Security And Usability
1 like760 views
Документ обсуждает важность сочетания удобства и безопасности в информационных системах, подчеркивая, что безопасность не должна рассматриваться как самоцель, а как средство для увеличения бизнеса. Также рассматриваются проблемы пользовательского взаимодействия, такие как выбор паролей и дизайн интерфейса, которые могут повлиять на ошибки пользователей. В заключении представляются рекомендации по улучшению юзабилити в области безопасности.
Security And Usability
- 1. Удобство и безопасность: как совместить несовместимое Алексей Лукацкий Консультант по безопасности Cisco и SAP GRC © 2006 Cisco Systems, Inc. All rights reserved. 1/26
- 2. Удобство & безопасность Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2/26
- 3. Зачем нужна система ИБ? Для защиты Информации Информационных систем Оборудования Для обеспечения Конфиденциальности Целостности Доступности … (множество других определений) Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/26
- 4. Безопасность, как самоцель Многие руководящие документы, стандарты, требования по ИБ рассматривают безопасность, как самоцель Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/26
- 5. Безопасность, как самоцель Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/26
- 6. Правильная безопасность Информационная безопасность - это рычаг для генерации большего бизнеса и увеличения гибкости предприятия, которая позволит ему работать в тех областях, которые слишком опасны без реализации адекватной программы ИБ Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/26
- 7. Кто генерит бизнес? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/26
- 8. Безопасность или удобство? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/26
- 9. Психологическая приемлемость Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/26
- 10. Психологическая приемлемость Очень важно, чтобы интерфейс взаимодействия с пользователем был удобным в использовании; чтобы пользователи запросто и «на автомате» использовали механизмы защиты правильным образом. Если образ защиты в уме пользователя будут соответствовать тем механизмам, которые он использует на практике, то ошибки будут минимизированы. Если же пользователь должен переводить представляемый им образ на совершенно иной «язык», он обязательно будет делать ошибки Джером Зальтцер и Майкл Шредер, 1975 (!) год Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10/26
- 11. Пароли: что плохого? Выбирайте пароли длиной свыше 8 символов А как их запомнить? Используйте системы автоматической генерации паролей (8HguJ7hY) А как их запомнить? Пусть пароль выбирает пользователь Тривиальные и легко угадываемые пароли Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/26
- 12. Почему это происходит? Продукт разрабатывается с точки зрения разработчика, а не потребителя Если потребители и опрашиваются, то только с точки зрения функций защиты Тестирование проводится на предмет ошибок и дыр, но не юзабилити Продукт выпускается в условиях жесткой конкуренции со стороны других разработчиков В России практически никто не обращается к услугам специалистов по эргономике Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/26
- 13. Хорошие и плохие примеры Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/26
- 14. Пароли: как улучшить? Графические пароли Токены, смарт-карты, биометрия Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14/26
- 15. Пароли: хочется сэкономить? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15/26
- 16. Microsoft «Монополист» рынка программного обеспечения За счет удобства для пользователя Множество нареканий с точки зрения безопасности Ситуация изменяется Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/26
- 17. Пример с ОС Windows Что такое «signed»? Что такое «Microsoft Code Signing PCA»? Всегда доверять этому источнику? А если я хочу всегда недоверять этому источнику? Что «да» и что «нет»? Чем это опасно? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/26
- 18. Пример с ОС Windows Как можно открыть exe- файл? Чем это опасно? Какие действия осуществляются по умолчанию? Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/26
- 19. Заключение Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/26
- 20. ZoneAlarm 1 миллион загрузок с сайта за первые 10 недель Один из самых популярных продуктов для персональной Интернет-безопасности «…чтобы даже мама могла использовать» Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20/26
- 21. Принципы дизайна ZoneAlarm Знайте вашу аудиторию Думайте как ваша аудитория Избегайте беспорядка Избегайте сложности Встаньте на сторону пользователя даже если конкуренты «давят» на вас со сроками Обеспечьте обратную связь с пользователем!!! Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/26
- 22. Обратная связь!!! Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22/26
- 23. Вирус bagle.aa и Cisco Security Agent Вирус появился в апреле 2004 Не было времени на установку патча или обновление антивируса Из 38,370 ПК защищенных Cisco Security Agent, около 600 было скомпрометировано – 620 пользователей открыло зараженный файл Некоторые пользователи нажали “Yes” на вопрос «Подозрительное приложение пытается получить доступ к электронной почте. Разрешить?» Существенное снижение времени и стоимости борьбы А также обновление политики безопасности для снижения влияния «человеческого фактора» Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23/26
- 24. Дополнительная информация http://www.ischool.berkeley.edu/~rachna/security_usabilit y.html - множество ссылок на публикации об удобстве и безопасности Security and Usability. Lorrie Cranor, Simson Garfinkel Publisher: O'Reilly Pub Date: August 2005 ISBN: 0-596-00827-9 Pages: 738 Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/26
- 25. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: (495) 961-1410 Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/26
- 26. Usability & Security © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/26