Instant Messaging

Hur man kontrollerar Instant Messaging

Utgår inom kort!

Hur man kontrollerar Instant Messaging

 

7 steg för att säkra snabb meddelanden "IM - Instant Messaging"

Det har förutspåtts att 95 % av de globala företagens anställda kommer att använda instant messaging (IM) som sin främsta metod för att kommunicera med i realtid. 

Detta belyser riskerna med chatt och beskriver ett antal säkerhetsrutiner för att hantera IM i er organisation.

För att detta skall fungera kräver det att trafiken går att titta på, med några appar fungerar detta ej, utan då måste användarna använda en webbläsare istället.

Ibland finns det ej möjlighet att använda en webbläsare och då får man avgöra om den appen skall få finnas i skolan/företaget utan möjlighet till filtrering.

Ett annat alternativ är att man istället övervakar dessa appar med Smoothwall Monitor som fungerar med alla appar.

OBS! Idag har många företags appar möjlighet att spara logger centralt.

Innehåll:

– IM som ett arbetsverktyg

– Vad är riskerna

– Varför övervakning är viktig

– Om IM-applikationer

– Olika steg för att kontrollera IM

– Hur Guardian IM Controls arbetar

IM som ett arbetsverktyg

Ursprungligen skapat i slutet av 1980, instant messaging (IM) teknik är den snabbast växande applikationen någonsin. 

Gartner förutspådde nyligen att 95 % av de globala företagens anställda, kommer att använda instant messaging (IM) som sin främsta metod för att kommunicera med i realtid 2013.

IM är här för att stanna och ersätter alltmer mer traditionella former av vanlig affärskommunikation. 

Anställda på IBM skickar över 3 miljoner IM varje dag och tekniken omfattas nu av ett växande antal organisationer som en kritisk applikation för arbetsplatsen.

Användande av IM på arbetsplatsen har omfattande fördelar. Som ett snabbt och effektivt sätt att dela information med kollegor eller kunder, kan kommunikation i realtid medföra betydande operativa fördelar, spara företagen pengar på telefonsamtal och resekostnader och underlätta mycket snabbare svar. 

Med Instant Messaging är det ofta lättare att få ett snabbt svar via en IM-chatt, än att söka upp ett svar på ett mail. Snabb, omedelbar kontakt är också viktigt för vissa (som börsmäklare som behöver dela den senaste marknadsinformationen). 

IM kan vara ett mycket värdefullt kommunikationsverktyg för resande eller distansarbetare (t.ex. tekniker som arbetar med kunder på plats och behöver vidarebefordra information).

När det är tillåtet på arbetsplatsen, kan IM-konversationer visa sig vara mer produktiva än de via e-post, de är oftast kortare och mer effektiva, så att arbetstagare kan få snabba svar utan ”finesser”.Än de som kommer med 

e-postkommunikation. Även om kritiker nämner IM som en konstant distraktion,så när de används på rätt sätt erbjuder snabbmeddelandekonversationer, faktiskt mer bekväm kommunikation. 

Eftersom användarna kommer att kontrollera först, för att se om kollegerna är tillgängliga (via sin IM-status). Det är ofta mer socialt acceptabelt att ignorera eller att vänta med att svara på ett IM i motsats till ett telefonsamtal. 

Det är också möjligt att ha flera konversationer med snabbmeddelanden samtidigt och dela webblänkar i realtid, så alla är på samma webbsida.

För företag med geografiskt spridda team på flera kontor, kan IM underlätta valbar kommunikation genom att tillhandahålla ett informellt och spontant sätt, för team som behöver arbeta tillsammans i ett virtuellt rum för att interagera och bygga band. 

Vissa företag finner IM särskilt användbart när det gäller att utbyta snabba kommentarer, eller handlingsplaner med kollegor under webbseminarier, virtuella möten och videokonferenser.

Alltför många företag tar onödiga risker med föråldrade policyer och oövervakad användning samt stor privat användning.

Vad är riskerna?

Riskerna för okontrollerad användning av IM i företagssammanhang liknar e-post, men är allvarligare eftersom kommunikation och filöverföringar är mindre frekvent övervakade och inte brukar komma med juridiska förbehåll. 

Där anställda vet att IM inte övervakas, är de ofta mer benägna att använda dem som ett sätt att dela information utan byråkrati eller risk för vedergällning från sina linjechefer, vilket ökar riskerna.

Dataläckor/olagligt användande

När IM-kommunikation körs okontrollerad och oövervakad, riskerar organisationer att förlora kontroll över konfidentiell eller känslig information som oavsiktligt eller avsiktligt skulle kunna läckas utanför företaget. 

Otaliga har drabbats av, att förlorade eller exponerade personuppgifter eller kommersiellt värdefull information. 

Kopiering samt skickande och mottagande av upphovsrättsskyddat material (utan tillstånd från upphovsrättsinnehavaren) är också en betydande risk eftersom brott eller överträdelser mot upphovsrättslagen kan ge åtal och böter.

Trakasserier 

Snabbmeddelanden medför liknande risker som för e-post när det kommer till trakasserier eller diskrimineringsärenden som gäller anställda, kunder eller leverantörer. 

Cybermobbning är långt ifrån begränsat till skolor, och alla företag har en rättslig skyldighet att tillhandahålla en säker arbetsplats och vidta rimliga åtgärder för att skydda sina anställda från missbruk, trakasserier, diskriminering och förtal. 

Produktivitet

Utan ordentlig kontroll har IM möjlighet att inverka betydligt på produktiviteten. 

Organisationer som tillåter IM utan övervakning och bestämda riktlinjer för användning, riskerar att dessa blir en ständig distraktion och störande avbrott till normala arbetsuppgifter. 

Utan övervakning, kan IM faktiskt öka slöseri med tid, eftersom personal kan "synas" att arbeta medan de sysselsätter sig med IM-baserat kontorspladder eller privata oövervakade chattar med sina kompisar.

Nätverkssäkerhet

Okontrollerad IM-trafik kan också utgöra en väg in i nätverk för skadliga virus och malware som kan inverka på verksamheten och viktiga tjänster. 

Meddelanden är ofta inte krypterade (även om de flesta vanliga IM-klienter krypterar inloggningsuppgifter är själva sammankomsten sällan krypterad) och skulle kunna fångas upp och avlyssnas. 

Nätfiske och social manipulation blir också allt vanligare inom IM-plattformar, särskilt med allmänna IM sociala applikationer, där chatt "polare" lätt imiteras.

Ur teknisk synvinkel är viktiga IM-verktyg (som P2P-fildelningsverktyg) klassade som "vilda" (i motsats till standard) applikationsprotokoll. 

De kan ofta tunnla över HTTP och kan vara svårt att kontrollera effektivt med brandväggar eller enkla webbfilter. 

När det gäller potentialen att medföra virus, maskar, trojaner och annan skadlig kod, är IM lika farligt som andra dataflöden in eller ut från företaget via e-post eller webb och potentiellt mer än så, eftersom virus som skickas via IM kan distribueras mycket snabbare. 

Oönskad reklam och spam är ett mindre problem än med e-post men ökar (SPIM är nu ett snabbt växande fenomen).

Därför Är Övervakning Viktigt

Arkivering & bestämmelser

Alla organisationer behöver hålla dokumentation som bevismaterial, i händelse av att de måste försvara sina lagliga rättigheter i domstol. 

Domstolar betraktar IM-loggar på samma sätt som de gör med brev eller e-post. 

Lyckas man inte visa upp uppgifter om relevanta snabbmeddelandekonversationer där elektroniska dokument behövs som bevis kan företagets sak skadas allvarligt.

Om IM-applikationer

IM-applikationer sträcker sig från fria allmänna klienter till fullutrustade kommersiella företagsapplikationer och sessionerna kan vara antingen krypterade eller okrypterade beroende på applikationen. 

Den överväldigande majoriteten av allmänna chattanvändare använder en av de tre stora: AOL, MSN eller Yahoo Messenger. 

Generellt sett är fria applikationer okrypterade men det finns några undantag, till exempel Jabber och GoogleTalk. 

Organisationer som använder utländsk-talande personal kan också råka på mindre kända applikationer som GaduGadu (en populär polsk IM-klient).

Olika steg för att kontrollera IM 

1. Blockera installation av icke auktoriserade klienter

Om nedladdningar inte är begränsade, kan en del av personalen redan laddat ner programvara och använda IM-applikationer utan er vetskap eller tillåtelse. Utöver de risker som är förknippade med obevakad IM-användning kan användarinstallerade klienter vara dåligt konfigurerade och kan ha potential att strida mot eller störa andra kritiska nätverkstjänster. Självinstallerade IM-klienter kan också ställas in, för att kringgå brandväggar och gateways genom att använda icke-begränsade portar eller att dirigera trafik genom en extern proxyserverar.

2. Brandväggsskydd

Från ett gateway- och portaccess-perspektiv, är det oftast klokt att "neka allt" och tillåta applikationer vid behov, samtidigt som man ser till att allt man tillåter kan filtreras. 

Att tvinga eller dirigera om trafik via en HTTP-proxy, kan också ge ett extra lager av säkerhet.

3. Blockera bilagor och filöverföringar

Bilagor och filöverföringar som skickas via snabbmeddelanden, kan medföra skadliga virus eller malware och stora filnedladdningar har potential att orsaka överbelastning på nätet eller störningar. 

Det finns också risken att en anställd kan skicka eller hämta en filöverföring snabbt via IM utan att tänka på möjliga konsekvenser, och lämnar organisationen öppen för informationsläckage. Det är lämpligt att blockera alla IM-bilagor (så att filer kan överföras i en mer kontrollerad miljö), men om IM-överföringar krävs är en säker IM-klient bäst, helst en som ger minst 128bit kryptering av både autentiseringsuppgifter och själva IM-sessionen.

4. Övervaka allt

IM-övervakning bör omfatta både privata och allmänna chattar. Vissa IM-övervakningsprodukter (t.ex. Guardian) erbjuder larmmöjlighet för sökord som kan hjälpa IT-ansvariga att filtrera bort samtal med tvivelaktigt innehåll i data-tunga loggar, så att de kan reagera snabbare på incidenter eller policyöverträdelser. 

Detta kan vara en särskilt användbar funktion i känsliga omständigheter som ett övertagande eller en börsintroduktion, där rapporter om ord som aktier kan bidra till att varna organisationer för eventuella problem eller brott mot tystnadsplikten. 

Att censurera bort svordomar och andra olämpliga uttryck är också klokt, eftersom det signifikant minskar risken för ovälkomna tvister som en följd av diskriminering eller trakasserier på arbetsplatsen. 

Där övervakning införts, måste personalen informeras och de kommer i de flesta fall agera mer ansvarsfullt, om de vet att deras IM-användning övervakas.

5. Uppdateringspolicy

En godtagbara användare policy (AUP) bör uppdateras till att omfatta IM och utfärdad på nytt för personal så att de är medvetna om ändringarna. 

Det bör uttryckligen framgå att IM-systemet inte får användas för att skapa eller distribuera av några kränkande eller stötande meddelanden, inklusive meddelanden som innehåller kränkande kommentarer om ras, kön, ålder, sexuell läggning, pornografi, religiös eller politisk övertygelse, nationellt ursprung eller funktionshinder. 

Det är också viktigt att nämna att de anställda inte bör använda IM för att diskutera konkurrenter, potentiella förvärv eller fusioner eller att ge sin åsikt om en annan organisation.

6. Utbilda personal om IM-användning

Utbildning i effektiv användning av IM i samband med arbetet är oerhört värdefullt, så att personal kan utbildas att ALDRIG skicka känsliga uppgifter och kan lära sig att signalera deras tillgänglighet och skilja mellan en yrkesrelaterad och en tillfällig konversation. 

Utbildning är lösningen till att få ut det bästa av snabbmeddelanden eftersom de mest betydande säkerhets¬riskerna alltid härrör från användarna - inte systemen. 

Detsamma gäller för produktivitet, även om säkerhetsåtgärder kan bidra till att motverka tidsslöseri är ett företags effektivitet betydligt mer knuten till faktorer såsom anställdas arbetsmoral och självdisciplin.

7. Andra säkerhetsfaktorer

IM-program måste uppdateras med de senaste säkerhetsuppdateringarna - snabb uppdatering är viktigt eftersom IM-klienter är ännu mer utsatta än webbläsare som smittspridningshot. 

Antivirus-skydd för både gateways och datorer är också en vettig försiktighetsåtgärd, liksom att skapa en IM-specifik ansvarsfriskrivning. Även om friskrivningar inte kan gå med varje konversation (som de kan med e-post), är alternativet att skapa en online ansvarsfriskrivning och inkluderar en hyperlänk vid inloggning. Som med e-post, är det också klokt att hålla antalet personer med tillgång till loggar till ett minimum, och att ni har tillräckligt med sekretess och säkerhetsavtal på plats med dessa individer.