Schema di Apple Kickback: non farlo accadere

Un responsabile della supply chain globale per Apple è stato arrestato in seguito all'accettazione di oltre $ 1 milione in tangenti e bustarelle. L'indagine di Apple si è concentrata su account personali di posta elettronica basati sul Web sul laptop emesso dal manager del responsabile e fornisce preziose lezioni per l'applicazione delle politiche e la protezione dei dati.

Il Wall Street Journal riporta che Paul Shin Devine sta affrontando sia un grande federale accusa della giuria e una causa civile da parte di Apple a seguito di un'indagine che ha coinvolto Devine per aver divulgato informazioni riservate a fornitori chiave per consentire loro di negoziare contratti migliori con Apple. In cambio, i fornitori di Apple hanno effettuato pagamenti a vari conti bancari creati a nome di Devine e sua moglie secondo l'accusa.

Apple sospettava che Devine stesse violando la politica aziendale e avviò un'indagine interna che rivelava messaggi e-mail sospette sul suo laptop aziendale utilizzando account personali su Hotmail e Gmail. Le e-mail hanno divulgato informazioni riservate e riservate ai principali fornitori Apple.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Apple merita alcuni complimenti per scoprire le presunte irregolarità, tuttavia Apple si è dimostrata più proattiva imporre la politica aziendale e monitorare le comunicazioni dei dipendenti per i dati sensibili Le azioni di Devine potrebbero essere state rilevate e prevenute molto prima. Alcune lezioni Gli amministratori IT e i professionisti della sicurezza possono imparare dallo schema di kickback Apple.

La maggior parte delle aziende utilizza politiche di utilizzo accettabili che disciplinano l'uso di computer, reti e comunicazioni aziendali e le politiche relative alla protezione dei dati sensibili e dati riservati. Ciò che manca alla maggior parte delle aziende, tuttavia, sono gli strumenti per monitorare o applicare tali politiche. I dipendenti non etici trovano rapidamente i modi per sfruttare il sistema d'onore.

Una soluzione sarebbe implementare la gestione dei diritti di Windows. Le autorizzazioni per file e cartelle sono in genere l'unica misura di sicurezza in atto per proteggere i dati sensibili. Alcuni dipendenti hanno accesso e altri no. Il problema con questo approccio è che non limita o controlla ciò che i dipendenti autorizzati fanno con i dati dopo averli acceduti.

Windows Rights Management Service (RMS) offre agli amministratori IT un controllo significativamente maggiore su ciò che accade ai dati una volta è accessibile. I diritti possono essere configurati per limitare la possibilità di modificare, stampare, inoltrare i dati via e-mail o altre azioni, e l'accesso può scadere. Ancora più importante, le restrizioni RMS rimangono con il file anche se è salvato su un'unità USB o memorizzato sul personal computer dell'utente.

Le aziende possono implementare un monitoraggio più completo utilizzando applicazioni come Spector 360 o Spector CNE da SpectorSoft. Questi strumenti sono in grado di acquisire ogni e-mail, inclusa la posta elettronica basata sul Web, le ricerche online, le chat di messaggistica istantanea, i tasti digitati, i siti Web visitati, le applicazioni utilizzate, i file accessibili e altro ancora. Il monitoraggio e le restrizioni possono essere configurati per l'azienda nel suo complesso, o per dipartimento, gruppo o singoli utenti.

Un'altra opzione potrebbe essere quella di utilizzare strumenti come Zgate o Zlock di Zecurion. Zgate monitora le comunicazioni e-mail e social network per rilevare e bloccare i tentativi, intenzionali o involontari, di trasmettere informazioni riservate o riservate, e Zlock limita l'uso di periferiche per archiviare o trasmettere tali dati.

Con Windows Rights Gestione in atto, a Devine potrebbe essere stato impedito di inoltrare informazioni protette via e-mail. Strumenti come Zgate o Zlock avrebbero impedito a Devine di salvare informazioni sensibili su una chiavetta USB, di stampare copie cartacee o di bloccare i tentativi di comunicarlo tramite e-mail o social network. Software come Spector 360 avrebbero catturato ogni dettaglio delle azioni di Devine - permettendo a Apple di contrastare il presunto comportamento non etico molto prima e dandogli gli strumenti per condurre rapidamente e facilmente un'indagine approfondita con la semplice pressione di un pulsante.

Implementare strumenti per automatizzare il monitoraggio e proteggere proattivamente i dati aziendali non significa necessariamente che l'azienda debba agire da Grande Fratello o spiare ogni azione dei dipendenti. La presenza di tali applicazioni, tuttavia, consente agli amministratori IT di accedere ai dettagli, se necessario, e fornisce gli strumenti per rilevare rapidamente e identificare comportamenti sospetti prima che diventi un caso federale oltre $ 1 milione in tangenti.