Le grandi società di software online limitano l'accesso dei dipendenti alle informazioni aziendali?

9

Mi sono chiesto come le grandi società di software online, in particolare quelle basate su un singolo enorme prodotto, come Google, Facebook, Yahoo, ecc., gestiscano il rischio di dipendenti licenziati. Qualsiasi dipendente con sufficiente conoscenza della sicurezza interna potrebbe potenzialmente utilizzare questa conoscenza per vendicarsi contro la società.

Ovviamente, qualsiasi azienda che non può fidarsi dei suoi dipendenti ha problemi molto più profondi delle semplici preoccupazioni sulla sicurezza, ma dopo aver attraversato scenari sembra che Google, Facebook, Yahoo, dovrebbero limitare ciò che i loro dipendenti sanno di ciò di cui hanno bisogno sapere. Un dipendente che scrive protocolli per inviare dati tra server ha ovviamente bisogno di alcune informazioni pericolose per svolgere il proprio lavoro, ma non ha bisogno di conoscere la sicurezza esterna. Un dipendente che lavora al rilevamento di anomalie è chiaramente coinvolto nella sicurezza, ma non ha bisogno di sapere come vengono elaborate le richieste che lo superano. In altre parole, sembrerebbe che queste aziende adottino gli stessi principi con i loro dipendenti che adottano con il loro codice: principio di privilegio minimo e nessun singolo punto di errore potenziale.

Google, per esempio, limita ciò che i loro dipendenti sanno a cosa devono sapere? Questo è lo standard del settore?

    
posta TheEnvironmentalist 25.07.2015 - 13:21
fonte

1 risposta

6

Le regole di base che seguono le grandi aziende non sono molto diverse dalle regole / raccomandazioni degli standard infosec popolari (ad esempio ISO27k):

  1. Segregazione dei compiti - separazione sulla fornitura dei servizi, processo di sviluppo o qualsiasi altra parte dei servizi IT, così diverse persone sono responsabili delle varie componenti / fasi di erogazione, sviluppo, provisioning dei servizi, ecc.

Ad esempio: un team è responsabile dell'hosting / provisioning dei sistemi, un altro team è responsabile dello sviluppo del prodotto, un terzo team è responsabile della memorizzazione / dei database, ecc.

Nel complesso, nessuna singola persona ha accesso in un modo che potrebbe compromettere l'intero processo. Tuttavia, questa misura da sola non è sufficiente per ovvi motivi (non ha aiutato nel caso di Ed Snowden).

  1. Principio del privilegio minimo - come già menzionato, a qualsiasi dipendente vengono fornite le credenziali minime necessarie per svolgere i propri compiti.

Questa è un'altra misura che da sola non aiuterà a eliminare completamente il rischio che ex dipendenti o dipendenti attuali compromettano l'integrità, la riservatezza o la disponibilità delle informazioni (anche in questo caso non è stato d'aiuto nel caso di Ed Snowden).

  1. Avere un buon programma di gestione patrimoniale - sapere chi ha accesso a cosa. Avere un'immagine chiara e attuale di chi ha accesso a ciò che può aiutare nella fase successiva.

  2. Ciclo di vita dell'account: sono presenti processi in esecuzione quando i dipendenti escono, assicurando che le loro credenziali siano state revocate.

  3. Encrypt! E avere un solido processo di gestione delle chiavi.

  4. Prenditi cura della proprietà intellettuale (IP) - per quanto i brevetti sui software siano discutibili, e gli avvocati non sono le persone su cui mi piacerebbe contare, l'IP protetto dell'azienda è sicuramente di aiuto (brevettato, registrato o altrimenti protetto da copyright).

  5. Controlli in background. Le piccole imprese in genere non possono permettersi adeguati controlli di background, ma i più grandi sicuramente fanno i compiti in questo reparto.

  6. Esegui un programma di prevenzione della fuga di dati (un mix di soluzioni, procedure e monitoraggio).

Queste sono solo alcune delle nozioni di base che potrebbero limitare qualsiasi potenziale rischio di danno che un dipendente (o ex dipendente) può causare usando la loro conoscenza di informazioni privilegiate. Non è possibile cancellare ciò che sanno i dipendenti (ad es. Architettura di sistema, protocolli, ecc.), Tuttavia le persone che in genere hanno accesso alle chiavi del castello non stanno semplicemente iniziando la loro carriera, quindi qualsiasi potenziale tratto che li renderebbe meno-di- affidabile si presenterebbe durante alcuni dei loro precedenti cicli di occupazione, o durante il periodo di prova.

Nessuna organizzazione può eliminare completamente il rischio, ma seguire l'approccio del buon senso, unito alla stretta aderenza agli standard infosec, può farti risparmiare molti problemi a lungo termine.

Per quanto riguarda le misure specifiche all'interno delle grandi società, ognuna è leggermente diversa, poiché vi sono differenze sostanziali nella loro cultura, nella loro governance e nella loro generale avversione al rischio. Non c'è un proiettile d'argento, e hanno ancora bisogno di un buon processo di gestione degli incidenti per rispondere a ciò che hanno perso: -)

    
risposta data 25.07.2015 - 18:03
fonte