V
от кражи и сливов - DLP
Size: a a a
2019 August 25
V
или угроза кто-то ДРУГОЙ войдет под чужоай учетной записью и что-то украдёт?
Js
или угроза кто-то ДРУГОЙ войдет под чужоай учетной записью и что-то украдёт?
Именно, например техничка
Js
от кражи и сливов - DLP
DLP не поймет вы это или ваш коллега зашёл под вашей УЗ.
V
Jogi shimanskii
Именно, например техничка
вы реально рассматриваете риск, что конкурент подкупит техничку, она войдёт в компьютер и отфоткает с экрана (порты же вы заблокирвоали от сливов?) важную информацию?
Js
вы реально рассматриваете риск, что конкурент подкупит техничку, она войдёт в компьютер и отфоткает с экрана (порты же вы заблокирвоали от сливов?) важную информацию?
Да, ведь ещё есть умные работники. Желающие помочь своим коллегам во время из отсутствия на рабочем месте.
V
при наличии второго фактора ("таблетка", карточка, криптотокен и др.) - встанет сразу несколько вопросов
- научить и контролировать надежное хранение (или будут тут же под монитором хранить)
- переписать нормативку - добавить пункты про второй фактор, но ничего нового про ответственность не добавится, пароль даёт тот же эффект
- научить и контролировать надежное хранение (или будут тут же под монитором хранить)
- переписать нормативку - добавить пункты про второй фактор, но ничего нового про ответственность не добавится, пароль даёт тот же эффект
Js
Есть ведь разные конкуренты с разными целями
V
Jogi shimanskii
Есть ведь разные конкуренты с разными целями
проще заплатить действующему сотруднику и от отдаст всю информацию этому самому конкуренту, и второй факто никак здесь не помешает
Js
при наличии второго фактора ("таблетка", карточка, криптотокен и др.) - встанет сразу несколько вопросов
- научить и контролировать надежное хранение (или будут тут же под монитором хранить)
- переписать нормативку - добавить пункты про второй фактор, но ничего нового про ответственность не добавится, пароль даёт тот же эффект
- научить и контролировать надежное хранение (или будут тут же под монитором хранить)
- переписать нормативку - добавить пункты про второй фактор, но ничего нового про ответственность не добавится, пароль даёт тот же эффект
Согласен от части. Пускай хранят токены на столах, только ПИН-код у них в голове максимум 6 цифр проще сохранить.
V
Jogi shimanskii
Согласен от части. Пускай хранят токены на столах, только ПИН-код у них в голове максимум 6 цифр проще сохранить.
у всех будет стандартный 0000
видимость защиты - да, но теперь достаточно знать парольтокена, который, очень часто следующим шагом делают основным средством, он же надёжнее и пользоватеям быстрее/удобнее ))
видимость защиты - да, но теперь достаточно знать парольтокена, который, очень часто следующим шагом делают основным средством, он же надёжнее и пользоватеям быстрее/удобнее ))
Js
проще заплатить действующему сотруднику и от отдаст всю информацию этому самому конкуренту, и второй факто никак здесь не помешает
А тут как вы сказали DLP. Например бухгалтер скажет расклад по цифрам на счетах и движении денежных средств. Проектировщик про реализуемые проекты и т. д.
Js
у всех будет стандартный 0000
видимость защиты - да, но теперь достаточно знать парольтокена, который, очень часто следующим шагом делают основным средством, он же надёжнее и пользоватеям быстрее/удобнее ))
видимость защиты - да, но теперь достаточно знать парольтокена, который, очень часто следующим шагом делают основным средством, он же надёжнее и пользоватеям быстрее/удобнее ))
Пароль генерировать при выдаче.
V
Jogi shimanskii
Пароль генерировать при выдаче.
и будет он на том же стикере рядом висеть
Js
А при смене настроить как в AD запоминать последние 3 пароля и не давать установить.
Js
и будет он на том же стикере рядом висеть
Тогда замкнутый круг. Итог: выборочные внеплановые проверки.
V
Jogi shimanskii
А при смене настроить как в AD запоминать последние 3 пароля и не давать установить.
проблема - пользователи не хоят сложные пароли, менять пароли и хранить пароли в тайне - не техническая, решить её техническими средствами практически невозможно
V
Jogi shimanskii
Тогда замкнутый круг. Итог: выборочные внеплановые проверки.
абсолютно верно, это, с т.ч. бизнеса, дешевле
и ещё чаще дешевле никак не реагировать на это, экономя время сотрудников и безопасников
от стоимости информации и реальных игроз надо исходить
и ещё чаще дешевле никак не реагировать на это, экономя время сотрудников и безопасников
от стоимости информации и реальных игроз надо исходить
Js
проблема - пользователи не хоят сложные пароли, менять пароли и хранить пароли в тайне - не техническая, решить её техническими средствами практически невозможно
Можете поделиться как в Вашей организации или Ваш отдел решил координально данную проблему.
V
Jogi shimanskii
Можете поделиться как в Вашей организации или Ваш отдел решил координально данную проблему.
Бумаги есть, все под роспись ознакомлены. До всех доводится, что ответственность несёт "владелец пароля". Отдельно массово не проверяется, т.к. нет смысла.
Это там где нет требований регуляторов и информация не имеет вполне определенную ценность.
Это там где нет требований регуляторов и информация не имеет вполне определенную ценность.