Cisco опубликовала свой третий - и последний - отчет о результатах глобального исследования утечек данных. Новый отчет посвящен "внутренним угрозам", т.е. угрозам потери корпоративной информации по вине самих сотрудников. В документе, подготовленном по результатам опроса более 2000 сотрудников и ИТ-специалистов из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии, сопоставляются озабоченности ИТ-профессионалов по поводу такого рода угроз и реальные поступки сотрудников, которые - случайно или умышленно - могут подорвать престиж компании и нанести ей колоссальный ущерб.
“Стирание границ между работой и домом, а также между частными и корпоративными данными означает, что данные могут быть получены, переданы, сохранены и выкрадены в любом месте и в любое время, - говорит главный директор Cisco по вопросам безопасности Джон Стюарт (John N. Stewart). – Это диктует необходимость изменения существующих подходов к защите информации. Мы все, от самой крупной корпорации до самого молодого индивидуального пользователя, должны соблюдать в этом деле дисциплину и постоянно держать в поле зрения эти проблемы. Как уже говорилось, данное исследование позволяет поднять информационную безопасность на новый уровень за счет концентрации усилий в области обучения, разработки правил и внедрения новых технологий”.
По мнению Дж. Стюарта, изменения должны начинаться с ИТ-отдела. Его сотрудники должны четко понимать, насколько поведение пользователей влияет на потерю данных. Один из самых примечательных результатов проведенного исследования состоит в том, что большинство ИТ-специалистов почему-то считают, что остальные сотрудники компании все лучше понимают риски в области безопасности и все старательнее защищают корпоративные данные. К примеру, четверо из каждых пяти ИТ-профессионалов в Китае и каждый второй во Франции убеждены, что за последние годы сотрудники компаний научились лучше защищать корпоративную информацию. Между тем, опросы самих сотрудников говорят совсем о другом, заставляя более трезво взглянуть на истинное положение вещей. Хотя большинство угроз корпоративной информации исходит извне, исследование показало, что “внутренние угрозы”, то есть случайное или преднамеренное разглашение корпоративной информации самими сотрудниками может нанести компании не меньший ущерб, чем атака извне.
Большинство ИТ-специалистов считает, что сами сотрудники компании могут подорвать безопасность корпоративных данных сильнее, чем посторонние. Главной причиной этого 39 процентов опрошенных ИТ-специалистов считают халатность сотрудников, а каждый пятый указал на угрозу потери данных из-за того, что тот или иной сотрудник по какой-то причине может почувствовать себя обиженным.
Каждый третий опрошенный ИТ-специалист считает портативные жесткие диски самой серьезной опасностью с точки зрения возможности утечки данных. Следом идут электронная почта (ее упомянули 25 процентов опрошенных ИТ-специалистов), потерянные и украденные устройства (19 процентов), разглашение информации в разговорах с посторонними лицами (8 процентов).
За год, предшествовавший исследованию, примерно каждый десятый опрошенный сотрудник вследствие потери или кражи лишился корпоративного устройства со своими личными данными и корпоративной информацией.
Практически каждый десятый опрошенный сотрудник (11 процентов) признался, что крал корпоративные данные и устройства для продажи либо знает других сотрудников, кто это делал с целью наживы. Это особенно характерно для Франции, где о таком поведении знает каждый пятый сотрудник (21 процент).
Некоторые сотрудники присваивают себе корпоративные устройства и продолжают пользоваться ими после ухода из компании, руководствуясь самыми разными побуждениями: “Взял устройство в личное пользование”, “Хотел отомстить своей бывшей компании”, “Компания все равно об этом не узнает.”
По мнению Джона Стюарта, чтобы свести угрозу потери данных до минимума и сократить соответствующие издержки, компании должны:
четко определить, какие именно данные нуждаются в защите;
не думать, что сотрудники сами знают, какие данные следует защищать;
распространить единую культуру безопасности на все подразделения компании;
обучать сотрудников всех подразделений единым правилам безопасного поведения и защиты данных;
поддерживать постоянный контакт с сотрудниками и знать особенности их работы.
Отправить комментарий