Потеря контроля над собственной информацией

Исследования фирмы Vanson Bourne показали: 65% европейских CIO считают, что сотрудники делятся корпоративной информацией самыми быстрыми и простыми путями, регулярно обходя политики безопасности компании. 98% респондентов считают, что это вызвано плохим менеджментом идентификации и доступа, который позволяет сотрудникам пользоваться различными сайтами, как околорабочими.

Такие сайты, если использовать их за пределами корпоративного контроля, вполне заслуженно можно называть "теневыми IT", и BYOS (bring your own services) - наглядный тому пример. Сотрудники с геометрической прогрессией используют сервисы, разработанные третьей стороной, такие как Dropbox, чтобы перемещать данные, принадлежащие компании, на свои устройства, обходя охранные контуры компании.

Теневые IT

Вот как описывают этот процесс многие СЕО: "Изначальная мотивация принести свое собственное устройство исходит от пользователя, не от IT. Причиной этого является то, что пользователи непрерывно ищут пути упрощения своей работы, и этот поиск для них вполне естественен. IT-департамент обычно изо всех сил борется с подобными стремлениями. Так что пока методология BYOD (Bring Your Own Device - "принести свое собственное устройство") не запрещена, IТ-специалисты будут тщетно бороться с утечками информации". В результате важнейшие данные компании могут оказаться доступными для кого угодно на сайтах, принадлежащих посторонним фирмам.

По данным Quest Software, за последние 12-18 месяцев 30% CIO передавали конфиденциальную информацию фирмы за пределы ее контуров безопасности, в то время как 25% этой информации было о ее клиентах и 23% - о финансах. Все эти данные стали достоянием общественности. Это обстоятельство дает дорогу множественным угрозам.

Уязвимые места

Рассмотрим потенциально слабые места в Акте о защите информации и о доступности ценных данных как для хакеров, так и для вредоносных программ, находящихся вне пределов систем безопасности организации. Не исключено, что сотрудник, покидая вашу фирму, автоматически берет каждый файл, который он загрузил на Dropbox, с собой.

Как результат еще большего учащения жалоб о потере корпоративной информации, 62% CIO были подвергнуты усилившемуся давлению за последний год в плане лучшей защиты данных компании. Опираясь на исследования Quest, наибольшее давление исходит от внутренних правовых отделов (41%), руководителей (40%) и управляющих (33%). Эксперты из Quest Software убеждены в том, что большинство систем безопасности не поддерживаются должным образом специалистами, и в большинстве случаев с этими системами работают технически не подкованные пользователи. Такие люди знают самые лучшие способы того, как можно распространить корпоративную информацию, и многие легко делают это, не задумываясь о последствиях. Также CIO предполагают, что самый первый и очевидный шаг - это вписать "Соглашение о неразглашении конфиденциальной информации" в контракт сотрудника. Но, разумеется, одного этого недостаточно. Недавнее исследование Nasuni показывает, что 20% всех сотрудников уже используют Dropbox, и 49% пользователей не соблюдают предписания IT-и ИБ-департаментов по безопасности, даже если проходят специальное обучение.

Как хранителям информации, СIO необходимо пересмотреть то, как они доставляют IT-cepвисы и инструменты для своих сотрудников таким образом, чтобы они удовлетворяли одновременно и требованиям конечного пользователя, и требованиям бизнеса - не содержали бы необоснованного риска. CIO и CISO также необходимо лучше обучать сотрудников, рассказывая им о рисках распространения корпоративной информации по неконтролируемым каналам.

По материалам
www.infosecuhty-magazine.com