/ /

Каждый третий нарушитель правил кибербезопасности - руководитель

Каждый третий нарушитель правил кибербезопасности - руководитель

20 сентября 2018, 01:15    681
softline

34% эпизодов, связанных с риском для информационной безопасности предприятий и организаций, происходят по вине руководителей разного уровня, включая топ-менеджеров. Вероятно, отрицательный пример оказывается заразительным для линейных сотрудников, которые оказываются виноваты в 65,7% случаев утечек. Самыми ответственными при работе с данными компании оказываются сторонние подрядчики, на их счету всего 0,3% подобных событий. Эта и другая информация была получена специалистами «Инфосекьюрити» (входит в группу компаний Softline) в рамках анализа нарушений в области информационной безопасности среди своих заказчиков с использованием обезличенных данных с DLP-систем.

Чаще всего конфиденциальная информация покидает периметр компании в виде распечаток (35% случаев). Этот тип утечек опасен еще и потому, что, как правило, используется сотрудниками с умыслом. И если сотрудник, отправляющий в сообщении электронной почты секретный документ, обычно не замышляет ничего плохого, а всего лишь хочет поработать с ним в выходной или в командировке, то коммерческая информация в напечатанном виде, а если ещё и в большом количестве, то это практически всегда попытка в прямом смысле вынести важные данные за пределы организации. Тут важна скорость реакции офицера ИБ, который должен успеть обработать событие и пресечь попытку кражи информации.

Вот наиболее популярные причины умышленного нарушения режима конфиденциальности, и варианты возможных решений.

Проблема

Решение

«Собирался перейти в другую компанию, и поэтому решил забрать свои наработки (клиенты / код ПО / документы), которые я делал, ведь их делал я, а значит они мои»

Своевременно выявить группы риска; осуществить превентивные блокировки; ознакомить сотрудников с положением о коммерческой тайне под подпись.

«У меня свой бизнес, поэтому я посмотрел движения по счетам моих конкурентов, чтобы найти с кем они работают, и решил направить себе на почту»

Составить досье на сотрудника-«бизнесмена», поставить его на особый контроль

«Поменял данные в программе, чтобы вывести средства, естественно не под своей учетной записью»

Контроль передачи аутентификационных данных.

«Хотел помочь конкуренту выиграть конкурс и был мотивирован им (получил взятку, ожидал обещанного приглашения на работу, хотел помочь старому товарищу, работающему у конкурента, и т.д.)»

Контроль критичных процессов в компании, связанных с получением прибыли

 

На втором месте – утечки через электронную почту, когда важные документы пересылаются на личный электронный адрес сотрудника. Почти 28% информации выносится за пределы организаций на USB-накопителях и других типах внешних носителей. Минимальное число инцидентов - лишь 5% от обнаруженных – связаны с утечками через веб, например при выкладывании важных файлов на общедоступные облачные хранилища.

Далее представлены наиболее популярные обоснования своих действий сотрудниками, которые нарушили правила ИБ без злого умысла, а также возможные способы предотвращения в дальнейшем таких нарушений.

Причина

Решение

«Не успел на работе доделать, поэтому отправил себе на внешнюю личную почту, чтобы поработать дома/в командировке»

Организовать защищенный удаленный доступ (VPN) к корпоративным данным

«Распечатал базу данных клиентов, потому что, мне так удобнее их обзванивать»

Изменить бизнес-процесс, сделать его удобным

«Зависло приложение, а клиент злой был, поэтому я передал свои логин и пароль коллеге, чтобы она провела операцию побыстрее»

Оптимизировать работу ПО

«Я загрузил результаты аудита компании в Интернет, чтобы склеить нескольких страниц в один документ в формате PDF»

Установить приложение для работы с PDF

 

«Если умышленные нарушения – это работа для корпоративных отделов собственной безопасности, то случайные утечки – пища для размышления для высших менеджеров и руководителей среднего звена. Правильная их интерпретация помогает понять операционные проблемы, которые есть в компании, и предпринять соответствующие действия для их устранения. Например, если обнаружилось, что сотрудники регулярно заходят в свои аккаунты в CRM-системе с компьютеров коллег по причине сбоев в работе оборудования, имеет смысл задуматься о закупке более мощного «железа» или быстрого ПО. А если документы регулярно отправляются на личную почту, чтобы поработать с ними из дома, лучше обеспечить своим сотрудникам безопасный удаленный доступ к рабочим данным и приложениям. Это позволит в полном объеме распространить на этот доступ политики информационной безопасности, принятые в конкретной организации», - говорит Михаил Годжаев, руководитель направления блока DLP компании «Инфосекьюрити».

Данный срез умышленных и случайных нарушений получен в рамках функционирования специализированного сервиса аналитики информации, получаемой с DLP, который предоставляет «Инфосекьюрити». Он объединяет в себе мониторинг утечек, нарушений регламентов и правил, помощь в сборе свидетельств инцидентов, а также поиск этих свидетельств среди собранных DLP-системой неструктурированных данных. Операционную поддержку сервису оказывает специализированный отдел из 11 аналитиков, которые работают практически со всеми DLP-системами, которые есть на российском рынке.

Cледите за новостями компании:

Twitter: http://twitter.com/Softlinegroup

Facebook: http://www.facebook.com/SoftlineCompany

_____________________________

О компании Softline

Компания Softline помогает осуществить цифровую трансформацию бизнеса своим клиентам по всему миру и является для них доверенным партнёром и надёжным поставщиком передовых информационных технологий и средств кибербезопасности.
Softline ведет бизнес в Восточной Европе и Центральной Азии, Латинской Америке и в Юго-Восточной Азии – всего в более чем 50-ти странах. Партнерские отношения в рамках альянсов с глобальными ИТ-поставщиками позволяют Softline использовать лучшие практики и наращивать опыт для реализации комплексных проектов на пяти континентах. В 2017 финансовом году выручка группы компаний Softline составила $1,19 млрд.

Более подробную информацию о компании Softline можно получить на сайтах: www.softlinegroup.com и www.softline.ru.

Вы должны авторизоваться, чтобы написать комментарий


    Yandex.Дзен

    Подписывайтесь на канал ru-bezh.ru
    в Яндекс.Дзен

    RUБЕЖ в facebook RUБЕЖ в vk RUБЕЖ в twitter RUБЕЖ на youtube RUБЕЖ в google+ RUБЕЖ в instagram RUБЕЖ-RSS

    Контакты

    Адрес: 121471, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

    Тел./ф.: +7 (495) 539-30-15, +7 (495) 539-30-20

    Время работы:

    E-mail: info@ru-bezh.ru

    E-mail: help@ru-bezh.ru - по техническим вопросам

    Для рекламодателей

    E-mail: reklama@ru-bezh.ru

    тел.: +7 (495) 539-30-20 (доб. 105)

    total time: 0,8748 s
    queries: 327 (0,1506 s)
    memory: 4 096 kb
    source: database
    Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.