«Иногда не мешает чуть-чуть нарушить правила безопасности»
Под таким заголовком опубликована статья в онлайновом издании Chief Security Magazine, May 25, 2017. Компания Software Advice (консалтинг для малого бизнеса по использованию интернет приложений «Бизнес разведка», «Автоматический маркетинг» и пр.) провела опрос более 100 работников в разных сферах бизнеса на предмет нарушений предписаний и инструкций по безопасности. В таких нарушениях признался каждый пятый. Вот чем они мотивируют и объясняют такое отношение:
· «Приходится делиться служебной информацией с потенциальным клиентом в целях успешного тестирования продаваемого продукта/услуги, зачастую без запроса разрешения»
· «Недовольство своей работой, компанией»
· «Иногда не мешает чуть-чуть нарушить правила безопасности»
· «Так много инструкций, что можно запутаться»
· «Чтобы преодолеть усталость, переутомление иногда необходимо отвлечься от дел, слазить в интернет, поиграть в разные игры»
Даниэль Харрис, аналитик Software Advice перечисляет наиболее часто встречаемые виды нарушений корпоративных инструкций:
1. Работники открывают фишинговые сообщения, так как не научены отличать их от служебной переписки.
2. Предпочитают хранить конфиденциальные данные наилегчайшим, но зачастую далеко не безопасным способом, если в компании отсутствует строгий контроль и персонал не учат мерам предосторожности.
3. Используют ресурсы компании для личных целей.
4. Вместо зашифрованной электронной переписки используют телефонный контакт. Так им проще и быстрее.
5. Неряшливо, небрежно обращаются со служебной информацией.
6. Обходят правила соблюдения авторских прав.
7. Инструкции нередко непонятны сотрудникам за пределами отдела ИТ.
Сегодняшний рынок предлагает набор программных продуктов, призванных минимизировать риски, связанные с нарушением инструкций по безопасности. В частности, ASG Technologies выпустила решение Data Intelligence, которое контролирует хранение корпоративных данных, их перемещение и использование.
Конечно, подобные программы не гарантируют предотвращение инсайдерских угроз. Но технологии разведки данных (Data Intelligence) составляют важнейший компонент внутреннего мониторинга инсайдерских рисков. Поскольку большинство нарушений правил работы в корпоративных сетях приходится на долю т.н. «привилегированных пользователей», обладающих широким доступом к базам данных, программные решения в автоматическом режиме отслеживают все операции с данными, фиксируя и сигнализируя об отклонениях от регламента.
|