Cisco: ¬ четверти компаний отсутствуют правила »Ѕ

image

“еги: Cisco, информационна€ безопасность, новость

¬прочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполн€ют. Ѕолее половины опрошенных признались, что не всегда придерживаютс€ корпоративных правил безопасности.

 омпани€ Cisco выпустила второй отчет по результатам глобального исследовани€ утечек данных. ¬ новом отчете оцениваетс€ эффективность корпоративных правил информационной безопасности и называютс€ причины, по которым сотрудники игнорируют эти правила. »сследование поможет »“-отделам в разных странах правильно оценить факторы риска и разработать эффективные правила безопасности, соответствующие реальным услови€м работы специалистов.

ќпубликованный отчет Cisco продолжил целую серию исследований по вопросам утечек данных и типичных ошибок при работе с информацией. ƒанные о состо€нии дел в области корпоративных правил информационной безопасности были получены в результате опроса более 2000 сотрудников и »“-специалистов из јвстралии, Ѕразилии ¬еликобритании, √ермании, »ндии, »талии,  ита€, —Ўј, ‘ранции и японии. »сследование по заказу Cisco было проведено американской аналитической фирмой InsightExpress в услови€х, когда потер€ данных стала одной из самых острых проблем дл€ современных предпри€тий (www.cisco.com/go/dlp). ѕо мере стирани€ границ между работой и домом, роста попул€рности приложений дл€ совместной работы и распространени€ мобильных устройств, эффективные правила (политики) безопасности приобретают критически важное значение дл€ защиты конфиденциальных данных.

“–езультаты исследовани€ подчеркивают необходимость пересмотра корпоративной политики в сфере безопасности и методов доведени€ правил защиты информации до сотрудников компаний, - считает главный директор Cisco по информационной безопасности ƒжон —тюарт (John N. Stewart). - ≈сли сотрудник считает такие правила помехой дл€ повседневной работы и не понимает, чем грозит их нарушение, корпоративный регламент быстро перестает соблюдатьс€. Ќаши правила сплошь и р€дом пишутс€ в форме жестких инструкций без объ€снени€ причин, почему этих правил необходимо строго придерживатьс€. ћежду тем смысл правил информационной безопасности надо растолковывать и доводить до сотрудников - лишь в этом случае они поймут их важность и пользу. ¬заимодейству€ с сотрудниками и изуча€ особенности их работы, мы сможем разработать эффективные и реалистичные правила, тесно ув€занные с общекорпоративной системой безопасности, и построить более безопасную рабочую среду”.

«¬ –оссии многие компании и организации тоже разрабатывают концепции и политики безопасности, которые трудноприменимы на практике, а зачастую и просто несут на себе печать секретности, что не позвол€ет знакомить с основополагающими документами в области корпоративной безопасности сотрудников, от понима€ и умени€ которых и зависит уровень защищенности бизнеса от различных угроз, включа€ утечки информации, - прокомментировал второй отчет компании Cisco по результатам глобального исследовани€ утечек данных директор по развитию бизнеса Cisco в –оссии ћихаил  ристев. -  роме того, существующие в нашей стране правила зачастую игнорируют такие аспекты информационной безопасности, как управление мобильными и портативными устройствами (смартфоны, флешки, iPod’ы и т.п.), управление удаленным доступом (в том числе и к сегментам ј—” “ѕ), управление защищенной удаленной поддержкой и аутсорсингом, управление модемными подключени€ми и т.д. ј ведь известно, что защищенность любой организации равна защищенности самого слабого ее звена. ”пущени€ в политике безопасности привод€т к тому, что компании тер€ют свою информацию, а с ней и доходы, репутацию, доверие клиентов».

–езультаты оценки правил безопасности на предпри€ти€х

 ак показало исследование, правила (политики) безопасности разработаны в большинстве компаний (77 процентов). ¬месте с тем в каждой четвертой компании таких правил нет. ƒл€ этих компаний внедрение мобильности и методов совместной и распределенной работы чревато гораздо более серьезными негативными последстви€ми, чем дл€ организаций, где вопросам о том, как и кому предоставл€ть доступ к корпоративным данным, приложени€м и сет€м, удел€етс€ должное внимание. ќтсутствие правил информационной безопасности особенно часто встречаетс€ в японии (39 процентов опрошенных) и ¬еликобритании (29 процентов).

¬прочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполн€ют. Ѕолее половины опрошенных признались, что не всегда придерживаютс€ корпоративных правил безопасности. Ѕольше всего таких сотрудников во ‘ранции: там 84 процента респондентов указали, что иногда, а то и на регул€рной основе, игнорируют прин€тые правила защиты данных. ¬ »ндии же лишь каждый дес€тый сотрудник (11 процентов) никогда или почти никогда не нарушает этих правил.

»сследование, организованное компанией Cisco, дает основание дл€ вывода о том, что соблюдение или, наоборот, нарушение корпоративных правил информационной безопасности завис€т от следующих факторов:

* —тепень осведомленности. ¬ зависимости от страны, число »“- специалистов, знающих правила безопасности, на 20-30 процентов превышает количество обычных сотрудников, знакомых с этими правилами. Ќаибольшой разрыв (31 процент) зафиксирован в —Ўј, Ѕразилии и »талии. Ёти результаты лишний раз свидетельствуют о важности эффективного взаимодействи€ между »“-отделами и остальными подразделеними компаний.

*  оммуникаци€. 11 процентов опрошенных сотрудников за€вили, что »“-отдел никогда не сообщает им о правилах безопасности и не проводит соответствующего обучени€. ќсобенно часто подобные за€влени€ делались в ¬еликобритании (25 процентов респондентов) и ‘ранции (20 процентов). “ам же, где »“-специалисты оповещают сотрудников о правилах защиты информации, они зачастую делают это в неофициальной форме: устно, по электронной почте, с помощью всплывающих подсказок во врем€ загрузки систем, через голосовую почту.

* ќбновлени€. “рое из каждых четырех »“-специалистов (77 процентов) считают, что правила безопасности нужно обновл€ть чаще, чем это делаетс€ ныне. Ёто мнение раздел€ет почти половина (47 процентов) сотрудников других отделов. ќсобенно часто это требование высказывалось в  итае (91 процент респондентов) и »ндии (89 процентов). ≈сли сравнить эти показатели с данными предыдущих исследований, то обнаружитс€, что необходимость строгих корпоративных правил информационной безопасности особенно остро ощущаетс€ в странах с быстроразвивающейс€ экономикой, где полно молодых специалистов, впервые подключающихс€ к »нтернету и другим сет€м.

* „резмерные строгости. Ѕольшинство опрошенных сотрудников считает, что действующие в их компани€х правила нос€т чересчур запретительный характер. Ёто мнение доминирует в восьми из дес€ти стран, где проводилось исследование, и только в √ермании и —Ўј пользователи придерживаютс€ другого мнени€. “ак или иначе, в современном мире, где широко распростран€ютс€ средства совместной работы, интерактивные приложени€ Web 2.0, видеотехнологии и мобильные устройства, компании должны защищать своих сотрудников и в то же врем€ предоставл€ть им возможность пользоватьс€ новыми технологи€ми, не раздража€ специалистов слишком строгими запретами. Ёта задача требует от информационно-технологических отделов не только технических знаний, но и немалого дипломатического искусства.

* Ќесоблюдение правил. ≈ще один важный результат исследовани€ - различи€ во взгл€дах обычных сотрудников и информационно-технологических специалистов на причины несоблюдени€ правил информационной безопасности. ѕо мнению »“-специалистов, сотрудники не соблюдают эти правила по самым разным причинам - от неспособности пон€ть т€жесть последствий до общей апатии и безразличи€. ѕо мнению же самих сотрудников, главна€ причина несоблюдени€ правил кроетс€ в том, что эти правила нереалистичны и мешают выполн€ть повседневные должностные об€занности. “акого мнени€ придерживаютс€ двое из каждых п€ти опрошенных сотрудников (42 процента). ѕримечательно, что в √ермании, где большинство сотрудников считает корпоративные правила безопасности справедливыми, 55 процентов респондентов за€вили о своей готовности их нарушить, если правила станут помехой дл€ работы.

“≈сли сотрудники встают перед выбором: соблюдать правила безопасности, которые мешают работать, или нарушать их, - »“-отделу нужно крепко задуматьс€, - говорит ћари ’аттар (Marie Hattar), вице-президент Cisco по сетевым системам и решени€м дл€ безопасности. - »“-отдел должен мен€ть правила безопасности, адаптиру€ их к реальным потребност€м компании и ее сотрудников, иначе те будут попросту игнорировать эти правила, что резко увеличит риск потери данных и взлома систем безопасности”.

»сследование показало, что нарушени€ правил безопасности нанос€т вред не только самим компани€м: в каждом п€том случае утечки информации по вине того или иного сотрудника в руки злоумышленников попадали данные клиентов.


или введите им€

CAPTCHA
04-11-2008 12:09:51
1) ...  оммуникаци€. 11 процентов опрошенных сотрудников за€вили, что »“-отдел никогда не сообщает им о правилах безопасности и не проводит соответствующего обучени€ ... „то касаетс€ доведени€ правил безопасности до сотрудников: разъве этим должен заниматьс€ IT-отдел ? 2) ... „резмерные строгости. Ѕольшинство опрошенных сотрудников считает, что действующие в их компани€х правила нос€т чересчур запретительный характер ... Ѕольшинство заключенных считают, что охранники чрезмерно строго себ€ ведут. Ќе выпускают их за пределы тюрьмы. ќхранникам следует задуматьс€ об удобствах дл€ заключенных ! 3) ... Ќесоблюдение правил ... ... ≈сли сотрудники встают перед выбором: соблюдать правила безопасности, которые мешают работать, или нарушать их, - »“-отделу нужно крепко задуматьс€ ... „то за бред он несет ? Ћюбому нормальному IT-нику известно что правила безопасности мешают работать. „ем больше безопасности, тем больше мешают. ј если правила не мешают работать и любой может делать любое действие - то это значит нет никакой безопасности.  ороче какой-то маркетинговый бред.
0 |
74464
04-11-2008 13:10:35
>разъве этим должен заниматьс€ IT-отдел ? Ќет. Ќо,к сожалению, во многих организаци€х этим занимаетс€ или пытаетс€ заниматьс€ »“ отдел
0 |
ha
04-11-2008 16:05:04
“очно поэтому правило безопасности должно быть одно - нельз€ включать компьютер. “огда никто работать не сможет и все будут счастливы.
0 |
Police
05-11-2008 16:37:36
ј по лбу? Outlook работает? „то? јааа.. фотографии не можешь отправить? Ѕедн€га... „то? ѕочти все контакты в ICQ не работают? “е, что дл€ работы нужны - работают, а остальные.. таак.. посмотрим... "-> лил€: ну и жопа у теб€ на фото! ј, это тво€ одноклассница —вета! ясно.". Ёто нам не нужно... "<- ћаша: —лушай анекдот: ". Ёто нам то же не нужно... [далее в том же репертуаре]. „то? ќдноклассники не работают? Ћична€ жизнь? Hey you, employee! Do your job and shut up! –јЅќ“ј - не место дл€ личной жизни. » никого ниипет, что ты - сраный манагер и быть тебе таковым в поколени€х и нет у теб€ больше ни времени, ни денег... Shut up [удар электрошоком].  у! [в рацию-браслет на руке] Welcome! Welcome to Domain 17! It's safer here. It's so safer...
0 |
—тарый хрен
04-11-2008 17:17:42
ѕросто это реклама дети покупайте втридорога железки от cisco и будет вам щастье
0 |
53238
04-11-2008 17:56:17
плюспеццот. стать€ заказна€!
0 |
ййййййй
04-11-2008 22:47:11
ƒык раз они дорого сто€т, значит супер пупер железки? ј если не так, то нафик тода покупают?
0 |
ёрок
05-11-2008 03:20:40
ƒа нет, это ты ребенок. ѕокажи, где здесь реклама cisco? ¬ принципе, они говор€т правильно. ¬ отношении же того, кто должен доводить правила безопасности до пользователей, именно IT-шники должны разрабатывать такие правила, и именно они же и должны объ€сн€ть, какой вред может принести притащенна€ на флешке сторонн€€ программулина. ј кто еще сможет авторитетно объ€снить подобные вещи? ƒиректор? ” него и без того проблем выше крыши. —лужба безопасности? Ќо в их об€занности входит обеспечивать физическую безопасность конторы. ≈сли же они полезут в компьютерную безопасность, будет только хуже.
0 |
49853
05-11-2008 08:57:06
¬ принципе, они говор€т правильно. Ќет.¬ отношении же того, кто должен доводить правила безопасности до пользователей, именно IT-шники должны разрабатывать такие правила, и именно они же и должны объ€сн€ть, какой вред может принести притащенна€ на флешке сторонн€€ программулина.Ѕред собачий.   каждого сотрудника есь начальник, который отвечает за все аспекты работы своих сотрудников и именно он и должен разь€сн€ть. IT отдел никому и ничего не должен, он только разрабатывает правила, а утверждает их самый главный.   тому же дл€ обычных макак эти правила разрабатываютс€ в виде приложений к должностной инструкции и по идее макака должна просто испольн€ть то что там написано! Ќикто же не обь€сн€ет сотруднику, что ему надо делать по своим об€занност€м, он просто все делает по инструкции и нкакого в принципе понимани€ дл€ этого не нужно. ѕросто в этих инструкци€х помимо самих правил должны оговариватьс€ и санкции за их нарушени€ точь в точь как в длжностной инструкции. ј когда нет страха, все обь€снени€ просто бесполезны, к тому растолковать криворукой макаке принципы »Ѕ порой не легче, чем обучить медвед€ есздить на велосипеде. ѕо личному опыту, как только в приложении к должностной инструкции по€вились санкции за их нарушени€ инциндентов с »Ѕ и не только с »Ѕ но и вобще по работе с компами стало в –ј«џ меньше. ј кто еще сможет авторитетно объ€снить подобные вещи? Ќикто никому ничего не должен, если работник не в состо€нии выполнить то, что от него требуют то он должен быть просто уволен за несоответсвие должности.≈сли же они полезут в компьютерную безопасность, будет только хуже. ¬ы видимо никогда не работали в крупной компании. “ак вот, во многих компани€х отдел или представитель »Ѕ структурно входит в —Ѕ.
0 |
Legat
05-11-2008 10:41:33
ѕозволю себе с ¬ами не согласитс€, ¬ы перепутали теплое с м€гким. »“ действительно не должен морочить себе голову объ€снени€м. Ќо »Ѕ - да. ’ороший отдел »Ѕ должен включать в себ€ не только грамотных технарей но и людей которые шар€т в организационных вопросах, в том числе и в лекци€х дл€ персонала, о вреде того-то и того-то. ќхота, как известно, пуще неволи и уволить исполнительного директора за то что он нарушил написанную ¬ами инструкцию "не лезь на порносайт" у ¬ас не выйдет. –аньше увол€т ¬ас. ј ведь это касаетс€ не только директоров.
0 |
69748
05-11-2008 14:35:13
»Ѕ - да. ’ороший отдел »Ѕ должен включать в себ€ не только грамотных технарей но и людей которые шар€т в организационных вопросах, в том числе и в лекци€х дл€ персонала, о вреде того-то и того-то.ѕожалуйста, примеры можно, того, где »Ѕ отдел или представитель занимаетс€ просв€тительской работой? ’отелось бы на это посмотреть. ќхота, как известно, пуще неволи и уволить исполнительного директора за то что он нарушил написанную ¬ами инструкцию "не лезь на порносайт" у ¬ас не выйдет.ƒа нет .—корее у исполнительного директора не выйдет зайти на порносайт.  стати у мен€ такой случай был, и никто мен€ не уволил, а исполнительный директор больше не мог попасть на порносайт, это собственно был и не порносайт вовсе, а так малость скарабезный, но ничего, он это восприн€л с пониманием.  стати, никто и никогда не пишет такого идиотства типа "посещать порносайты запрещено".  ак правило, формулировка более обтекаема, что-то типа запрещаетс€ посещать ресурсы, не св€заные с выполн€емой работой или использовать корпоративный доступ в интернет в личных цел€х.
0 |
Legat
05-11-2008 15:34:25
я занималс€ просветительской работой. ’от€ бы с директорами, которые очень хотели себе права локального админа. Ёто к примеру. ..доступ в интернет в личных цел€х... ћожно закрыть доступ к порносайтам, но Ќ≈Ћ№«я позакрывать пользовател€м все способы создать инцидент. ѕоэтому нужна добра€ вол€ и минимальное осознание зачем это все делаетс€
0 |
44932
05-11-2008 17:17:12
я занималс€ просветительской работой. ’от€ бы с директорами, которые очень хотели себе права локального админа. Ёто к примеру. Ќи о чем, слив засчитан.
0 |
йа
05-11-2008 09:26:13
ѕ»ј–! сразу пон€л до прочтени€ что в стаьте бред всивой кабылы. ѕроще написать большими жирными буквами "ѕокупайте циско и только циско" и не нада русским люд€м ибать моск американской ватой! ƒжон —тюарт сплюнь!
0 |
star76
05-11-2008 16:34:58
Ќе нашел в этой статье никаких откровений. ¬сем итак €сно, что чем строже правила тем больше людей они напр€гают. ≈динственна€ хороша€ мысль в статье, что с людьми надо работать, надо уметь объ€сн€ть зачем это все нужно. Ѕезопасников не должны бо€тьс€, а должны понимать, чем обусловлена их работа. Ќу и конечно уровень IT безопасности должен соответствовать бизнес-требовани€м. Ќе нужно закручиывать гайки там, где риски потерь малы.
0 |