Du tenker kanskje at å stenge IM off er svaret på alle mulige sikkerhetsproblem, fordi det skaper for mange sikkerhetshull og kan føre til tap av produktivitet. Men du er for sent for at løsningen allerede; det er en god innsats at CEO bruker IM til å kommunisere med noen av selskapets største kunder.

Faktum er at IM er her for bedre eller verre. Du ville ikke stenge e-post eller telefon-systemet, og IM er også en del av organisasjonens kommunikasjonsinfrastruktur, komplett med sikkerhetshull og misbruk potensial. Så bøye seg for det uunngåelige, behandle det på samme måte som du ville e-post. Du må komme opp med en sikkerhetspolicy for direktemelding bruk

IM-bruk skaper en rekke felles sikkerhetsproblemer som du bør være klar.
Direktemeldingsklienter skape en vedvarende forbindelse gjennom en rekke porter. Dette multiple-port tilgjengelighet gjør IM vanskelig å blokkere og overvåke, og det åpner datamaskinen til ormer.
Nesten alle IM-klienter støtter peer-to-peer fildeling, slik at en mulig bakdør til datamaskinens filer.
IM trafikken sendes i klartekst, slik at ondsinnede hackere kan bruke pakken snuse å stjele informasjon som sendes over IM eller for å få kontoinformasjon som kan brukes til å etterligne en bruker.

Du kan lese mer om IM sikkerhetsproblemer i denne artikkelen av Neal Hindocha.

Så, bortsett fra implementering av ny teknologi for å overvåke eller kryptere meldingstrafikk, må du få et håndtak på IM ved å skrive det inn i en sikkerhetspolitikk. Her er noen ting å tenke på når du skriver politikken:
Er IM for internt bruk? Selskaper har kjempet med å begrense andre kommunikasjonsenheter bruk til virksomheten bare. Du kan lage en sak som brukerne ikke trenger direktemeldinger for å kommunisere utenfor organisasjonen.
Hvem kan bruke IM? Noen avdelinger, helpdesk, for eksempel, kan ha mer av en bedrift trenger for IM enn andre, som finans. Bestem om IM er en nødvendighet for alle i selskapet.
Hvilken IM klienten vil du bruke? Direktemeldinger sendes over private nettverk ved hjelp av ulike, ikke-kompatible protokoller, slik at du virkelig bør ha bare en IM-klient. Hvis IM kommer til å bli brukt som en bedrift kommunikasjonsverktøy, er det fornuftig at alle bør være på samme nettverk.
Vil filoverføring få lov? Interne brukere har mange måter å overføre andre enn over IM-filer. Disallowing filoverføringsalternativene vil redusere noen av de sikkerhetsrisikoer.
Tenk på identitetsforvaltning. Hvis du bruker IM til å kommunisere utenfor selskapet, er brukere pålagt å bruke et håndtak som identifiserer dem som en ansatt i selskapet? Er selskapet bruker-IDer forskjellig fra personlige seg? Dette er viktig, fordi hvis du ikke har et middel for å administrere IM identiteter, kan tidligere ansatte fortsette å bruke sine IM-konto IDer.
Følge lovbestemmelser. Mange bransjer krever logging eller kryptering av all kommunikasjon. Du må kanskje begrense IM bruk før hjelp av arkivering eller kryptering kan utarbeides.

IM har eksistert en god stund, men sammenlignet med e-post, det er fortsatt i sin spede begynnelse, men det er ingen grunn til ikke å være proaktive i å gjenkjenne ubiquity av IM og tiltak å redusere sine sikkerhetsrisikoer.

Om forfatteren
Benjamin Vigil er en teknisk redaktør i SearchSecurity.com.