гигабайтах. В результате мы узнаем, сколько стоит один гигабайт дискового пространства. В стоимость файлового хранилища можно также добавить затраты на резервное копирование, если бэкап данного устройства производится. Тогда мы получим более полную стоимость единицы хранения.

Теперь, если вернуться к отчету, представленному на рис. 2, можно легко подсчитать, во сколько обходится вашей компании хранение данных, не связанных с производственной деятельностью организации.

Корпоративный контент практически в любой организации может иметь сложную структуру. Помимо почтовых серверов и баз данных, информация также может храниться на файловых серверах и в специализированных хранилищах. При этом далеко не всегда уделяется достаточно внимания безопасности и эффективности использования данных решений.

В своей статье я постарался рассмотреть некоторые из этих моментов, однако, помимо описанного, также многое зависит и от типа конкретного контента. Так, например, в компаниях, занимающихся разработкой программного обеспечения, контроль версий может иметь первостепенное значение, так как над исходным кодом работает сразу целая команда программистов. Для компаний, сотрудники которых часто работают удаленно и с мобильных планшетов, необходимо делать основной упор на безопасность и эффективность работы с этих устройств.

***

Все эти тонкости необходимо учитывать для эффективного управления корпоративным контентом.

  1. http://www.varonis.com – сайт компании Varonis.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №07 (140) 2024г.
Выпуск №07 (140) 2024г. Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика