Как персональный девайс способствует утечке данных

Человеческий фактор

За последний год 85% организаций по всему миру и 87% в Восточной Европе сталкивались с внутренними инцидентами информационной безопасности, которые в ряде случаев привели к потере конфиденциальной информации – таковы данные, полученные в ходе опроса Global Corporate IT Security Risks 2013, проведенного международной аналитической компанией B2B International совместно с «Лабораторией Касперского». Опрос также выявил три наиболее часто встречающиеся внутренние угрозы – уязвимости или ошибки в установленном программном обеспечении, случайные утечки данных по вине сотрудников и утеря или кража мобильных устройств.

Во многих компаниях по всему миру хорошо понимают важность превентивных мер для обеспечения информационной безопасности IT-инфраструктуры и применяют их с разной степенью интенсивности. С целью минимизации внутренних рисков безопасности 57% опрошенных организаций в Восточной Европе изолируют критически важные сети от остальных сетей, а 51% компаний разграничивают права доступа к различным элементам IT-инфраструктуры.

Однако многие компании признают, что существующих защитных мер недостаточно, а некоторые организации внедряют новые программные решения, которые позволяют применять политики безопасности и предоставляют дополнительную защиту от потери данных. Например, менее половины опрошенных используют контроль приложений и контроль устройств или внедряют антивирусные решения для мобильных устройств. Еще меньшее число организаций применяют решения для управления мобильными устройствами и их защиты (28%) или шифрование данных на съемных носителях (36%).

Еще одна проблема состоит в том, что сотрудники не всегда выполняют требования действующих в компании политик безопасности. Четкие санкции и дисциплинарные меры в случае их нарушения применяются менее чем в 32% в Восточной Европе (46% в мире). И только 33% респондентов (48% в мире)  заявили, что в их компаниях сотрудники понимают всю важность соблюдения политик безопасности.

Информация об инцидентах

Абсолютное большинство компаний, столкнувшихся с инцидентами в области информационной безопасности, не имело возможности сохранить информацию об этом событии в тайне из-за давления со стороны третьих сторон. Это в конечном итоге неминуемо приводило к серьезному удару по деловой репутации компании, выяснили специалисты авторитетного аналитического агентства B2B International в ходе опроса Global Corporate IT Security Risks 2013, проведенного совместно с «Лабораторией Касперского» среди представителей бизнеса по всему миру.

Публичное разглашение информации об инциденте информационной безопасности компании – зачастую неотвратимая процедура, которой не удается избежать большинству организаций. Как выяснили исследователи, в среднем 44% компаний, допустивших утечку, были вынуждены рассказать об инциденте собственным клиентам, которых мог коснуться инцидент; 34% уведомляли своих партнеров; 33% — поставщиков; 27% — регуляторов; 15% были обязаны уведомить об инциденте СМИ.

Крупные компании чаще других обязаны уведомлять третьи стороны о факте инцидента. Такие организации вынуждены сообщать о нем, прежде всего, регуляторам, клиентам и СМИ. Необходимость разглашения сведений закономерно ведет к серьезному репутационному урону, который несет компания. Нередко он сопровождается еще и финансовыми потерями, выраженными в оплате штрафов, наложенных регулятором, и компенсации потерь пострадавших от инцидента клиентов и партнеров.

Поскольку требования регуляторов, договорные обязательства перед клиентами и партнерами и другие факторы часто не позволяют компании сохранить в тайне информацию об утечке, единственным способом избежать урона, который нанесет разглашение такой информации – это не допустить сам инцидент информационной безопасности, выстроив защищенную IT-инфраструктуру.

Грамотная стратегия обеспечения защиты IT-инфраструктуры включает в себя, прежде всего, использование продвинутого защитного решения, такого, как Kaspersky Endpoint Security для бизнеса. Эта платформа включает в себя антивирусную защиту и технологии защиты от сложных целевых атак всей IT-инфраструктурой компании – физической, мобильной и виртуальной среды, а также средства управления, контроля и инструменты шифрования конфиденциальных сведений. Использование таких защитных решений, наряду с практикой образования персонала в области IT-угроз и применением политик IT-безопасности — перечень обязательных мер, которые обеспечат высокий уровень защиты IT-инфраструктуры компании от киберинцидентов и их последствий, включая финансовые и репутационные потери.

Обучение персонала

Большинство компаний поручают обучение персонала информационной безопасности сотрудникам своих внутренних IT-департаментов, вместо того, чтобы привлечь внешнего IT-консультанта или передать эту задачу внутренним отделам по подбору и развитию персонала. К такому выводу пришли специалисты международной аналитической компании B2B International в ходе опроса Global corporate IT security risks 2013, проведенного совместно с «Лабораторией Касперского» среди компаний по всему миру.

Обучение персонала в области IT-безопасности – важная составляющая грамотной стратегии защиты IT-инфраструктуры компании от киберугроз. По данным опроса, 4 из 5 внутренних инцидентов безопасности, которые происходили в компаниях чаще всего за последние 12 месяцев, были связаны с деятельностью сотрудников. Так, в Восточной Европе:

• 32% респондентов сообщили об имевших место случайных утечках конфиденциальных данных;
• 23% сообщили об утере сотрудниками корпоративных мобильных устройств с важной информацией;
• 21% столкнулись со случаями намеренной утечки данных;
• еще 17% компаний имели дело с инцидентами, в результате которых конфиденциальная информация попадала в чужие руки из-за некорректного использования мобильных устройств (через мобильный почтовый клиент, SMS и т.п.).

Исследования снова и снова показывают, что ошибки сотрудников ведут к значительной пропорции потерь критических данных и инцидентов в области ИТ-безопасности. Ключ в решению данной проблемы лежит в обеспечении хорошего понимания конечными пользователями рисков в области ИТ-безопасности и способов их избежать. На фоне возникающих инцидентов необходимость обучения персонала очевидна, однако кто должен передать необходимые знания?

Как выяснили специалисты из B2B International, большинство компаний считают, что этим должен заниматься IT-департамент организации, хотя его основные функции не связаны с образованием сотрудников. Дополнительная нагрузка оказывает влияние на производительность: респонденты отметили, что у IT-департамента, загруженного другими важными задачами, обычно нет времени на обучение сотрудников. Это очевидно может негативно сказываться на качестве исполнения «образовательной» задачи. Выходом из сложившейся ситуации могло бы стать привлечение стороннего IT-консультанта с нужной для обучения экспертизой. Однако этой возможностью воспользовались лишь 11% опрошенных компаний в Восточной Европе.

Департамент по подбору персонала занимается обучением сотрудников в 13% компаний, принявших участие в исследовании, а 11% компаний практикует делегирование этой задачи департаменту по обучению и развитию персонала. Около 3% респондентов сообщили, что доверяют эту задачу внешнему корпоративному провайдеру образовательных услуг.

Распределение сохраняется и от региона к региону, хотя и с некоторыми различиями. Так, например, самый высокий процент компаний, поручающих обучение персонала IT-департаменту, находится в странах Ближнего Востока (73%), Японии (72%) и Северной Америке (71%). Внешнего IT-консультанта чаще всего привлекают к обучению сотрудников компаний из Латинской Америки (16%) и Азиатско-Тихоокеанского региона.

В целом важность образования признает абсолютное большинство компаний, лишь 3% респондентов в Восточной Европе сообщили, что в их компаниях не практикуется обучение IT-безопасности. Однако качество корпоративного образования остается под вопросом – осведомленность сотрудников о киберугрозах напрямую влияет на уровень исполнения политик IT-безопасности, действующих в компании, и – как следствие – на общий уровень ее защищенности от киберугроз. Пока уровень исполнения политик сравнительно невысок – около 54% участников опроса сообщили, что сотрудники их компаний далеко не всегда уважают и прилежно исполняют корпоративные правила информационной безопасности.

Статья опубликована в журнале Телеком 3-4/2014

Владимир Табаков
Редакционный директор

  

Читайте також