+7 4872 700-007

+7 800 555-91-15

Skype Мой статус: ServiceCom_support

ICQ : 625740803

15.01.2016

Насколько безопасен ИТ-аутсорсинг?

    Несмотря на то, что такое явление как ИТ-аутсорсинг, плотно вошло в бизнес-процессы предприятий, у предпринимателей по-прежнему остаются вопросы и опасения. Рассмотрим пожалуй один из главных вопросов в организации ИТ-структуры: информационную безопасность.

    Многие организации по-прежнему с опасением относятся к предложениям допуска внешних специалистов к обслуживанию компьютеров, забывая, что собственные сотрудники также имеют доступ к информации. По статистике, утечка информации в 70% случаев происходит от штатных сотрудников предприятия. Причем, зачастую, с сотрудником не подписан договор о неразглашении коммерческой тайны, а если такой договор и существует, то документация о том что собственно говоря является коммерческой тайной часто в организации просто отсутствует, что делает вышеуказанный договор юридически неисполнимым.

    При подписании договора на обслуживание компьютерного парка с компанией-аутсорсером, в случае утечки информации, такая компания несет колоссальный удар по репутации, который ставит под угрозу развитие, да и, прямо скажем, существование бизнеса компании, которая занимается поддержкой компьютеров. Как правило, наоборот, когда аутсорсер принимает на поддержку ИТ-инфраструктуру клиента, безопасность вырастает в разы, так как штатный или приходящий специалисты могли об этом просто не задумываться. У профессиональных ИТ-компаний всегда есть регламент по обеспечению мер информационной безопасности.

    Одним из важнейших аспектов данного регламента является хранение паролей заказчика.

    Расскажем о нашем опыте в данном вопросе. Одной их первых проблем, на этапе развития направления обслуживания компьютерных сетей в компании «СервисКом» явилась именно информационная безопасность наших клиентов. Мы посчитали что этот вопрос не менее важен чем качественная техническая поддержка клиентов, так как утечка корпоративной информации перечеркнет все усилия, вложенные в создание надежной и отказоустойчивой ит-структуры клиента.
    В связи с этим возник вопрос: «Как создавать, а главное, как надежно и безопасно хранить пароли клиентов без ущерба для оперативности технической поддержки?»

    Было решено подобрать программу, соответствующую нескольким требованиям:

    • База данных паролей должна храниться в зашифрованном виде.
    • Не должно быть возможности «скачать» базу.
    • Должна присутствовать возможность гибкой настройки прав доступа к паролям клиентов.
    • Пароли не должны в открытом виде отображаться на экране (для исключения возможности создания снимков экрана).
    Был проведен анализ наиболее распространенных программных продуктов для хранения паролей. Подробную информацию о данном «исследовании» можно прочитать на нашем сайте. Ни одна из программ не подошла нам на 100%. Посоветовавшись с коллегами, мы решили разработать решение «под себя», для чего обратились в дружественную компанию, занимающуюся разработкой программного обеспечения. В результате мы получили программный продукт, соответствующий вышеуказанным требованиям.

    Также данное решение позволило нам организовать доступ к паролям следующим образом:

    • 1 линия поддержки – доступ к паролям, не имеющим влияние на доступ к коммерческой тайне.
    • Куратор организации (инженер 2 линии, ответственный за ИТ-структуру клиента) – доступ к администраторским паролям.
    • Ведущий инженер – доступ к паролям администратора всех клиентов без возможности редактирования прав доступа для инженеров.
    • Начальник службы ИТ-поддержки - доступ к паролям администратора всех клиентов с возможностью редактирования прав доступа для инженеров.
    • Авторизация инженеров осуществляется по доменным учетным записям. В случае увольнения, учетная запись инженера будет отключена, и доступ к программе будет прекращен.
    Со всеми инженерами, имеющими доступ к информации клиентов заключен договор о неразглашении коммерческой тайны.

    А где хранятся пароли Вашей компании?
    Если вы не можете ответить на этот вопрос или ответ на этот вопрос не удовлетворил Вас, воспользуйтесь акцией «Бесплатный ИТ-аудит», и вы получите не только ответ на этот вопрос, но и рекомендации по повышению уровня информационной безопасности своей компьютерной системы.

Возврат к списку