В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Исследования фирмы Vanson Bourne показали: 65% европейских CIO считают, что сотрудники делятся корпоративной информацией самыми быстрыми и простыми путями, регулярно обходя политики безопасности компании. 98% респондентов считают, что это вызвано плохим менеджментом идентификации и доступа, который позволяет сотрудникам пользоваться различными сайтами, как околорабочими.
Такие сайты, если использовать их за пределами корпоративного контроля, вполне заслуженно можно называть "теневыми IT", и BYOS (bring your own services) - наглядный тому пример. Сотрудники с геометрической прогрессией используют сервисы, разработанные третьей стороной, такие как Dropbox, чтобы перемещать данные, принадлежащие компании, на свои устройства, обходя охранные контуры компании.
Вот как описывают этот процесс многие СЕО: "Изначальная мотивация принести свое собственное устройство исходит от пользователя, не от IT. Причиной этого является то, что пользователи непрерывно ищут пути упрощения своей работы, и этот поиск для них вполне естественен. IT-департамент обычно изо всех сил борется с подобными стремлениями. Так что пока методология BYOD (Bring Your Own Device - "принести свое собственное устройство") не запрещена, IТ-специалисты будут тщетно бороться с утечками информации". В результате важнейшие данные компании могут оказаться доступными для кого угодно на сайтах, принадлежащих посторонним фирмам.
По данным Quest Software, за последние 12-18 месяцев 30% CIO передавали конфиденциальную информацию фирмы за пределы ее контуров безопасности, в то время как 25% этой информации было о ее клиентах и 23% - о финансах. Все эти данные стали достоянием общественности. Это обстоятельство дает дорогу множественным угрозам.
Рассмотрим потенциально слабые места в Акте о защите информации и о доступности ценных данных как для хакеров, так и для вредоносных программ, находящихся вне пределов систем безопасности организации. Не исключено, что сотрудник, покидая вашу фирму, автоматически берет каждый файл, который он загрузил на Dropbox, с собой.
Как результат еще большего учащения жалоб о потере корпоративной информации, 62% CIO были подвергнуты усилившемуся давлению за последний год в плане лучшей защиты данных компании. Опираясь на исследования Quest, наибольшее давление исходит от внутренних правовых отделов (41%), руководителей (40%) и управляющих (33%). Эксперты из Quest Software убеждены в том, что большинство систем безопасности не поддерживаются должным образом специалистами, и в большинстве случаев с этими системами работают технически не подкованные пользователи. Такие люди знают самые лучшие способы того, как можно распространить корпоративную информацию, и многие легко делают это, не задумываясь о последствиях. Также CIO предполагают, что самый первый и очевидный шаг - это вписать "Соглашение о неразглашении конфиденциальной информации" в контракт сотрудника. Но, разумеется, одного этого недостаточно. Недавнее исследование Nasuni показывает, что 20% всех сотрудников уже используют Dropbox, и 49% пользователей не соблюдают предписания IT-и ИБ-департаментов по безопасности, даже если проходят специальное обучение.
Как хранителям информации, СIO необходимо пересмотреть то, как они доставляют IT-cepвисы и инструменты для своих сотрудников таким образом, чтобы они удовлетворяли одновременно и требованиям конечного пользователя, и требованиям бизнеса - не содержали бы необоснованного риска. CIO и CISO также необходимо лучше обучать сотрудников, рассказывая им о рисках распространения корпоративной информации по неконтролируемым каналам.
По материалам
www.infosecuhty-magazine.com
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012