Viber поверява своята сигурност на български експерти
Viber е гратис приложение за известия и диалози, което посредством интернет (през Wi-Fi или през мобилен пакет с данни) разрешава на потребителите да споделят без значение от това къде по света се намират. Освен това Viber дава опция да се споделят стикери, емотикони, фотоси и видео клипове. Всички чатове и позвънявания в приложението са предпазени с вградено изцяло криптиране, а употребяващите услугата към този момент са над един милиард.
Визитка на ИТ плана
Име на плана : Анализ на сигурността на Viber
Възложител: Viber
Изпълнител: HeleCloud
Локация : София
Дата на пускане и привършване на плана: Работата по плана стартира през април 2018 и продължава в границите на шест седмици
Категория : ИТ план в чужбина
Основни провокации
Още от самото си основаване през 2010 израелската компания работи с Amazon Web Services (AWS) и е един от най-старите клиенти на облачната платформа. Но на фона на все по-големите потребителски критерии за сигурност и на новите регулаторни условия като регламента за отбрана на персоналните данни на Европейския съюз (GDPR) в Rakuten Viber осъзнават нуждата от в допълнение възстановяване на своите отбрани. Затова през април тази година те започват план в тази тенденция и избират да поверят виновната задача на българско-британската консултантска компания за облачни услуги HeleCloud.
Viber се стреми да съблюдава най-високи стандарти за сигурност за своите консуматори, тъй че отбраната на данните е главно условие за платформата на приложението. От компанията акцентират, че екипът на HeleCloud им е дал ясна и добре структурирана методология за оценяване на положението на системите от позиция на сигурност и сходство, както и практическа информация в подтекста на AWS платформата.
ИТ решение
Viber оперира в една много огромна среда и това носи своите провокации. От една страна, организацията би трябвало да отбрани данните на над един милиард свои консуматори, въпреки това, би трябвало да съблюдава и другите регулаторни условия в обособените страни по света. Влизането в действие на GDPR през май се оказва във фокуса на сегашния план за възстановяване на сигурността, защото регламентът е извънредно изчерпателен и измененията имат наложителен темперамент.
Партньорството сред екипите на HeleCloud и Viber продължава шест седмици, през които се правят оценка и оптимизация на положението на системите от позиция условията за сходство. След това двете компании дружно преглеждат и проучват платформата по отношение на най-хубавите практики за сигурност на AWS, AWS Well-architected Framework и AWS Cloud Adoption Framework. Също по този начин те правят оптимизация на GDPR средата; на контролите, употребявани от Viber в AWS платформата, както и на тяхната успеваемост.
В тази връзка от Viber желаят да бъдат оценени контролите, които са открили в организацията, от три разнообразни ъгъла – хора, процеси и технологии, с съответния фокус върху AWS. След това е бил направен разбор на обхватността (gap analysis) и е била открита какъв брой огромна е разликата сред настоящата реализация и условията на европейския правилник.
При множеството организации осведомителните системи се построяват напълно на база на техническия метод. Това важи в изключително огромна степен за платформата AWS, където се натъртва на принадлежности като Security Groups, Identity and Access Management и Virtual Private Cloud. Съответно множеството компании не се оправят добре, когато става дума за сигурност, обвързвана с процесите и чиновниците, виновни за поддръжката и ръководството на системите. Там нормално се следят много по-големи празнини освен при дизайна, само че и при реализацията. Такава се оказва и обстановката при Viber.
Именно и по тази причина от HeleCloud са приложили холистичен метод. От компанията изясняват, че без значение дали става дума за предотвратяване на персоналните данни или за по-генералната тематика за сходство в света на осведомителната сигурност, отбраната на една система е толкоз слаба, колкото е нейното най-слабо звено. Затова и нито една област не трябва да се пропуща или подценява, защото тя би могла да се експлоатира от чиновници с недобри планове към организацията, от външни страни, от хакери, от стимулирани деятели. Експертите предлагат постоянно методът да бъде изчерпателен, да няма фокус единствено върху технологиите, а да има и подобен във връзка с процесите и хората. Това ще даде опция на една организация да сътвори конструкция, която да улесни внедряването на осведомителна система от висок стандарт.
Ефект от ИТ решението
Работата и достиженията на целия екип се правят оценка извънредно високо от Viber. Платформата дефинира HeleCloud като способен, еластичен и благонадежден сътрудник и предлага техните услуги на други организации, които желаят да покачат своята сигурност в облачните си системи.
Всъщност екипът, работил по сигурността на Viber, е мултидисциплинарен и включва четирима консултанти с разнообразна експертиза – от отбраната на персоналните данни и GDPR до задълбочени механически знания и умения за AWS платформата. В плана взе участие и изпълнителният шеф на HeleCloud Добромир Тодоров. Неговите съществени отговорности са били да насочва плана в мечтаната посока и да дава рекомендации от високо равнище във връзка с това по какъв начин платформата да усъвършенства сигурността на своите системи и какви са празнините, които би трябвало да се отстранят.
Също по този начин в екипа изключително значима е била ролята на мениджъра по потребителско ангажиране, който през целия интервал на взаимна работа е осъществявал връзката с Viber и е проследявал отчетните резултати. Той е изготвил информационната конструкция на плана, което включва ежедневните срещи за обмяна на информация, инспекциите за постигнатия прогрес и даването на отчети към другите отдели в Rakuten Viber.
В допълнение от страна на HeleCloud вземат участие и двама инженери, които са основали скриптове за събиране, разкриване и разбор на информацията. Това е един значителен аспект от работата с световни компании като Viber, които разполагат нормално с десетки терабайти данни, за чиято обработка е належащо високо равнище на автоматизация. Чрез сходни скриптове могат да се изпращат милиони поръчки за един ден, да се получава и събира на едно място информацията, след което тя да бъде разчитана вярно и предоставяна на клиента в понятен тип.
Потенциал за развиване
При сходни планове огромно значение има броят на пазарите, на които компанията действа. Viber работи допълнително от един район и по тази причина тя би трябвало постоянно да бъде в сходство с непрестанно изменящите се регулаторни, бизнес и вътрешни стандарти. Ако GDPR се ползва в Европа, в други юрисдикции работят други закони. И когато една организация би трябвало да оперира в подобен световен мащаб, тя би трябвало да се откри най-малкото общо кратно при тези условия, тъй че системите да се осъществят по метод, който не опонира на стандартите в другите елементи на света. От HeleCloud са безапелационни, че това се реализира, като се вкарват набор от контроли за сходство. В допълнение, с цел да се покрият условията на съответното законодателство, се прибавят и обезщетителни контроли за всяка една от обособените юрисдикции.
Източник: computerworld.bg
КОМЕНТАРИ