Миллениалы – люди в возрасте от 20 до 35 лет – занимают все больше рабочих мест по всему миру. По результатам исследования, проведенного в 2015 году американским Исследовательским центром Пью (Pew Research Center), к числу миллениалов относится по крайней мере один из трех работников. По данным PwC, к 2020 году половина мировой рабочей силы будет состоять из представителей этой демографической группы.
Термин «миллениалы» служит для обозначения группы людей с определенными особенностями. Перечислим некоторые из них. Миллениалы любят общение в социальных сетях. Они ценят хорошие впечатления от использования приложений. Они гибко подходят к выполнению рабочих задач. Если ожидания миллениалов не оправдываются, они предпочитают не оставаться на месте, а идти дальше. В будущем эти особенности будут определяющими для сферы труда. Существующим стратегиям сетевой безопасности многих организаций предстоит пройти серьезное испытание.
Рассмотрим три ключевых фактора, влияющих на корпоративную безопасность и имеющих непосредственное отношение к поведению миллениалов.
Социальные сети
Блокировать или не блокировать? Этим вопросом задаются многие руководители, когда речь заходит об использовании сотрудниками социальных сетей на рабочем месте.
Поставщик программного обеспечения для управления кадрами CareerBuilder провел исследование, в ходе которого были опрошены работодатели на территории Северной Америки. 37% из них полагают, что социальные сети являются одним из основных факторов, снижающих производительность работы. Социальные сети занимает четвертое место после мобильных телефонов и обмена сообщениями (55%), Интернета (41%) и разговоров на рабочем месте (39%). Три из четырех работодателей заявили, что из-за отвлекающих факторов в день теряется два часа и более.
С точки зрения сетевой безопасности социальные сети являются одним из каналов передачи вредоносных программ и атак с применением социальной инженерии. Какое количество ссылок, которыми делятся пользователи, понятия не имея об их содержании, ведет на зараженные веб-сайты? Даже если сотрудники используют социальные сети профессиональным образом, их друзья и члены списка контактов не обязательно делают то же самое.
Запретить или ограничить доступ к социальным сетям на уровне сети достаточно легко. Статические фильтры URL-адресов в составе программного обеспечения Web Filtering могут блокировать или отслеживать определенные URL-адреса. С помощью фильтрации по категориям можно заблокировать целую группу веб-сайтов. Однако это не означает, что ИТ-директора должны немедленно заняться блокировкой социальных сетей на рабочем месте.
Более эффективен комплексный подход к обеспечению сетевой безопасности. Для начала необходимо сформировать четкую программу работы с социальными сетями и обучения персонала. Например, сотрудники отдела сбыта должны иметь представление об угрозах безопасности и деловых рисках, связанных с входом в учетные записи социальных сетей во время нахождения на рабочем месте.
Наиболее важным элементом стратегии безопасности является надежная многоуровневая инфраструктура безопасности. Не следует всецело рассчитывать на то, что сотрудники не сделают ни одного неверного движения после входа в свои учетные записи в социальных сетях.
Многоуровневая система безопасности – лучшая защита
В настоящее время широко распространены системы безопасности, состоящие из нескольких уровней, направленных на обеспечение безопасности данных, устройств и пользователей. Такие многоуровневые системы позволяют обнаружить атаки, источниками которых являются разные уровни: сети, приложения, устройства или пользователи, – и остановить их распространение. Также эти системы эффективно справляются с защитой от угроз разных типов.
Приток сотрудников, принадлежащих к поколению миллениалов, способствует изменению рабочих процессов. В этих условиях перед ИТ-директорами стоит задача пересмотра способов настройки каждого уровня защиты.
Возьмем, к примеру, вопрос использования личных устройств на рабочем месте. Согласно исследованию, проведенному McKinsey, примерно в 80% организаций сотрудникам разрешено использовать личные устройства для подключения к корпоративным сетям. ИТ-отделам приходится реагировать на растущие требования сотрудников, касающиеся поддержки личных устройств с доступом к таким корпоративным приложениям, как электронная почта и календарь. Эта тенденция, получившая название концепции использования сотрудниками собственных устройств (Bring Your Own Device, BYOD), приводит к появлению новых угроз безопасности.
В частности, в обязанности директоров по ИТ входит обеспечение безопасности на уровне устройств. Первый шаг на этом пути – защита самих устройств посредством разработки определенной структуры межсетевых экранов, средств защиты от вредоносного ПО, решений для управления мобильными устройствами (Mobile Device Management, MDM) и путем обеспечения непрерывного внесения исправлений. Кроме того, с культурой BYOD связана такая угроза безопасности корпоративной сети, как взлом принадлежащих сотрудникам интеллектуальных устройств со слабой защитой паролем. В организации необходимо внедрить правила, требующие использования надежных паролей.
Также можно задействовать функцию идентификации типов устройств, которая будет ограничивать доступ к некоторым областям сети через хуже защищенные устройства, например через мобильные телефоны. Кроме того, следует принять меры по обеспечению безопасности сеансов – например, путем запрета на посещение пользователями небезопасных веб-сайтов.
Аналогичным образом следует обеспечить защиту пользовательского уровня в целях устранения набирающих силу рисков, связанных с внутренними угрозами. Как правило, необходимость соблюдать баланс между безопасностью и удобством делает этот уровень наиболее сложным в управлении. Существует множество способов проверки подлинности, предназначенных для идентификации пользователей сети и развертывания разных уровней доступа. Важными мерами являются обучение персонала и повышение грамотности сотрудников.
Контроль теневых ИТ-ресурсов
Термин «теневые ИТ-ресурсы» обозначает использование приложений и служб, нередко облачных, которые не одобрены организацией. Неподконтрольность таких ресурсов представляет собой угрозу безопасности и усложняет управление.
Рассмотрим следующий случай. Сотрудник открывает файл с помощью смартфона. Существует вероятность того, что телефон сделает копию этого файла и эта копия впоследствии в ходе регулярно выполняемого автоматического резервного копирования поступит в несанкционированное интернет-хранилище. Что мы видим? Защищенные корпоративные данные были перемещены в небезопасное расположение. К переносу конфиденциальных корпоративных данных в небезопасное расположение могут также привести многие приложения для совместного использования, которым отдают предпочтение миллениалы.
Маловероятно, что запрет на использование персоналом несанкционированных устройств и приложений остановит людей. В силу повсеместного распространения смартфонов сотрудники будут пользоваться социальными сетями и личными облачными приложениями независимо от требований корпоративной политики. Для решения этой проблемы могут оказаться более эффективными другие меры: обучение пользователей и развертывание таких технологий, как шифрование данных, контроль доступа и отслеживание трафика.
В целом можно сказать, что к появлению теневых ИТ-ресурсов приводит неудовлетворенность сотрудников решениями, одобренными организацией. Директора по ИТ могут не справиться с тем, чтобы предотвратить использование сотрудниками альтернативных приложений, например, для совместной работы. Однако они могут держать ситуацию под контролем, учитывая потребности сотрудников.
— Александр Мормуш, менеджер по работе с клиентами, Fortinet