Производительность труда или информационная безопасность?

Хотят этого руководители предприятий или нет, но сотрудники приносят в офисы собственные MP3-плейеры, мобильные телефоны, смартфоны, USB-накопители и т. д. С рабочих мест они заходят в социальные сети и блоги, скачивают через служебное интернет-подключение фильмы, звонят через Skype… О своем отношении к проблеме использования этих сервисов и устройств на рабочих местах научному редактору PC Week/RE Валерию Васильеву рассказывает генеральный директор компании SecurIT Алексей Раевский.

PC Week: Какие причины побуждают сотрудников использовать на рабочих местах личные устройства и общедоступные веб-сервисы?

Алексей Раевский: От своих пристрастий людям сложно отвлечься даже на работе. Поэтому они и там слушают записанную на MP3-плейеры любимую музыку, через служебное подключение к Интернету выкладывают на веб-сайты фотографии, с рабочего компьютера поддерживают контакты в социальных сетях. Администрация вынуждена следить за тем, чтобы персонал всем этим не злоупотреблял.

PC Week: Но ведь те же устройства и сервисы, как более привычные и удобные, сотрудники могут применять и для выполнения своих служебных обязанностей…

А. Р.: Конечно. Например, у нас в SecurIT сотрудники технической поддержки и менеджеры по продажам активно пользуются ICQ.

PC Week: Налицо коллизия между применением этих ресурсов с пользой для компании или во вред ей. Как решают её руководители предприятий?

А. Р.: Я вижу тут два аспекта, на которые руководству следует обращать внимание. Во-первых, показатели производительности труда сотрудников, а во-вторых, состояние информационной безопасности. Использование упомянутых сервисов и устройств может приводить к неэффективной работе и утечкам корпоративной информации.

Вместе с тем следует иметь в виду, что низкая производительность труда может быть следствием плохого менеджмента, а не недобросовестности сотрудников. Почему бы руководству не организовать бизнес-процессы таким образом, чтобы минимизировать использование собственной техники во вред компании и злоупотребления рабочим временем?

PC Week: Насколько консолидирована позиция бизнес-руководства, ИТ- и ИБ-служб в отношении использования личных устройств на работе?

А. Р.: В реальной жизни у ИТ- и ИБ-служб есть большое пространство “для маневра”. К примеру, решил “безопасник”, что “Одноклассники” — зло для компании, и перекрыл туда доступ. Кстати, одно время даже ходили слухи, что закрыт сайт одноклассники. Но вот делегация из отдела логистики принесла ему ящик пива — и он открыл логистикам доступ к “Одноклассникам”. А бизнес-руководство может оставаться в полном неведении относительно этих “маневров”.

PC Week: И вряд ли ИТ- и ИБ-службы захотят пожертвовать этой своей свободой добровольно. Как же бизнесу сделать из них союзников?

А. Р.: В странах с развитой экономикой ИТ-директор (он же CIO) подходит к ИТ со стороны задач бизнеса. Прежде всего он бизнесмен, а потом уже инженер: чтобы настроить межсетевой экран или выбрать между СУБД MS SQL и Oracle, у него есть штат специалистов. У нас бизнес-задачи для специалистов по ИТ и ИБ ставит где генеральный директор, где финансовый, где начальник ИТ-отдела, а где и руководитель так называемого отдела программистов. Проблемой является также плохое взаимодействие между службами ИБ и ИТ, хотя им приходится решать близкие задачи.

PC Week: А что может побудить их вникать в проблемы друг друга?

А. Р.: Это случится тогда, когда обе службы в своей деятельности будут исходить из задач бизнеса.

PC Week: Какие дополнительные ИБ-риски привносит в компанию использование персоналом на рабочих местах общедоступных веб-сервисов и личных устройств?

А. Р.: Прежде всего это утечка данных. Портативные устройства с большой памятью, социальные сети, интернет-почта, ICQ, Skype — вот каналы возможных утечек, причем далеко не всегда умышленных, а скачать аську даже для мобильного телефона, например, с сайта http://mobiicq.ru/ - так вообще не проблема ни для кого. Используя весь этот арсенал ИКТ-ресурсов даже без злого умысла, даже в интересах фирмы, сотрудники не отдают себе отчета в том, что могут вынести служебную информацию за пределы охраняемого периметра или стать жертвой социальной инженерии.

PC Week: А подхваченные за периметром вирусные заражения?

А. Р.: Мне кажется, сегодня это менее актуально. У крупных социальных сетей есть свои службы антивирусного мониторинга. Заражения на портативных устройствах, принесенные “с улицы” внутрь периметра, эффективно отсекаются корпоративными антивирусами.

PC Week: Какие способы снижения этих рисков наиболее эффективны?

А. Р.: Сегодня активно развиваются технологии защиты от утечек DLP — Data Leakage Protection. Такие решения находятся сейчас в начальной стадии развития и распространены не столь широко, как антивирусы. Среди промышленных предложений DLP есть зрелые, подходящие и для крупномасштабных внедрений. Но наряду с ними имеются откровенно сырые решения, внедрение которых приводит к негативным результатам. От этого в стране страдает все направление DLP, особенно если продвижение такого решения поддерживается активным маркетингом и за ним стоит компания с известным брендом. Наверное, подобная ситуация неизбежна для молодого рынка, и со временем DLP-продукты придут к такому же зрелому состоянию, какого уже достигли, например, антивирусы.

PC Week: А каково ваше отношение как руководителя к использованию личных устройств и общедоступных онлайновых сервисов на работе?

А. Р.: Понятно, что ограничения мешают. Есть такой подход: need to know — предоставлять сотрудникам доступ только к тому, что им необходимо для конкретного дела. Но в строгости запретов нужно исходить из их разумности для конкретного бизнеса. Скажем, наша компания разрабатывает новые технологии, а жесткие рамки отрицательно сказываются на творческой атмосфере и в результате — на продуктивности инженеров. Однако есть примеры и других бизнесов, например банковского, где регламенты определены четко и давно, и там требования к внутреннему распорядку должны быть гораздо строже.

PC Week: Благодарю за беседу.