Під час опитування Infosecurity Europe 2014, проведеного Британським інститутом стандартизації (BSI), 37% респондентів висловилися про те, що основною проблемою для їх компаній є власні службовці. Співробітників, які можуть завдати шкоди корпоративним інтересам, побоюються навіть більше, ніж кібератак: 15% учасників опитування побоюються персональних мобільних девайсів, які службовці приносять з собою в офіс.
Зверніть увагу, що на сайті Т-оил ви можете детальніше дізнатися про продажу якісних нафтопродуктів вже зараз.
Сьюзен Фріббінс, експерту BSI з питань оцінки ризиків, ці дані не здалися чимось дивним. За її словами, інсайдери — головна небезпека для інформаційної безпеки, оскільки людський фактор все ще неможливо врахувати заздалегідь. «Службовці, що піддають ризику компанію, не обов’язково повинні бути налаштовані якось вороже; вони можуть і не віддавати собі звіт про наявність потенційних ризиків. Проведені дослідження вказують на те, що ефективна підготовка персоналу вдвічі скорочує кількість витоків з боку інсайдерів. Це досягається за рахунок розуміння співробітниками важливості питання про інформаційну безпеку і їх власної ролі», — пояснює Фріббінс.
В інтерв’ю виданню IT Security Guru директор дослідницького відділу компанії Lancope Том Крос розповів про важливість категоризації окремих видів інсайдерської загрози. Він каже, що проломи в системі безпеки часто виникають через недоумство службовців, приміром, хтось може залишити лептоп з конфіденційними даними в аеропорту або ж розмістити на якомусь сайті справжні дані.
«Це найбільш поширені причини втрати цінних відомостей комерційними організаціями, — вважає експерт. — У ряді випадків службовці цілеспрямовано викрадають інформацію. Звичайно, дані співробітників і системи їх комп’ютерів іноді піддаються зовнішній загрозі. Кожна з цих трьох категорій — халатність службовців, злодій-інсайдер і комп’ютер співробітника з вірусом — вимагають індивідуального підходу».
Під час дослідження з’ясувалося, що 52% респондентів вже проводили програми, покликані підвищити внутрішню безпеку, а 47% — підготовку персоналу.
На питання про те, чи очікується, що в осяжному майбутньому все більше число бізнес-організацій буде приділяти увагу підготовці персоналу, Том Крос з Lancope відповів, що підготовка може зробити істотний вплив, і це — один з найбільш ефективних засобів запобігання втрати даних.
Однак, на думку експерта, важливим є і наявність надійних методів поводження з інформацією. «Приміром, при створенні нових додатків можуть використовуватися вигадані дані. Таким чином, не доведеться працювати з реальними відомостями під час розробки систем, які не пройшли повномасштабного тестування», — вважає Крос. Підготовка, на його думку, може стати суттєвим ресурсом боротьби з певними напрямками, в яких спеціалізуються зловмисники. Наприклад, з точковим фішингом.
«У одних співробітників семінари з питань безпеки можуть і не викликати відповідного відгуку, але інші можуть реагувати відповідним чином. І спостережні співробітники часом помічають перші ознаки того, що компанія піддається фішинговим атакам», — пояснює представник Lancope.
Дослідження BSI виявило: 29% опитаних або мають відповідні сертифікати, або ведуть свою професійну діяльність відповідно до стандарту ISO 27001, 23% респондентів сказали, що планують отримати сертифікати найближчим часом.
«Такі стандарти, як ISO 27001, можуть допомогти організувати програми з інформаційної безпеки. Однак прагнення дотримати формальності не повинно бути превалюючим. В першу чергу слід приділити увагу захисту від основних векторів атак, і вже потім намагатися зробити так, щоб ці спроби відповідали існуючим стандартам», — говорить експерт.
«Для ефективної роботи системи безпеки потрібно адекватний розподіл ресурсів, необхідно уточнити роль і відповідальність персоналу, — зазначає Сьюзен Фріббінс з BSI. — Ми прийшли до висновку, що організації, які мають сертифікати ISO 27001, здатні краще ідентифікувати загрози інформаційній безпеці і застосовувати відповідні заходи щодо зниження та усунення ризиків».