-
Похожий контент
-
Автор Данил Зиндуль
Добрый день! Меня зовут Данил Зиндуль. Я студент Высшей школы экономики, учусь на направлении "Медиакоммуникации" и для своей курсовой работы провожу исследование.
Я пытаюсь понять, как технологические компании (или IT-подразделения внутри крупных российских брендов) используют инструмент создания сообществ с целью формирования бренда работодателя или приверженности продукту. Для этого я провожу интервьюирование специалистов по работе с комьюнити и построению hr-бренда, а также стратегов-маркетологов.
Я хочу узнать, есть ли у вас в компании профильный специалист/ы, который смог бы принять участие в онлайн-интервью и ответить на примерно 15 вопросов по теме в течение 30-35 минут? Благодарю за уделенное время!
-
Автор Mms
У меня ест ряд вопросов, я могу обсудить их напрямую с Евгением?! Мы встречались не раз.. Но в связи с геополитикой я не могу делать это в общественном чате..
-
Автор KL FC Bot
Процессы найма и увольнения во всех крупных компаниях формализованы. В числе прочего, в них входит предоставление доступа к корпоративным IT-системам после найма и отзыв этих доступов перед увольнением. На практике второй процесс работает существенно хуже, и у сотрудника часто остаются доступы к рабочей информации. Какие риски это несет и как их избежать?
Как возникают забытые доступы
При поступлении на работу сотрудник получает доступ к системам, нужным ему по работе. Со временем доступов становится больше, но они далеко не всегда выдаются централизованно, да и сам процесс далеко не всегда стандартизован. К каким-то системам доступ дает непосредственное начальство, забыв уведомить об этом IT; какие-то чаты в мессенджерах или системы обмена документами заводятся стихийно внутри департамента. Эти дополнительные и плохо структурированные доступы практически гарантированно никто не будет отзывать у сотрудника при увольнении.
Перечислим типовые сценарии, в которых IT-службы забывают отозвать доступ.
В компании используется SaaS-система (Ariba, Concur, Salesforce, Slack, тысячи их), но доступ в нее идет по имени и паролю, которые нужно заводить в системе. Интеграции с корпоративным каталогом сотрудников нет. Сотрудники совместно используют один пароль для доступа к определенной системе. Например, для экономии денег коллеги используют общую подписку или работают с системой, не имеющей полноценной многопользовательской архитектуры. После увольнения одного из сотрудников пароль никто не меняет. Какая-то из корпоративных систем позволяет входить при помощи номера мобильного телефона и присланного по SMS кода. Проблемы возникают, если сотрудник при увольнении оставил за собой номер телефона. В некоторых системах обязательна привязка к личным учетным записям. Например, администраторы корпоративных страниц в соцсетях получают эту роль через личную учетную запись, и отзывать этот доступ нужно тоже внутри соцсети. Последней в списке, но не последней по значимости является проблема «теневого IT». Любая система, которую сотрудники стали использовать по своей инициативе и запустили сами, почти наверняка выпадает из стандартных процедур инвентаризации, контроля паролей и т. п. Чаще всего у ушедших сотрудников остаются возможности совместного редактирования документов в Google Docs, управления задачами в Trello или Basecamp, обмена файлами через Dropbox и другие хранилища, а также доступ к рабочим и полурабочим чатам в мессенджерах. Впрочем, в списке может оказаться вообще любая система.
Посмотреть статью полностью
-
Автор KL FC Bot
Среди всех социальных сетей LinkedIn занимает особое место. Ведь она рассчитана на общение людей в профессиональном сообществе, что априори предполагает практически полную открытость информации о каждом пользователе, постоянные контакты ранее незнакомых друг с другом людей, а также достаточно высокую степень доверия между ними.
Неприятным следствием всего этого является то, что в LinkedIn достаточно легко создавать весьма правдоподобные фейковые профили. Так, осенью 2022 года специалист по безопасности Брайан Кребс обнаружил целую кучу поддельных страниц с указанной в них должностью Chief Information Security Officer в ряде крупнейших мировых компаний. А потом еще несколько тысяч фальшивых аккаунтов, работодателями которых числились реальные бизнесы.
Те, кто стоят за подобными профилями, могут иметь разные намерения. Но можно быть совершенно уверенными, что создатели поддельных аккаунтов точно не будут заботиться о репутации и HR-бренде тех организаций, в которых они якобы трудоустроены. Возникает вопрос: как же защитить бренд своей компании и возможно ли вообще успешно бороться с фейками в LinkedIn?
Как сама LinkedIn борется с фейковыми профилями
Проблема фейковых профилей в LinkedIn, разумеется, далеко не нова. Каждые полгода соцсеть публикует отчеты, в которых, помимо прочего, рассказывает о том, сколько было заблокировано фейковых аккаунтов. Конкретные цифры варьируются от года к году, но в любом случае речь идет о десятках миллионов профилей за каждый отчетный период. Например, с начала 2019 года и по середину 2022 года соцсеть заблокировала почти 140 миллионов поддельных аккаунтов.
При этом большая часть фейковых профилей LinkedIn блокирует автоматически — за первую половину 2022 года доля таких блокировок составила 95,4%. Чаще всего фальшивки отсортировываются еще на этапе регистрации: в зависимости от полугодия от 70 до 90% заблокированных аккаунтов «сбивают» еще на подлете.
На долю фейковых профилей, заблокированных по жалобам пользователей, приходится менее процента. Немного их и в абсолютном значении: например, за первую половину 2022 года таким образом было заблокировано всего 190 тысяч фейков.
View the full article
-
Автор KL FC Bot
Если спросить любого специалиста по информационной безопасности, что является причиной большинства инцидентов, то вероятно он не задумываясь ответит «человеческий фактор». В основе большей части атак на организации лежат невнимательность, неосведомленность и ошибки сотрудников. При этом угрозу человеческого фактора сложнее всего устранить — ведь для этого приходится работать не с привычными послушными информационными системами, а непосредственно с людьми.
Часто в наших советах мы, помимо всего прочего, рекомендуем донести до сотрудников ту или иную информацию. Но, конечно, это легче сказать, чем сделать. Поэтому сегодня мы поговорим о том, как же все-таки добиться того, чтобы сотрудники компании стали относиться к кибербезопасности серьезнее, а к словам безопасников — внимательнее.
Почему сотрудники не уделяют должного внимания кибербезопасности
Основная проблема состоит, конечно же, в том, что для большинства сотрудников компании кибербезопасность совсем не является приоритетным вопросом. У них есть свои дела и задачи, а на всякие второстепенные вопросы у них может банально не хватать времени. В связи с этим стоит осознать и принять следующие два факта.
Первый из них: по умолчанию одним из второстепенных вопросов для нормального сотрудника является и информационная безопасность. Так что не стоит ожидать, что после каждой почтовой рассылки о вреде использования одних и тех же паролей ваши пользователи побегут массово их менять. Или дисциплинированно перестанут скачивать сомнительные вложения, как только вы им расскажете, что так не стоит делать.
Второй факт, который важно иметь в виду: не погруженные в тему ИБ сотрудники вас не обязательно понимают (и даже скорее всего нет). Для специалиста по кибербезопасности в словах вроде «таргетированная атака с использованием целевого фишинга» не содержится никакой сложной информации. А обычному продажнику, бухгалтеру или специалисту по логистике вы с тем же успехом могли бы сказать что-нибудь на баскском языке.
В результате ИБ-специалистам часто кажется, что в сочетании эти два факта делают задачу неразрешимой, поэтому они опускают руки и ограничиваются лишь теми мерами безопасности, которые касаются железа и софта. Но, конечно же, это неправильно, и такой подход часто приводит к серьезным проблемам. Возникает вопрос: как же все-таки достучаться до сотрудников?
Посмотреть полную статью...
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти