Contenu connexe
Similaire à Security And Usability
Similaire à Security And Usability (20)
Plus de Aleksey Lukatskiy
Plus de Aleksey Lukatskiy (20)
Security And Usability
- 1. Удобство и
безопасность: как
совместить
несовместимое
Алексей Лукацкий
Консультант по безопасности
Cisco и SAP GRC © 2006 Cisco Systems, Inc. All rights reserved. 1/26
- 2. Удобство &
безопасность
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2/26
- 3. Зачем нужна система ИБ?
Для защиты
Информации
Информационных систем
Оборудования
Для обеспечения
Конфиденциальности
Целостности
Доступности
… (множество других определений)
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/26
- 4. Безопасность, как самоцель
Многие руководящие документы, стандарты,
требования по ИБ рассматривают безопасность, как
самоцель
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/26
- 6. Правильная безопасность
Информационная безопасность - это рычаг для
генерации большего бизнеса и увеличения гибкости
предприятия, которая позволит ему работать в тех
областях, которые слишком опасны без реализации
адекватной программы ИБ
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/26
- 9. Психологическая
приемлемость
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/26
- 10. Психологическая приемлемость
Очень важно, чтобы интерфейс взаимодействия с
пользователем был удобным в использовании; чтобы
пользователи запросто и «на автомате» использовали
механизмы защиты правильным образом. Если образ
защиты в уме пользователя будут соответствовать
тем механизмам, которые он использует на практике,
то ошибки будут минимизированы. Если же
пользователь должен переводить представляемый им
образ на совершенно иной «язык», он обязательно
будет делать ошибки
Джером Зальтцер и Майкл Шредер, 1975 (!) год
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10/26
- 11. Пароли: что плохого?
Выбирайте пароли длиной свыше 8 символов
А как их запомнить?
Используйте системы автоматической генерации
паролей (8HguJ7hY)
А как их запомнить?
Пусть пароль выбирает пользователь
Тривиальные и легко угадываемые пароли
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/26
- 12. Почему это происходит?
Продукт разрабатывается с точки зрения
разработчика, а не потребителя
Если потребители и опрашиваются, то только с точки
зрения функций защиты
Тестирование проводится на предмет ошибок и дыр,
но не юзабилити
Продукт выпускается в условиях жесткой конкуренции
со стороны других разработчиков
В России практически никто не обращается к услугам
специалистов по эргономике
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/26
- 13. Хорошие и плохие
примеры
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/26
- 14. Пароли: как улучшить?
Графические пароли
Токены, смарт-карты, биометрия
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14/26
- 16. Microsoft
«Монополист»
рынка
программного
обеспечения
За счет удобства
для пользователя
Множество
нареканий с точки
зрения
безопасности
Ситуация
изменяется
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/26
- 17. Пример с ОС Windows
Что такое «signed»?
Что такое «Microsoft
Code Signing PCA»?
Всегда доверять этому
источнику?
А если я хочу всегда
недоверять этому
источнику?
Что «да» и что «нет»?
Чем это опасно?
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/26
- 18. Пример с ОС Windows
Как можно открыть exe-
файл?
Чем это опасно?
Какие действия
осуществляются по
умолчанию?
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/26
- 20. ZoneAlarm
1 миллион загрузок с
сайта за первые 10
недель
Один из самых
популярных продуктов
для персональной
Интернет-безопасности
«…чтобы даже мама
могла использовать»
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20/26
- 21. Принципы дизайна ZoneAlarm
Знайте вашу аудиторию
Думайте как ваша аудитория
Избегайте беспорядка
Избегайте сложности
Встаньте на сторону пользователя даже если
конкуренты «давят» на вас со сроками
Обеспечьте обратную связь с пользователем!!!
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/26
- 23. Вирус bagle.aa и Cisco Security Agent
Вирус появился в апреле 2004
Не было времени на установку патча или обновление
антивируса
Из 38,370 ПК защищенных Cisco Security Agent, около
600 было скомпрометировано – 620 пользователей
открыло зараженный файл
Некоторые пользователи нажали “Yes” на вопрос
«Подозрительное приложение пытается получить доступ к
электронной почте. Разрешить?»
Существенное снижение времени и стоимости борьбы
А также обновление политики безопасности для снижения
влияния «человеческого фактора»
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23/26
- 24. Дополнительная информация
http://www.ischool.berkeley.edu/~rachna/security_usabilit
y.html - множество ссылок на публикации об удобстве
и безопасности
Security and Usability. Lorrie Cranor,
Simson Garfinkel
Publisher: O'Reilly
Pub Date: August 2005
ISBN: 0-596-00827-9
Pages: 738
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/26
- 25. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: (495) 961-1410
Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/26