Я пытался понять, как с точки зрения логистики крупные корпорации, сосредоточенные на одном огромном продукте (например, Google, Facebook, Twitter, Yahoo и т. д.), ограничивают информацию, известную сотрудникам, так, что ни один сотрудник (или небольшая группа сотрудников) не представляет серьезная угроза безопасности компании после увольнения. Ниже более формальное введение.
В онлайн-приложениях часто требуется безопасность и скрытность. Я не знаю ни одной крупной компании, сосредоточенной на одном огромном онлайн-продукте, которая открыто публикует внутреннюю работу своих приложений. Конечно, сотрудники компании должны знать, как все работает за кулисами, чтобы поддерживать и развивать продукт. Но разве это не делает их невероятной угрозой безопасности?
В компании такого типа с десятками, сотнями или тысячами служащих, казалось бы, любой достаточно высокопоставленный служащий имел бы власть, если бы захотел, разрушить компанию благодаря своему знанию внутренней механики службы. Единственный способ предотвратить это — ограничить то, что каждый сотрудник знает, тем, что ему нужно для выполнения своей работы. За исключением того, что тогда группа из одного-двух сотрудников все равно сможет обрушить компанию. Что удерживает уволенного из Google специалиста по безопасности от решения уничтожить компанию, воспользовавшись уязвимостями той самой системы, которую он разработал? Никакие судебные разбирательства не компенсируют ущерб в сотни миллиардов долларов. Даже такая, казалось бы, простая вещь, как подключение серверов друг к другу, может оказаться невероятно ценной для хакера. и, тем не менее, действительно нужно было бы полностью делиться с сотрудниками, управляющими центрами обработки данных, если они хотят выполнять свою работу. Некоторые фрагменты информации настолько элементарны, что их должен знать только один человек, и в случае неправильного использования они чреваты невероятным риском для компании.
Как эти компании (такие как Google, Facebook, Twitter, Yahoo...) ограничивают то, что знает каждый сотрудник, и делят это на достаточно маленькие части, чтобы снизить этот риск?
Обновлять:
Я не столько спрашиваю о безопасности программного обеспечения, сколько о том, как компания ограничивает информацию, известную отдельным сотрудникам, со стратегической и логистической точек зрения. Эта же проблема в разных формах применима практически к любой компании с секретами, т.е. к любой компании, но это особенно важно, когда есть один большой продукт, особенно если это онлайн-приложение, как было сказано выше.
Я думаю, что люди увлекаются деталями информационной безопасности и тем, может ли один человек «обрушить» и все предприятие.
Дело в том, что, ДА, недовольный сотрудник (действующий или бывший) определенно может нанести ущерб от «небольшого» до «очень серьезного» практически любой компании.
Причина, по которой этого не происходит, заключается в том, что подавляющее большинство людей НЕ являются преступниками. Большинство людей не причинят вреда жизни коллег и работодателей только из чувства мести. Здесь присутствует определенная доля доверия и доброй воли. Иногда это доверие нарушается, но в большинстве случаев это не так.
Любой, кто считает, что система невосприимчива к вреду, заблуждается. Вред не обязательно должен быть полным разрушением, чтобы быть серьезным испытанием, и преступник не должен обладать элитными навыками или глубокими знаниями, чтобы делать подобные вещи.
Я думаю, что вы неправильно поняли некоторые основы информационной безопасности и разработки программного обеспечения.
Давайте посмотрим на шахматы. Когда вы впервые изучаете его, вы планируете свои ходы и надеетесь, что ваш противник не увидит ваши хитрые планы. Если кто-то объявит о вашем плане, вы будете обречены. Только потом, когда ты станешь более профессиональным, ты увидишь, что шахматы — это открытая игра. Все все знают. Делать ход в надежде, что противник не заметит вашего плана, — детская забава.
То же самое касается компьютерного программирования. Когда вы впервые читаете книгу, вы думаете: «Я придумаю секретный пароль. Это «пук». Нет, это недостаточно секретно, я сделаю его «секретно». Хи-хи. Я в безопасности, никто не догадается, что .". Но это детская игра. Когда вы станете более профессиональным, вы научитесь методам защиты программного обеспечения и информации, которые не зависят от такого рода «секретов».
Фейсбук не секрет. Вероятно, каждый программист мог бы написать для вас клон Facebook за несколько недель. Амазон не секрет. Посмотрите на тысячи магазинов. Они успешны, потому что ведут успешный бизнес. Точно так же, как офлайн-магазин может быть успешным бизнесом, даже если каждый бросивший школу знает «секрет» «покупайте товары дешевле, чем вы продаете».
Так что да, очевидно, вы не даете вашему уборщику административный доступ к вашей бухгалтерской программе. Но это не горячие новинки. Ты не дал ключ от сундука с сокровищами своему конюху 1000 лет назад.
Если бы Facebook опубликовал свой исходный код… ничего бы не произошло. Несколько ботаников получат удовольствие от крутых вещей, а несколько других ботаников найдут дыру в безопасности, которая позволит им размещать фотографии репродуктивных органов на стенах людей. Третья группа ботаников создала теневой Facebook на том же коде, который не взлетел, потому что никто не присоединился. И через два дня Facebook вернется к нормальной жизни. Секретного выключателя нет. Это существует только в выдуманных историях или в программах, написанных детьми.
Дженни Д.
Эколог
папарацци
Эколог
Эколог