Ostrożnie rozważ outsourcing i chmurę

Niektóre organizacje są skłonne do korzystania z komercyjnych systemów współpracy wyłącznie online lub rozwiązań hostowanych. Nie należy podejmować tej decyzji pochopnie; rozważ ryzyko w porównaniu z zyskami. Organizacja powinna dokładnie przejrzeć wszystkie warunki świadczenia usług, umowy licencyjne, umowy dotyczące poziomu usług i obowiązki prawne. Aby zapewnić ochronę organizacji, należy zaangażować radcę prawnego, zwłaszcza w zakresie własności danych, ich posiadania, ustaleń prawnych i uprawnień do wezwania do sądu. Chmura ostatnio cieszy się dużym zainteresowaniem. Chociaż bezpieczeństwo chmury wykracza daleko poza zakres tego rozdziału, chmura nie powinna być traktowana inaczej niż jakakolwiek inna aplikacja zlecona na zewnątrz. Chmura często zawiera te same zagrożenia, co każda inna usługa, w której dane są przechowywane poza kontrolą organizacji. Bezpieczeństwo powinno być głównym problemem podczas oceny rozwiązań w chmurze, z uwzględnieniem:

* Umowy o poziomie usług

* Własność danych

* Technologia bezpieczeństwa danych używana podczas przechowywania danych (szyfrowanie, tworzenie kopii zapasowych, replikacja itp.)

* Odzyskiwanie danych, jeśli dostawca zostanie sprzedany, zamknięty lub zbankrutuje

* Fizyczna lokalizacja danych oraz jakie przepisy krajowe, stanowe lub lokalne mają zastosowanie do tej lokalizacji i danych

* Dostęp administratora (dla klienta i którzy administratorzy u usługodawcy również mają dostęp)

* Odpowiedzialność za bryczesy danych u usługodawcy

* Depozyt klucza dla zaszyfrowanych danych

Chociaż nie jest to wyczerpująca lista, powinna ona pomóc organizacji w burzy mózgów i badaniu zagrożeń związanych z narzędziami do współpracy w chmurze. Istnieje wiele zasobów online od renomowanych organizacji, które już dostarczyły wskazówek dla organizacji wchodzących w chmurę. Jak zwykle skonsultuj się z radcą prawnym.

Monitorowanie

Każda organizacja, która wdraża narzędzia do współpracy, musi monitorować i raportować wykorzystanie systemu, wyniki audytu i zawartość danych. (Organizacja musi zbadać rzeczywistą zawartość danych, aby zapewnić zgodność z zabezpieczeniami, takimi jak chronione informacje zdrowotne [PHI] lub numer ubezpieczenia społecznego [SSN]. Z tego powodu wiele nowych produktów ma określone zasady). Monitorowanie i raportowanie działa w celu zapewnienia, że ​​narzędzia współpracy a systemy są używane zgodnie z ich przeznaczeniem. Monitorowanie i raportowanie aktywnych projektów powinno szukać nietypowych wzorców użytkowania, naruszeń zasad, nieaktywnych użytkowników, nieaktywnych lub przestarzałych systemów i tym podobnych. Właściwe zarządzanie systemem powinno już być wdrożone, ale ważne jest okresowe sprawdzanie systemów. Na przykład, jeśli grupa korzysta z systemu współpracy przy projekcie, po zakończeniu projektu wszystkie materiały projektowe i użytkownicy powinni zostać usunięci z systemu. Raporty z monitoringu i audytu systemu powinny być realizowane od razu.

Audyt

Bez względu na to, jaki poziom polityki, procedur lub środków zapobiegawczych zostanie wprowadzony, każda organizacja musi przeprowadzić audyt zgodności. Procedury audytu narzędzi współpracy i ich wykorzystania powinny być włączone do regularnych, ustrukturyzowanych funkcji audytu bezpieczeństwa informacji w organizacji. Wszelkie odstępstwa od zasad i procedur wymaganych dla narzędzi współpracy muszą być podejmowane w odpowiednim czasie

Wdrażaj lub ulepszaj struktury i technologie zabezpieczeń

Wszędzie, gdzie to możliwe, instaluj rozwiązania, które zwiększą bezpieczeństwo narzędzi do współpracy i które można zintegrować z istniejącymi strukturami bezpieczeństwa. Jeśli organizacja posiada rozwiązanie z pojedynczym logowaniem o wysokim poziomie bezpieczeństwa, zintegruj z nim systemy współpracy. Innym przykładem może być integracja systemów współpracy z nową lub istniejącą infrastrukturą PKI. Wykorzystaj dobrze znane i niezawodne rozwiązania, takie jak Secure Sockets Layer (SSL) i szyfrowanie dla hosta i wszystkich uczestników. To znacznie zmniejsza ryzyko naruszenia bezpieczeństwa podczas transmisji danych.

Ogranicz dostęp

Wiele narzędzi do współpracy można wdrożyć jako system tylko do użytku wewnętrznego, system oparty na chmurze lub oba. Organizacje będą chciały wybrać sposób, w jaki użytkownicy będą uzyskiwać dostęp do tych systemów. Na przykład uniemożliwienie niezabezpieczonej komunikacji z Internetu może pomóc w zwiększeniu bezpieczeństwa. Podobnie może być konieczne zablokowanie dostępu do usług publicznych z sieci organizacji. Lub rozwiązania techniczne, takie jak połączenia VPN spoza sieci organizacji, mogą zostać wykorzystane do zaspokojenia potrzeb komunikacyjnych.

Uniemożliwić dostęp lub użycie

Inną opcją, w połączeniu z polityką, jest zablokowanie korzystania z narzędzi do współpracy, w zależności od potrzeb organizacji. Może to obejmować wdrożenie technologii umożliwiającej osiągnięcie tego celu, w tym blokowanie treści, zapory ogniowe lub jedno i drugie. Powinno to uniemożliwić instalację lub używanie nieuczciwych narzędzi do współpracy. Należy przeprowadzać okresowe przeglądy systemów sieciowych i ruchu sieciowego, aby zapewnić zgodność z narzędziami do współpracy lub ograniczeniami.

Polityka

Można się spierać, czy narzędzia współpracy wymagają określonych, oddzielnych zasad. Co ważniejsze, istnieje kompletna, dobrze napisana i dobrze skomunikowana polityka, zawierająca postanowienia dotyczące narzędzi współpracy, systemów i powiązanej technologii. Jasne zrozumienie i komunikacja w zakresie bezpieczeństwa narzędzi do współpracy muszą być dobrze zbadane, dobrze napisane, zwięzłe, dobrze komunikowane i regularnie aktualizowane. Niezwykle ważne jest, aby polityka pozostała aktualna, ponieważ opracowywane i wdrażane są nowe i bardziej złożone narzędzia współpracy. Zasady powinny również obejmować opcje bezpieczeństwa, które w innym przypadku mogą być poza kontrolą organizacji. Na przykład, jeśli firma zabrania korzystania z publicznych usług udostępniania plików, polityka powinna obejmować użytkowników próbujących korzystać z usługi spoza organizacji, jak również wewnątrz niej. Pracownicy nie powinni mieć możliwości korzystania z usług lub systemów, które nie są zgodne z zasadami, bez względu na to, gdzie iw jaki sposób usługa ma być używana. Dobra polityka powinna być inkluzywna, zwłaszcza jeśli dokładnie określa się, co organizacja uważa za narzędzie współpracy. Łatwo byłoby zapomnieć o aplikacjach, takich jak poczta e-mail, komunikatory internetowe, spotkania online, blogi, sieci społecznościowe, współdzielone zasoby sieciowe, oprogramowanie do zdalnego dostępu, udostępnianie plików peer-to-peer i tym podobne. Wiele technologii zawiera komponenty współpracy, które należy wziąć pod uwagę, aby zapewnić bezpieczeństwo.

Zapobieganie i łagodzenie

Narzędzia i systemy współpracy powinny być objęte taką samą dbałością o bezpieczeństwo, jak każdy inny system informatyczny. Chociaż charakter współpracy może być nieco otwarty, powinny obowiązywać te same zasady, procedury i staranne kontrole. Celem musi być nadal poufność, integralność i dostępność danych oraz systemu informacyjnego. Narzędzia do współpracy muszą nadal przynosić korzyści firmie, zapewniając jednocześnie, że firma nie ucierpi w wyniku incydentu związanego z bezpieczeństwem. Podejmując niezbędne kroki w celu zapobiegania problemom z zabezpieczeniami i łagodzenia ich skutków, narzędzia do współpracy mogą być nieocenione dla organizacji. Kolejne sugestie można wykorzystać, aby pomóc organizacji w zabezpieczeniu narzędzi i systemów współpracy.

Niebezpieczeństwa związane z narzędziami do współpracy

Narzędzia do współpracy stają się potężne i muszą mieć pełne względy bezpieczeństwa. Nie należy instalować tych narzędzi, uzyskiwać do nich dostępu online ani integrować z firmą bez odpowiedniego planowania, analizy ryzyka, konfiguracji zabezpieczeń i testowania; Doraźne, niezarządzane systemy, instalowane bez wiedzy pracowników ochrony, muszą być zabronione, a naruszenia korygowane. Narzędzia do współpracy mogą łatwo stać się koszmarem dla zarządzania bezpieczeństwem, zwłaszcza jeśli zabezpieczenie tych narzędzi nie jest od samego początku kwestią priorytetową. Projektowanie i wdrażanie środków bezpieczeństwa w już wdrożonym systemie produkcyjnym jest niezmiennie frustrującym i daremnym ćwiczeniem zarówno dla użytkowników, jak i personelu zajmującego się bezpieczeństwem informacji. Podobnie, odkrycie po fakcie, że narzędzie do współpracy oparte na chmurze stało się kluczowe dla organizacji, jest przerażającą myślą dla większości specjalistów ds. bezpieczeństwa. Niektóre funkcje i ogólne zagrożenia związane z wieloma z tych systemów obejmują utratę poufności, integralności lub dostępności. Te zagrożenia mogą wystąpić z powodu któregokolwiek z tych problemów:

* Brak wymagań dotyczących uwierzytelniania, zasad lub procedur. System szeroko otwarty lub ze słabym uwierzytelnianiem umożliwiłby dostęp osobom nieuprawnionym.

* Podsłuchiwanie lub przechwytywanie danych. Transmisja danych do iz systemu może zostać przechwycona przez nieznane osoby.

* Podszywanie się. Udowodnienie, kim jest użytkownik, może być trudne, jeśli nie jest dobrze zarządzane, zwłaszcza przy słabych metodach uwierzytelniania i autoryzacji.

* Nieautoryzowane publikowanie poufnych informacji w niezabezpieczonych lub publicznych miejscach.

* Błędna konfiguracja. Prosty błąd w konfiguracji może ujawnić prywatne informacje.

* Wyszukiwarki. Dokumenty lub inne informacje mogą być przedmiotem robotów/agentów/pająków wyszukiwarek, jeśli nie zostaną ustanowione odpowiednie zabezpieczenia.

* Nieuczciwe systemy współpracy. Jeśli dział lub grupa wdraża własne narzędzia, prywatnie lub publicznie, bez wiedzy grupy bezpieczeństwa, nie można zagwarantować odpowiedniego bezpieczeństwa.

* Zagrożenia wewnętrzne. Nie można zajmować się tylko zagrożeniami zewnętrznymi. System współpracy jednego działu może być nieograniczoną pokusą innego działu.

* Użytkownicy. Użytkownicy nie zawsze mają na uwadze bezpieczeństwo. Małe błędy lub skróty mogą prowadzić do poważnych naruszeń bezpieczeństwa.

Podczas wdrażania lub oceny narzędzi do współpracy należy przeprowadzić analizę ryzyka w celu określenia, czy organizacja jest w stanie i chce zaakceptować związane z tym ryzyko. Grupy bezpieczeństwa powinny dokładnie przeprowadzić burzę mózgów i zbadać jak najwięcej możliwych zagrożeń bezpieczeństwa systemu współpracy. Korzystna może być współpraca z grupą wsparcia dostawcy rozwiązania w celu zminimalizowania lub wyeliminowania jak największej liczby zagrożeń bezpieczeństwa. Grupy robocze korzystające z narzędzi do współpracy pokładają duże zaufanie w aplikacji i narzędziach. Wiele z dostępnych obecnie aplikacji jest lekkich pod względem bezpieczeństwa i ciężkich cech rynkowych. Chociaż wiele firm internetowych poważnie podchodzi do kwestii bezpieczeństwa danych, nie są one właścicielami ani obrońcami danych organizacji; to nadal zależy od organizacji.

Bezpieczeństwo kontra otwartość

Jedną z długotrwałych bitew o menedżerów ds. bezpieczeństwa jest bezpieczeństwo kontra otwartość lub funkcjonalność. Charakter współpracy wymaga nieograniczonego udostępniania danych i informacji, co może być trudne do zabezpieczenia. Organizacje muszą znaleźć odpowiednią równowagę między umożliwieniem użytkownikom swobodnej i otwartej wymiany informacji a zapewnieniem wymaganego poziomu bezpieczeństwa. Znalezienie tej równowagi wymaga współpracy i szacunku między dwiema grupami: tymi, którzy używają narzędzi i tymi, którzy są odpowiedzialni za zabezpieczenie organizacji. Obie grupy muszą w pełni zrozumieć swoje stanowisko; bez tego zrozumienia nie może dojść do znalezienia kompromisu i negocjacji kompromisu. Celem organizacji z pewnością musi być sprawny, nieprzerwany biznes, ale nie kosztem dobrego bezpieczeństwa. Jedynym sposobem na pokonanie tej komplikacji jest dobroduszna, otwarta i zorientowana na cel komunikacja. Nie jest to problem lub proces związany wyłącznie z technologią informacyjną. Znalezienie optymalnej równowagi między bezpieczeństwem a funkcjonalnością będzie wymagało współpracy wszystkich typów kierownictwa i personelu. Chociaż może to dotyczyć wszystkich dziedzin bezpieczeństwa informacji, dotyczy to zwłaszcza bezpieczeństwa narzędzi do współpracy. Bez tej ważnej równowagi narzędzia są zasadniczo bezwartościowe: zbyt bezpieczne i nie będą używane, zbyt otwarte, a firma może ponieść katastrofalną utratę danych i integralności. Niektóre firmy nie są w stanie się podnieść po takiej stracie.