КОД ИБ: информационная безопасность

Проектные чаты после релиза — риск, о котором часто забывают #опытэкспертов

Чаты упрощают коммуникацию в проектах, но вместе с тем создают проблемы с разным масштабом рисков.

Евгений Баклушин, исполнительный директор КИТ и автор блога BESSEC, выделяет ключевые из них:

Проблема 1 — доступ бывших сотрудников

Во время проектов или после них сотрудники из команд Заказчика и Исполнителя могут поменять работу, и часто никто своевременно не отслеживает их удаление из проектных чатов.

Как уменьшить риск утечки информации:

🧔 Убедиться, что проектные компании не применяют мессенджеры, в которых отсутствует функция удаления участников (да-да, есть мессенджеры, где участник только сам выйти может)
🤢 Взращивание культуры ИБ внутри компании, чтобы любой из действующих участников проекта (от Заказчика или Исполнителя) своевременно информировал владельца чата о необходимости удаления участника
👨 Уходить от Telegram и подобных внешних мессенджеров и интегрировать корпоративные решения с контроллерами доменов. Частично заморочено, но вариант, в котором при отключении учетки, она и в чатах не понесет рисков

Проблема 2 — жизнь чатов после завершения проекта

Тут основное: работает п.1 (доступ к чатам имеют уволившиеся сотрудники), а также их могут подломить злоумышленники и получить доступ к чувствительной информации.

Решение — включить в Регламент управления проектами общее описание процесса для РП:

🤌 Завершение проекта (подписания УПД)
🤌 РП согласует удаление чатов с Заказчиком
🤌 РП выполняет экспорт истории чата (в Telegram функция так и называется)
🤌 РП удаляет чат
🤌 РП передает архив с историей по защищенному каналу Заказчику
🤌 РП кладет историю в архив проекта в своей системе управления проектами

Please open Telegram to view this post

VIEW IN TELEGRAM

⚡5👍4🔥3

www.tgoop.com/codeibnews/3546

977 viewsAug 25 at 08:53

Проектные чаты после релиза — риск, о котором часто забывают #опытэкспертов

Чаты упрощают коммуникацию в проектах, но вместе с тем создают проблемы с разным масштабом рисков.

Евгений Баклушин, исполнительный директор КИТ и автор блога BESSEC, выделяет ключевые из них:

Проблема 1 — доступ бывших сотрудников

Во время проектов или после них сотрудники из команд Заказчика и Исполнителя могут поменять работу, и часто никто своевременно не отслеживает их удаление из проектных чатов.

Как уменьшить риск утечки информации:

🧔 Убедиться, что проектные компании не применяют мессенджеры, в которых отсутствует функция удаления участников (да-да, есть мессенджеры, где участник только сам выйти может)
🤢 Взращивание культуры ИБ внутри компании, чтобы любой из действующих участников проекта (от Заказчика или Исполнителя) своевременно информировал владельца чата о необходимости удаления участника
👨 Уходить от Telegram и подобных внешних мессенджеров и интегрировать корпоративные решения с контроллерами доменов. Частично заморочено, но вариант, в котором при отключении учетки, она и в чатах не понесет рисков

Проблема 2 — жизнь чатов после завершения проекта

Тут основное: работает п.1 (доступ к чатам имеют уволившиеся сотрудники), а также их могут подломить злоумышленники и получить доступ к чувствительной информации.

Решение — включить в Регламент управления проектами общее описание процесса для РП:

🤌 Завершение проекта (подписания УПД)
🤌 РП согласует удаление чатов с Заказчиком
🤌 РП выполняет экспорт истории чата (в Telegram функция так и называется)
🤌 РП удаляет чат
🤌 РП передает архив с историей по защищенному каналу Заказчику
🤌 РП кладет историю в архив проекта в своей системе управления проектами