Проблемы с безопасностью?

Статья Гастона Танойра (Gaston Tanoira),руководителя подразделения Cisco по продвижению продуктов информационной безопасности на быстроразвивающихся рынках.

«Сотрудники компаний во всех странах мира используют корпоративные сети для связи, совместной работы и доступа к данным. Компании, стремящиеся повысить производительность труда, понимают, что интеграция сетей может принести немалую пользу деловым процессам, и поощряют использование сотрудниками современных технологий беспроводной связи, в том числе через сети общего доступа. Производительность при этом действительно растет, но совместная работа в сетях выводит корпоративные данные во внешнюю среду, где данные становятся более уязвимыми, а возможностей для их защиты меньше. 
 
Уязвимость данных особенно опасна: сегодня потеря или кража данных ведет к гораздо более серьезным последствиям, чем раньше. Утрата интеллектуальной собственности (конфиденциальных данных о будущих продуктах, финансовой информации, планов слияний и поглощений) подрывает репутацию компании, наносит ущерб ее торговой марке и снижает конкурентоспособность. Нарушения нормативных требований к защите пользовательских данных подрывают доверие со стороны заказчиков и приводят к серьезным штрафным санкциям. 

 Некоторые компании разрабатывают правила информационной безопасности и рассказывают сотрудникам о рисках потери данных, но эффективность этих мер вызывает сомнение. Чтобы сократить утечки данных и надежно защитить корпоративную информацию, ИТ-отделы должны понять, каким образом поведение сотрудников повышает уровень риска. Кроме того, нужно формировать корпоративную культуру, включающую ответственное поведение пользователей и соблюдение ими всех правил и процедур. 

 Чтобы лучше понять, какие действия пользователей повышают уровень риска для корпоративных активов, Cisco провела исследование типичных ошибок, допускаемых сотрудниками компаний по всему миру*. Выяснилось, что сотрудники зачастую предпринимают странные действия, подвергающие риску корпоративные данные и активы, несмотря на то, что в компаниях разработаны четкие правила с описанием правильного поведения. Вот лишь некоторые случаи, при которых сотрудники — умышленно или неумышленно — теряют данные или допускают их утечку:  
• использование несанкционированных приложений; 
• неправильное использование корпоративных компьютеров; 
• несанкционированный доступ к сетям и физическим устройствам; 
• работа в удаленном режиме с низким уровнем безопасности; 
• халатное отношение к паролям и процедурам входа в систему и выхода из нее. 
 
Интересно было бы взглянуть на статистику, показывающую, сколько сотрудников подвергают опасности корпоративные данные своим безответственным поведением, но гораздо важнее понять, как изменить это поведение и повысить безопасность ценной информации. Для этого компания должна понять, что думают ее сотрудники о безопасности и почему они игнорируют или обходят корпоративные процедуры. 

 Наше исследование вышло за рамки сбора статистических данных. Мы стали спрашивать сотрудников, почему они ведут себя именно так, а не иначе, подвергая риску корпоративные данные. Выяснилось, что иногда повышение уровня риска было неумышленным и вызывалось финансовыми соображениями: нам говорили о том, что дешевле пользоваться не своим домашним компьютером, а предоставленной работодателем машиной, которой можно пользоваться и у себя дома. Это особенно распространено в странах, где большие семьи живут вместе. Но если корпоративным компьютером пользуется вся семья, то доступ к корпоративным данным могут получить не только сотрудники компании, но и совершенно посторонние люди. 
 
В других случаях проблема состоит в том, что сотрудник умышленно крадет информацию. Если сотруднику не нравится его работа, если его обидел начальник и он хочет ему "отомстить", то такой человек становится "внутренней угрозой", поскольку он может преднамеренно испортить или украсть ваши данные. 

Иногда, несмотря на все усилия ИТ-отдела, некоторые сотрудники так и не усваивают всех тонкостей процедур безопасности, разработанных для рабочей среды. В результате возникает существенная разница между тем, как ИТ-отдел описывает процедуры использования коммуникационных услуг, и тем, как эти услуги используются на практике. Результаты исследования Cisco свидетельствуют о том, что, несмотря на предпринимаемые многими компаниями меры по предотвращению утечек данных, их усилия не дают желаемого результата. 

На рынке нет "волшебного" решения для стопроцентной защиты корпоративных данных, особенно, сейчас, когда компании и их данные становятся все более мобильными и начинают работать в виртуальных, а не физических границах. Наиболее эффективный метод предотвращения утечек состоит в непрерывной работе и комплексном, стратегическом подходе к вопросам безопасности. 

Многие компании ошибаются, полагаясь в этой области исключительно на технологию или начиная проект укрепления безопасности с крупных технологических внедрений. Даже самая лучшая в мире технология безопасности не даст должных результатов без фундамента из процессов, правил и обучения. Для начала компании следует изучить поведение своих сотрудников и то, какое влияние на безопасность оказывают местные факторы и общий ландшафт сетевых угроз. После этого следует приступать к ознакомлению сотрудников с проблемами угроз и бизнес-процессами, учитывающими эти факторы. И лишь тогда можно вкладывать средства в приобретение и внедрение необходимых технологий. Именно такой комплексный подход может обеспечить вашу безопасность в долгосрочной перспективе. Он создает основу для оценки рисков, вызываемых каждым случаем взаимодействия между пользователями и сетями, оконечными устройствами, приложениями, данными и, естественно, другими пользователями. А самое важное — безопасность становится неотъемлемой частью не только информационно-технологической, но и корпоративной культуры. 

 Вот несколько принципов, которые помогут вам предотвратить утечку данных:  
• знайте свои данные и хорошо ими управляйте; 
• храните корпоративные данные как самый драгоценный актив; 
• сделайте безопасное поведение неотъемлемой частью бизнес-процессов; 
• формируйте культуру и среду открытости и доверия; 
• сделайте обучение сотрудников вопросам безопасности частью своего бизнеса. 
 
Предотвращение утечки данных — проблема всего бизнеса в целом. Чем больше людей — от ИТ-специалистов до высших руководителей и людей на всех уровнях корпоративной иерархии — будут об этом знать, тем успешнее будет организована защита критически важных активов в вашей компании. Конечная цель этой работы состоит в том, чтобы все сотрудники на всех уровнях твердо знали, что защита корпоративных данных имеет огромное значение, понимали правила и процедуры безопасного поведения и постоянно соблюдали их в своей повседневной работе. Это не просто культурный сдвиг, а непрерывный процесс, на который, согласно результатам исследования Cisco, компании всего мира должны выделять больше средств. Уделяя этому вопросу достаточно внимания и ресурсов, компания может сократить вероятность утечки данных. Такой результат стоит ваших усилий». 

* Подробнее об этом – на странице http://www.cisco.com/web/RU/news/releases/txt/2008/112708.html
Полный текст исследования опубликован в разделе http://cisco.com/en/US/solutions/collateral/ns170/ns896/ns895/white_paper_c11-499060.html.

Orphus system