Единая авторизация – это чрезвычайно удобно в первую очередь для пользователя различных услуг. Но применение социальных сетей для этой цели, безусловно, определенный риск для безопасности бизнеса, оказывающего услугу. Конфиденциальные данные ее сотрудников и клиентов оказываются в руках третьей стороны, что может поставить бизнес в зависимость от социальной сети, повлечь нежелательные утечки и т.п. Можно ли найти баланс рисков и преимуществ?
В последнее время активнее, чем когда-либо развиваются различные протоколы идентификации и управления доступом через сторонние ресурсы. По-моему подобную авторизацию предлагают уже все популярные на российском рынке социальные сети. И развиваются они, в первую очередь, с оглядкой на бизнес, который будет использовать их в качестве «независимого центра авторизации».
Чем же они могут быть полезны бизнесу? Чаще всего бизнес-операции привязываются к идентичностям из социальных сетей в рамках общения с клиентами в сегменте B2C. Согласитесь, удобно пригласить клиента на сайт и предложить ему использовать для входа не заново заполняемую анкету, а его профиль в социальной сети. Но компании осторожно относятся к подобному нововведению, т.к., фактически, они вынуждены будут смириться с тем, что данные их клиентов (в том числе, их количестве и качестве) хранятся у третьей стороны. Безопасно ли это? Не поставит ли компанию в зависимость от ежеминутных веяний в социальной сети, которой было отдано предпочтение? Не будут ли таким образом раскрыты «излишние» конфиденциальные данные?
Конечно, каждая компания отвечает на эти вопросы по-своему, применительно к собственной бизнес-ситуации. Но, мне кажется, поскольку социальная сеть не является частью корпоративной сети, в любом случае невозможно контролировать, что именно пользователи (клиенты или сотрудники) раскрывают на ее страницах. Поэтому в существующих условиях полнейшее игнорирование проблемы социальных сетей может иметь даже менее приятные последствия, чем разрешение любых действий.
Возможно, бизнесу не стоит «бояться» интеграции с социальными сетями. Напротив, вместо того, чтобы ограждать себя от зла, исходящего от социальных сетей, полным запретом, эффективнее будет заняться образовательным процессом и выработкой мер «противодействия»?
И первым пунктом в плане адаптации компании к угрозе от социальных сетей должна стать жесткая корпоративная политика в отношении подобных ресурсов, которая должна ответить на ряд вопросов:
- Есть ли сотрудники, использующие социальные сети для работы?
- Существуют ли идентичности из социальных сетей, используемые в бизнес-процессах?
- Могут ли остальные сотрудники получать доступ к своим профилям на работе?
- Какие данные сотрудники не имеют права размещать в социальных сетях (например, отзывы о работе, информация о своих функциях, инженерные данные и т.п.)?
В рамках этой политики все, что не разрешено, должно быть запрещено и отфильтровано. Кроме того, необходимо объяснить работникам и аудитории, с которой приходится контактировать, какие риски связаны с социальными сетями, каким образом лучше выстраивать собственную защиту, какие данные не следует размещать.
Аналогичным образом необходимо запретить, условно говоря, «обратную» передачу некоторых данных. По большей части это, конечно, относится к упомянутой выше корпоративной политике работы с социальными сетями, но, т.к. вопрос не очевиден, хочется на нем сделать отдельный акцент. Многие сотрудники на сегодняшний день используют мобильный доступ к социальным сетям. Соответствующие «родные» приложения для повышения эффективности своей рекламы и предоставления дополнительных сервисов часто просят разрешения на получение данных геолокации пользователя и передают их на свой сервер. Такая информация, как место, время и частота пребывания в определенной точке сотрудника – конфиденциальные данные, раскрытие которых при определенном стечении обстоятельств могут повредить бизнесу.
Необходимо устанавливать уровень доверия полученным по протоколу управления и идентификации данным, в соответствии с политикой безопасности социальной сети, обеспечивающей эту идентификацию. Поскольку наиболее популярные социальные сети, которые имеет смысл использовать в роли «центра идентификации», бесплатны и допускают свободную регистрацию пользователей без указания их паспортных данных, любой может ввести поддельную информацию. Соответственно, личностям, подтвердившим себя лишь такими сомнительными сведениями нельзя давать доступ к областям, где требуется, грубо говоря, указание паспорта. Идентификация через социальную сеть – чуть более чем обычное удобство, но не гарантия подлинности.
Поделиться
