За 2018 год собственные сотрудники нанесли компаниям намного больше ущерба в информационной безопасности, чем внешние атаки. По данным InfoWatch, 89% случаев утечек данных произошло из-за умышленного или случайного несоблюдения правил безопасности.

Показательная история случилась в начале 2019 года в Mar-a-Lago — флоридском фешенебельном клубе президента США Дональда Трампа. Сотрудники службы безопасности задержали подозрительную гражданку из Китая. С собой у нее были несколько мобильных телефонов, флешка с неизвестным ПО и прочие странные гаджеты. Злоумышленницу остановили, флешку отобрали и подключили к рабочему компьютеру одного из сотрудников службы безопасности, стали проводить допрос. Кстати, если вас не насторожила предыдущая фраза, то информационная безопасность вашего бизнеса под угрозой. Впрочем, так же, как данные на компьютере незадачливого сотрудника охраны президента, на который автоматически начало устанавливаться шпионское ПО с вставленной в него китайской флешки.

Вот так, одной нелепой ситуации достаточно, чтобы данные компании попали под угрозу. Но, если использовать несколько простых принципов в ежедневной операционной деятельности, можно улучшить ситуацию с информационной безопасностью достаточно быстро, особенно если обратить на это внимание прямо сейчас.

Безопасность с самого начала
Нет смысла надеяться на отдельных специалистов по информационной безопасности и регламенты, внешний аудит или инструменты повышения безопасности разработки, если у разработчиков и системных администраторов отсутствует понимание, что систему изначально необходимо проектировать как безопасную.

Внешний аудит, который проведут на поздних стадиях разработки продукта, может выявить серьезные недостатки. Но, чтобы устранить их, придется полностью переписывать компоненты приложения. Большим компаниям это грозит серьезными тратами, а для стартапов последствия могут быть еще более болезненными, вплоть до закрытия. Именно поэтому руководителям важно донести до своего коллектива, что сохранность корпоративной тайны зависит от каждого сотрудника на каждом этапе — от разработки нового продукта до его внедрения и использования.

Каждый сотрудник — часть культуры
Наиболее надежный способ заставить людей что-то делать — убедить их в том, что это на самом деле нужно и важно, чтобы они воспринимали корпоративную идею как свою собственную. Идея становится привычной, если сделать из нее традицию или своего рода ритуал. Традицию будут с легкостью и интересом принимать, при этом выполняя предписания и регламенты без дополнительного контроля со стороны руководства. В коллективе появится система саморегуляции: сотрудники сами начнут следить за тем, чтобы все вокруг, в том числе коллеги-новички, также не нарушали негласных правил.

Некоторые из идей приживаются особенно хорошо и, однажды зародившись, пользуются особенной популярностью во всей компании — к большому удовольствию сотрудников. Например, в нашей компании есть такая традиция: если сотрудник оставил компьютер незаблокированным и покинул рабочее место, то коллеги могут беспрепятственно воспользоваться его рабочим местом и, например, написать от его имени нелепые посты в соцсетях или комментарии на внутреннем портале компании.

Сотрудников высшего звена это правило тоже касается. Например, как-то раз топ-менеджер одной технологической компании забыл на кофе-пойнте набор дорогого оборудования. Его коллеги из внутренней службы безопасности спрятали эту коробку и стали ждать, когда потеря обнаружится. Каково же было их удивление, когда за ней никто так и не пришел. Оказалось, менеджер просто заказал новый комплект. Вывод тут простой: не стоит щадить топ-менеджеров, правила должны быть едины для всех.

Помощь вместо регламентов
Конечно, нельзя полностью отменить письменные правила и регламенты, которые регулируют информационную безопасность в компании. Но нужно помнить, что они работают только тогда, когда понятны сотрудникам. Формальность в этом вопросе сыграет в обратную сторону. Например, сложный юридический язык плохо воспринимается сотрудниками. В результате они не читают правил безопасности, а в большинстве случаев просто расписываются в листе ознакомления с документом. В чем тогда смысл этих правил? Необходимо помочь сотруднику разобраться в основных принципах безопасности и моделях потенциальных угроз на простых и понятных ему примерах, а также рассказать о последствиях, которые могут грозить компании и каждому отдельному работнику при потере важных корпоративных данных.

Представьте, например, что вы — сотрудник финансового департамента в благополучной небольшой компании. Что вы будете делать, если вдруг вам напишет руководитель и попросит перевести деньги с корпоративного счета неизвестному контрагенту без договора и даже без счета? Конечно, есть вероятность, что это действительно важная непредвиденная ситуация и ваш руководитель просто не может сейчас позвонить. Но, с большой долей вероятности, почтовый адрес отправителя просто подменили, а вы рискуете отправить деньги кому-то другому. Нужно уметь отличать типичные ситуации от мимикрирующих под них. В регламенте всех подобных случаев не опишешь, но можно привить культуру перепроверять договоры и переводы больше определенной суммы.

Сохранить корпоративные данные можно только тогда, когда информационная безопасность не зависит от жестких регламентов компании. Важно, чтобы сотрудники понимали принципы информационной безопасности и могли мыслить вне шаблонов и жестких рамок инструкций. Это должно стать частью корпоративной культуры.

Геймификация для мотивации
Идеально, если процесс обучения сотрудников получится геймифицировать — например, ввести систему виртуальных уровней и поощрений для тех, кто изучил определенные темы по информационной безопасности и прошел тестирование.

В нашей компании проверили эффективность геймификации на системе мотивации сотрудников. Структура ее такова: у каждого работника есть виртуальный парк динозавров. В нем живут тирексы — наши маскоты, то есть персонажи-талисманы. Раз в месяц появляется новый динозавр, которого нужно вырастить. Для этого нужно больше взаимодействовать с коллегами, говорить им спасибо за помощь в рабочем процессе, отправлять бейджи и т. д. За каждое из этих действий сотрудник получает бейджи и «спасибо» от коллег. Чем больше внутренних «спасибо» получит сотрудник, тем упитаннее будет его динозавр. Если же «спасибо» не появятся, то тирекс отправляется не в динопарк, а парит над ним в образе духа. Это дополнительно мотивирует сотрудников взаимодействовать друг с другом напрямую на уровне горизонтальных связей между департаментами, а также не стесняться делиться фидбэком о совместной работе, так как система поощряет именно такое поведение.

На сегодняшний день игра пользуется популярностью. За прошлый год 80% сотрудников отправили друг другу 3655 «спасибо» и 1569 бейджей. В дальнейшем планируем игру развивать, добавлять новые уровни и задачи, в том числе по информационной безопасности.

С точки зрения стоимости разработки подобной системы система геймификации не была очень дорогостоящей. На момент ее создания мы как раз внедрили и начали поддерживать внутренний корпоративный портал, на котором существует блок с информацией и функциями, которые относятся к HR-направлению (структура компании, графики отпусков, система ревью сотрудников и т. д.). Система геймификации стала одним из модулей этой системы и в общей стоимости проекта не заняла значимого объема.

Автор: Олег Любимов, генеральный директор Selectel
selectel.ru

Рады сообщить, что 26 сентября пройдет конференция SelectelTechDay. Приходите, чтобы узнать больше об облачных технологиях — конференция бесплатная.


Главные темы SelectelTechDay
Развитие облачных сервисов Selectel
Презентуем «Облачную платформу Selectel», расскажем о Kubernetes в облаке и поделимся последними обновлениями услуг, которые обеспечат высокую доступность ваших сервисов.
Разработка Selectel Serverless
Расскажем о ходе разработки нашей платформы бессерверных вычислений, проблемах, с которыми мы сталкиваемся, и их решениях.
Реализация катастрофоустойчивых решений
Поговорим о создании высокодоступных систем, обеспечивающих непрерывность бизнеса 24/7/365.

SelectelTechDay — это возможность

• Познакомиться с нашими новыми техническими решениями, наглядно увидеть работу сервисов.
• Послушать доклады продакт-менеджеров Selectel и принять участие в панельной дискуссии.
• Обменяться опытом с коллегами и завести новые полезные знакомства.

Ждем вас 26 сентября

• Посещение конференции бесплатно.
• Количество мест ограничено.
• Проведем 8 экскурсий и покажем, как устроен дата-центр изнутри.
• Для тех, кто не сможет прийти, организуем онлайн-трансляцию.

selectel.ru/techday/

Чтобы не пропустить событие, добавьте его к себе в календарь.
26 сентября 2019 / SelectelTechDay

• iOS
• Outlook
• Google

Санкт-Петербург
Если не сможете прийти, но хотите послушать доклады — регистрируйтесь, мы пришлем ссылку на онлайн-трансляцию. По любым вопросам пишите на events@selectel.ru.

В данной статье мы рассмотрим, что включает в себя Регламент по защите персональных данных (GDPR), какие изменения в части процессов обработки он повлек за собой и повлек ли вообще, а также иные вопросы, связанные с вступлением Регламента в силу.

Потребовалось ли внедрение новых механизмов по обработке и предоставлению персональных данных и их защите?

Персональные данные (далее ПДн) – вопрос, затрагивающий сферы работы как государственных органов, так и интересы бизнес-сообщества. Действия, связанные с ПДн, выходят на первый план в работе как государственных инстанций, так и коммерческих компаний. В современных условиях для трансграничной передачи ПДн требуется наличие единого детализированного правового акта. Общий регламент по защите данных (англ. General Data Protection Regulation или GDPR) вступил в силу 25 мая 2018 года и закрепил определенные принципы обработки ПДн и установил определения следующим терминам: consent, personal data и иным положениям, основные из которых будут рассмотрены в данной статье.

blog.selectel.ru/gdpr/

Устранение неисправностей при загрузке операционной системы на серверах без KVM — непростое занятие. Создаем себе KVM-over-IP через образ восстановления и виртуальную машину.

В случае возникновения проблем с операционной системой на удаленном сервере, администратор загружает образ восстановления и проводит необходимые работы. Такой способ отлично работает, когда причина сбоя известна, а образ восстановления и установленная на сервере операционная система из одного семейства. Если причина сбоя еще не известна, необходимо понаблюдать за ходом загрузки операционной системы.

Удаленный KVM
Получить доступ к консоли сервера можно с помощью встроенных средств, таких как IPMI или Intel vPro, или с помощью внешних устройств, именуемых IP-KVM. Существуют ситуации, в которых все из перечисленных технологий недоступны. Однако, это не конец. Если сервер можно удаленно перезагрузить в образ восстановления на базе операционной системы семейства Linux, то можно быстро организовать KVM-over-IP.

Образ восстановления представляет собой полноценную операционную систему, которая размещается в оперативной памяти. Таким образом, мы можем запускать любое программное обеспечение, в том числе и виртуальные машины (ВМ). То есть можно запустить ВМ, внутри которой будет работать операционная система сервера. Доступ к консоли ВМ может быть организован, например, через VNC.

Для запуска операционной системы сервера внутри ВМ необходимо указать диски сервера в качестве дисков ВМ. В операционных системах семейства Linux физические диски представляются блочными устройствами вида /dev/sdX, с которыми можно работать как с обычными файлами.

Некоторые гипервизоры, такие как QEMU и VirtualBox позволяют хранить данные ВМ в «сыром» виде, то есть только данные хранилища без метаданных гипервизора. Таким образом, ВМ можно запустить с использованием физических дисков сервера.

Подобный способ требует ресурсов на запуск образа восстановления и ВМ внутри него. Однако, при наличии четырех и более гигабайт оперативной памяти это не станет проблемой.

Подготовка окружения
Подробнее
blog.selectel.ru/ipkvm-over-qemu/

Здравствуйте!
В возможностях «Облачного хранилища» Selectel пополнение — мы разработали Amazon S3 совместимый API.
Ввиду своей распространенности, для многих вендоров ПО он стал стандартом работы с объектными облачными хранилищами данных. Теперь вы можете воспользоваться преимуществами данного интерфейса в Selectel.
Про все возможности и ограничения нашей реализации S3 API вы можете узнать в базе знаний.
kb.selectel.ru/54789216.html
selectel.ru/services/cloud/storage/

Приглашаем принять участие в открытом бета-тестировании нового интерфейса.
Мы будем благодарны, если вы начнете использовать S3 API и сообщите о своих впечатлениях. Обратную связь можно отправить через тикет-систему, написать на sales@selectel.ru или дать по телефону +7 800 555 06 75.

Сейчас мы проверяем техническую реализацию услуги и испытываем ее под нагрузкой. Однако даже после такой проверки могут оставаться недоработки, поэтому рекомендуем осторожно применять данный интерфейс для критичных сервисов.

Скорость загрузки сервисов влияет на поведение пользователей. Чем быстрее откроется страница, тем больше посетителей на ней останется. Чтобы сократить время загрузки, воспользуйтесь сетью доставки контента (CDN). Это система географически распределенных серверов с высокой связностью, которая обеспечит быструю доставку контента до вашей аудитории.
Используя CDN, вы сможете:

• Ускорить загрузку интернет-проектов. Размещение кэширующего сервера ближе к посетителям увеличивает скорость загрузки страниц сервиса.
• Повысить доступность контента. Балансировка запросов между кэширующими серверами обеспечивает стабильную работу даже при пиковых нагрузках.
• Сократить расходы. Переложив нагрузку на CDN, можно использовать мощности основного сервера для других проектов, позволяя масштабировать существующую инфраструктуру.
• Повысить отказоустойчивость. При выходе из строя одного из кэширующих серверов, пользователи продолжат получать контент с другого ближайшего, не заметив нарушений в работе.

selectel.ru/services/additional/cdn/

Плата за услугу зависит от объема потребленного трафика и выбранного провайдера. Воспользуйтесь калькулятором ресурсов и рассчитайте свой выгодный вариант!

Если у вас возникли вопросы — напишите на sales@selectel.ru или позвоните по телефону +7 800 555 06 75, и мы оперативно ответим на них.

Можно ли создавать приложения и сервисы, забыв про серверы? Да, и скоро эта возможность будет реализована в «Облачных функциях Selectel» — платформе бессерверных вычислений. Разбейте логику приложений на микрозадачи, создайте под каждую функции и настройте их запуск по срабатыванию триггера. Больше не нужно настраивать сервер — просто пишите код.
Технология позволяет:

• Забыть про администрирование серверов и сосредоточиться на написании кода.
• Не думать о масштабировании — услуга сделает его за вас.
• Анализировать статистику и мониторить каждую выполняемую функцию.

Оптимизируйте работу своего бизнеса:

• Ускорьте процесс вывода продукта на рынок благодаря гибкому развертыванию приложения на уровне одной функции.
• Быстро обрабатывайте данные, не беспокоясь о настройке высокой доступности.
• Экономьте за счет платы только за используемые ресурсы (pay-as-you-go).

Сейчас мы находимся в стадии разработки продукта, поэтому ваша обратная связь очень нужна. Напишите нам и расскажите, есть ли у вас опыт работы с бессерверными вычислениями. А чтобы следить за прогрессом по услуге — подпишитесь на обновления.
selectel.ru/services/cloud/serverless/

Представляем новый раздел сайта Selectel — «Решения». На его страницах мы собрали услуги, которые помогут вашему бизнесу справиться со стратегическими IT-задачами. Все они связаны с использованием облачных ресурсов. Раздел будет пополняться новыми материалами ㅡ следите за новостями!
Selectel поможет вам


Мигрировать в облако Мигрировать в облако.
Перенесем ваши приложения и сервисы на облачную платформу. Обеспечим минимальные риски в прогнозируемые сроки, учтем требования информационной безопасности.
Узнать подробнее selectel.ru/solutions/cloud-migration/


Создать гибридную инфраструктуру.
Объединим вашу инфраструктуру с облаком. Решим задачи интеграции, масштабирования, применения механизмов автоматизации для развертывания IT‑инфраструктуры и мониторинга.
Узнать подробнее


Организовать отказоустойчивую IT‑инфраструктуру Организовать отказоустойчивую IT‑инфраструктуру.
Оценим риски доступности вашего сервиса и выберем оптимальное решение. Реализуем и протестируем комплекс мероприятий: организуем резервную площадку, создадим бэкапы и зарезервируем элементы инфраструктуры.
Узнать подробнее selectel.ru/solutions/hybrid-cloud/


Оптимизировать IT-затраты.
Проведем детальный аудит, поможем с выбором схемы оплаты, настроим мониторинг и автомасштабирование, выявим простаивающие мощности, оценим экономию от изменений.
Узнать подробнее selectel.ru/solutions/hybrid-cloud/

Остались вопросы? Напишите на team@selectel.ru или позвоните по телефону +7 800 555 06 75, мы обязательно поможем вам. selectel.ru/solutions/it-cost-optimization/

Это рассылка Selectel — делимся новостями последнего месяца. Сегодняшний выпуск про выделенные серверы, специальные предложения, публикации о Selectel в СМИ и статьи в блоге. В конце письма — актуальные вакансии.


Новости услуг
Выделенные серверы: обновления и специальные цены
Мы постоянно расширяем возможности продуктов — делаем их функциональнее, удобнее и выгоднее для вас. На этот раз нововведения коснулись выделенных серверов.

В произвольных конфигурациях появилась возможность заказать SSD NVMe диски в форм-факторе U.2 на 1, 2 и 4 ТБ. Они идеально подходят для размещения баз данных и для любых проектов, чувствительных к показателям чтения, записи и сетевой задержке. Собрать конфигурацию с таким диском — легко. В конфигураторе в блоке «PCIE карта» нужно выбрать NVMe HBA.
my.selectel.ru/servers/order/custom?config=true-64:1.139:1..211:1-1-rub-1-9-0-1

Многие из вас этого ждали — акция «Гарантия минимальной цены» снова в Selectel. На этот раз скидка еще больше, чем раньше. Выбирайте сервер из DL-линейки для решения своих задач. Если найдете дешевле, снизим стоимость на 10% от цены конкурента. Оборудование заработает через 2 часа после оплаты, и вы легко сможете управлять им в панели Selectel. Торопитесь, число серверов ограничено.
selectel.ru/promo/min-price/

Посмотрите, как пользуются выделенными серверами наши клиенты: GetBlogger, amoCRM, «Вебинар FM». Хотите так же? Свяжитесь с нами любым удобным способом: позвоните по телефону +7 800 555 06 75, напишите на sales@selectel.ru или обратитесь в техподдержку.

О нас пишут, а мы...
Строим прогнозы, каким будет завтра
Вместе с российскими фантастами рассуждаем о будущем мира цифровых технологий в совместном проекте с РБК. 3 увлекательных рассказа от писателей современности, где они повествуют о жизни в цифровом мире, об отношениях с умными устройствами и цене крошечной ошибки.
future.rbc.ru/index.html

Учим защищать компании от слива корпоративных тайн
Олег Любимов, генеральный директор Selectel, дал несколько советов РБК о том, как уберечь данные компании от утечки и рассказал, почему корпоративная культура сделает это лучше регламентов и инструкций.
pro.rbc.ru/demo/5d357cde9a79477aa70a6c71

Рассказываем о своих сервисах и гибком подходе к заказчикам
В CNews вышел большой обзор про облачные сервисы. Генеральный директор Selectel Олег Любимов рассказал об уникальности продуктов компании на российском рынке и о планах по запуску новых сервисов.
www.cnews.ru/reviews/oblachnye_servisy_2019/interviews/oleg_lyubimov_1


Работа в Selectel
Присоединяйтесь к нашей команде! У нас есть открытые вакансии в Санкт-Петербурге и Москве, посмотреть полный перечень можно здесь.
selectel.ru/careers/all/

Разговорившись с коллегами-администраторами о художественной литературе, мы обнаружили, что нам нравятся книги самых разных жанров и стилей. Тогда нам стало интересно провести среди системных администраторов Selectel опрос по трем темам: что нравится из классики, какая книга любимая и что читают сейчас. Получилась большая литературная подборка, где сисадмины делятся своими личными впечатлениями от прочитанных книг.

В опросе поучаствовали 20 администраторов Selectel из разных отделов: OpenStack, VMware, администрирование клиентских сервисов, сетевой отдел и команда технической поддержки.
blog.selectel.ru/ot-klassiki-i-modernizma-do-fentezi-i-stimpanka-chto-chitayut-sistemnye-administratory/