Впрочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполняют. Более половины опрошенных признались, что не всегда придерживаются корпоративных правил безопасности.
Опубликованный отчет Cisco продолжил целую серию исследований по вопросам утечек данных и типичных ошибок при работе с информацией. Данные о состоянии дел в области корпоративных правил информационной безопасности были получены в результате опроса более 2000 сотрудников и ИТ-специалистов из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. Исследование по заказу Cisco было проведено американской аналитической фирмой InsightExpress в условиях, когда потеря данных стала одной из самых острых проблем для современных предприятий (www.cisco.com/go/dlp). По мере стирания границ между работой и домом, роста популярности приложений для совместной работы и распространения мобильных устройств, эффективные правила (политики) безопасности приобретают критически важное значение для защиты конфиденциальных данных.
“Результаты исследования подчеркивают необходимость пересмотра корпоративной политики в сфере безопасности и методов доведения правил защиты информации до сотрудников компаний, - считает главный директор Cisco по информационной безопасности Джон Стюарт (John N. Stewart). - Если сотрудник считает такие правила помехой для повседневной работы и не понимает, чем грозит их нарушение, корпоративный регламент быстро перестает соблюдаться. Наши правила сплошь и рядом пишутся в форме жестких инструкций без объяснения причин, почему этих правил необходимо строго придерживаться. Между тем смысл правил информационной безопасности надо растолковывать и доводить до сотрудников - лишь в этом случае они поймут их важность и пользу. Взаимодействуя с сотрудниками и изучая особенности их работы, мы сможем разработать эффективные и реалистичные правила, тесно увязанные с общекорпоративной системой безопасности, и построить более безопасную рабочую среду”.
«В России многие компании и организации тоже разрабатывают концепции и политики безопасности, которые трудноприменимы на практике, а зачастую и просто несут на себе печать секретности, что не позволяет знакомить с основополагающими документами в области корпоративной безопасности сотрудников, от понимая и умения которых и зависит уровень защищенности бизнеса от различных угроз, включая утечки информации, - прокомментировал второй отчет компании Cisco по результатам глобального исследования утечек данных директор по развитию бизнеса Cisco в России Михаил Кристев. - Кроме того, существующие в нашей стране правила зачастую игнорируют такие аспекты информационной безопасности, как управление мобильными и портативными устройствами (смартфоны, флешки, iPod’ы и т.п.), управление удаленным доступом (в том числе и к сегментам АСУ ТП), управление защищенной удаленной поддержкой и аутсорсингом, управление модемными подключениями и т.д. А ведь известно, что защищенность любой организации равна защищенности самого слабого ее звена. Упущения в политике безопасности приводят к тому, что компании теряют свою информацию, а с ней и доходы, репутацию, доверие клиентов».
Результаты оценки правил безопасности на предприятиях
Как показало исследование, правила (политики) безопасности разработаны в большинстве компаний (77 процентов). Вместе с тем в каждой четвертой компании таких правил нет. Для этих компаний внедрение мобильности и методов совместной и распределенной работы чревато гораздо более серьезными негативными последствиями, чем для организаций, где вопросам о том, как и кому предоставлять доступ к корпоративным данным, приложениям и сетям, уделяется должное внимание. Отсутствие правил информационной безопасности особенно часто встречается в Японии (39 процентов опрошенных) и Великобритании (29 процентов).
Впрочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполняют. Более половины опрошенных признались, что не всегда придерживаются корпоративных правил безопасности. Больше всего таких сотрудников во Франции: там 84 процента респондентов указали, что иногда, а то и на регулярной основе, игнорируют принятые правила защиты данных. В Индии же лишь каждый десятый сотрудник (11 процентов) никогда или почти никогда не нарушает этих правил.
Исследование, организованное компанией Cisco, дает основание для вывода о том, что соблюдение или, наоборот, нарушение корпоративных правил информационной безопасности зависят от следующих факторов:
* Степень осведомленности. В зависимости от страны, число ИТ- специалистов, знающих правила безопасности, на 20-30 процентов превышает количество обычных сотрудников, знакомых с этими правилами. Наибольшой разрыв (31 процент) зафиксирован в США, Бразилии и Италии. Эти результаты лишний раз свидетельствуют о важности эффективного взаимодействия между ИТ-отделами и остальными подразделеними компаний.
* Коммуникация. 11 процентов опрошенных сотрудников заявили, что ИТ-отдел никогда не сообщает им о правилах безопасности и не проводит соответствующего обучения. Особенно часто подобные заявления делались в Великобритании (25 процентов респондентов) и Франции (20 процентов). Там же, где ИТ-специалисты оповещают сотрудников о правилах защиты информации, они зачастую делают это в неофициальной форме: устно, по электронной почте, с помощью всплывающих подсказок во время загрузки систем, через голосовую почту.
* Обновления. Трое из каждых четырех ИТ-специалистов (77 процентов) считают, что правила безопасности нужно обновлять чаще, чем это делается ныне. Это мнение разделяет почти половина (47 процентов) сотрудников других отделов. Особенно часто это требование высказывалось в Китае (91 процент респондентов) и Индии (89 процентов). Если сравнить эти показатели с данными предыдущих исследований, то обнаружится, что необходимость строгих корпоративных правил информационной безопасности особенно остро ощущается в странах с быстроразвивающейся экономикой, где полно молодых специалистов, впервые подключающихся к Интернету и другим сетям.
* Чрезмерные строгости. Большинство опрошенных сотрудников считает, что действующие в их компаниях правила носят чересчур запретительный характер. Это мнение доминирует в восьми из десяти стран, где проводилось исследование, и только в Германии и США пользователи придерживаются другого мнения. Так или иначе, в современном мире, где широко распространяются средства совместной работы, интерактивные приложения Web 2.0, видеотехнологии и мобильные устройства, компании должны защищать своих сотрудников и в то же время предоставлять им возможность пользоваться новыми технологиями, не раздражая специалистов слишком строгими запретами. Эта задача требует от информационно-технологических отделов не только технических знаний, но и немалого дипломатического искусства.
* Несоблюдение правил. Еще один важный результат исследования - различия во взглядах обычных сотрудников и информационно-технологических специалистов на причины несоблюдения правил информационной безопасности. По мнению ИТ-специалистов, сотрудники не соблюдают эти правила по самым разным причинам - от неспособности понять тяжесть последствий до общей апатии и безразличия. По мнению же самих сотрудников, главная причина несоблюдения правил кроется в том, что эти правила нереалистичны и мешают выполнять повседневные должностные обязанности. Такого мнения придерживаются двое из каждых пяти опрошенных сотрудников (42 процента). Примечательно, что в Германии, где большинство сотрудников считает корпоративные правила безопасности справедливыми, 55 процентов респондентов заявили о своей готовности их нарушить, если правила станут помехой для работы.
“Если сотрудники встают перед выбором: соблюдать правила безопасности, которые мешают работать, или нарушать их, - ИТ-отделу нужно крепко задуматься, - говорит Мари Хаттар (Marie Hattar), вице-президент Cisco по сетевым системам и решениям для безопасности. - ИТ-отдел должен менять правила безопасности, адаптируя их к реальным потребностям компании и ее сотрудников, иначе те будут попросту игнорировать эти правила, что резко увеличит риск потери данных и взлома систем безопасности”.
Исследование показало, что нарушения правил безопасности наносят вред не только самим компаниям: в каждом пятом случае утечки информации по вине того или иного сотрудника в руки злоумышленников попадали данные клиентов.
Одно найти легче, чем другое. Спойлер: это не темная материя