Самый большой риск для организации по-прежнему представляют ее сотрудники.
Таков вывод отчета, опубликованного в понедельник RSA, отделением безопасности компании ЕМС – производителя систем хранения данных.
Исследование проводилось в ноябре и заключалось в анкетировании работников государственных учреждений и штаб-квартир корпораций в Бостоне и Вашингтоне. «Результаты опроса подчеркивают, что угроза для конфиденциальных данных со стороны благонамеренных инсайдеров — сотрудников, подрядчиков, поставщиков, партнеров, посетителей и консультантов, которые имеют физический и/или логический доступ к ресурсам организации — в значительной мере дополняет угрозу со стороны инсайдеров злонамеренных, умышленно организующих утечку конфиденциальной информации в корыстных целях», — говорится в отчете.
В последнем перечне наиболее серьезных рисков для безопасности 2007 SANS Top 20 также отмечается, что наиболее слабым звеном в цепочке компьютерной безопасности остаются пользователи.
Какого рода рискованное поведение характерно для работников офисов? Около 52% сказали, что они иногда или часто обращаются к служебной электронной почте через компьютеры коллективного пользования, установленные в кафе, гостинице или аэропорту. А 56% иногда или часто забирают служебную почту через точки доступа беспроводных сетей. На вопрос: «Теряли ли вы когда-нибудь ноутбук, смартфон и/или флэш-диск USB с корпоративной информацией?» положительно ответили 8% респондентов. А 63% сказали, что они иногда или часто отправляют служебные документы на свой личный адрес e-mail, чтобы работать дома.
Хотя авторы отчета RSA полагают, что дополнительная технология безопасности позволяет уменьшить эти риски — как-никак, RSA продает такие продукты — они признают также, что винить за пренебрежение пользователей правилами безопасности отчасти следует самих создателей этих правил. «Организации могут уменьшить риск, разработав ИТ-правила безопасности, согласованные с требованиями и реалиями их бизнеса, — говорится в отчете. — Когда такие правила введены, необходимо постоянно контролировать фактическое поведение пользователей и вносить в эти правила разумные изменения, чтобы минимизировать риск и максимизировать производительность труда. Когда меры безопасности по возможности удобны для конечных пользователей, те реже будут их нарушать».
Однако на самом деле многие работники либо считают корпоративные правила безопасности неудобными, либо плохо их понимают. Около 35% опрошенных сказали, что для выполнения своей работы им приходится нарушать эти правила. Вице-президент RSA по управлению продуктами Сэм Керри отметил, что все респонденты — «добропорядочные люди, добросовестно выполняющие свою работу», и риски, возникающие ввиду их умышленного или случайного нарушения корпоративных правил, нельзя считать злым умыслом. «Процедуры безопасности должны учитывать реалии человеческого поведения», — говорит он.
Керри подчеркнул необходимость обучения пользователей, чтобы работники знали возможные последствия своих действий. Организациям необходимы инструменты для контроля за поведением сотрудников, помогающие выявить нестыковки между правилами и поведением. «Организации должны видеть, как люди ведут себя на самом деле», — говорит он.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале