BezpieczeństwoTraktujmy bezpieczeństwo poważnie > redakcja Opublikowane 12 stycznia 20090 0 140 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr RSA, dział zabezpieczeń firmy EMC, poinformował o wynikach najnowszych badań dotyczących wewnętrznego zagrożenia dla bezpieczeństwa, które zostały przeprowadzone wśród uczestników wydarzeń branżowych w Ameryce Północnej i Ameryce Łacińskiej wiosną i latem 2008 r. Niepewny sektor finansowy wśród próbki W badaniu wzięło udział 417 uczestników, którzy odpowiadali na pytania związane z zachowaniami oraz stosunkiem do procedur zabezpieczeń w pracy. Respondenci byli przedstawicielami wielu sektorów, ze szczególnym uwzględnieniem branży finansowej i technologicznej. Niemal połowa obowiązków zawodowych ankietowanych wymagała obsługi rozwiązań informatycznych. Pomimo tego, że nieuprawniony dostęp do danych jest obecnie szeroko nagłaśniany, wyniki badań wskazują, że nawet osoby, które powinny posiadać odpowiednią wiedzę wykazują codzienne zachowania mogące narazić na szwank poufne informacje firmy.Wśród respondentów:46% pracuje w sektorze usług finansowych,20% pracuje w sektorze technologicznym,46% jest informatykami,11% zajmuje stanowiska kierownicze,54% pracuje w przedsiębiorstwach zatrudniających ponad 5 000 osób. Pracownik robi co chceWyniki ankiety wskazują, że pracownicy znają ograniczenia nałożone przez działy informatyczne przedsiębiorstw. Jednakże wielu z nich często je obchodzi, aby mieć możliwość wygodnego i szybkiego wykonania swoich zadań. Wśród respondentów 94% zna reguły zabezpieczeń systemów informatycznych obowiązujące w przedsiębiorstwie, lecz 53% odczuwało potrzebę obchodzenia procedur bezpieczeństwa w celu wykonania swoich zadań. Odpowiadając na inne pytanie 64% ankietowanych przyznało się do częstego lub okazjonalnego wysyłania dokumentów z pracy na prywatne adresy e-mail, aby mieć możliwość dostępu do nich i pracy w domu. W USA wartość ta zmniejszyła się do 50%, lecz zwiększyła się do 62% w Meksyku oraz 71% w Brazylii. 15% przytrzymywało w pracy otwarte drzwi osobie, której nie znają. W Brazylii zanotowano najlepszy wynik wynoszący 7%, następnie 16% w Meksyku. W przeciwieństwie do powyższych, wyniki uzyskane w USA wskazują, że niemal co trzeci pracownik (31%) wpuszcza obce osoby na teren firmy. Złamiesz regułę – zmierzasz do ujawnienia tajnych danych Gdy zaufani pracownicy omijają reguły zabezpieczeń, istnieje możliwość ujawnienia poufnych danych. Taka praktyka naraża przedsiębiorstwa i ich klientów — często osoby indywidualne — na niepotrzebne ryzyko. Organizacje mogą w znacznym stopniu ograniczyć tego rodzaju ryzyko poprzez opracowanie procedur bezpieczeństwa zorientowanych na informacje, które są odpowiednio dostosowane do wymagań i warunków pracy w firmie. W ten sposób można zagwarantować integralność i poufność informacji na każdym etapie jej wykorzystania — bez względu na to, gdzie dane są przenoszone, kto ma do nich dostęp oraz w jaki sposób z nich korzysta. Równocześnie przedsiębiorstwa powinny posiadać wygodniejsze, niewidoczne oraz podzielone na warstwy technologie zabezpieczeń, które są w stanie ograniczyć czynniki powodujące łamanie przez pracowników reguł i pokonywanie przez nich systemów zabezpieczeń własnej firmy. Mobilność to swobodny i niechroniony dostęp do poufnych informacji Przeprowadzone badania potwierdzają, że w mobilnym świecie pracownicy wykorzystują zdalny dostęp do informacji korporacyjnych, gdy przebywają poza biurem — w domu lub w miejscach publicznych.Wśród respondentów 89% często lub okazjonalnie prowadzi działania biznesowe zdalnie, za pośrednictwem wirtualnej sieci prywatnej (VPN) lub poczty elektronicznej zaś 58% często lub okazjonalnie sprawdza służbową pocztę elektroniczną na komputerach publicznych; 65% często lub okazjonalnie sprawdza służbową pocztę elektroniczną korzystając z publicznych punktów dostępowych. A może jednorazowe hasła?Zdalny dostęp do poufnych danych wymaga silniejszych form uwierzytelniania, niż proste, statyczne i wystawione na większe ryzyko kombinacje nazwy użytkownika i hasła. Aby pomóc w rozwiązaniu tego problemu, organizacje mogą zapewnić system haseł jednorazowych i w ten sposób utrzymać elastyczność i wygodę związaną ze zdalnym dostępem do sieci VPN oraz poczty elektronicznej. Hasła mogą być udostępniane za pomocą tokena sprzętowego lub programowego, który jest łatwo dostępny z urządzeń mobilnych, takich jak inteligentne telefony BlackBerry. Źle chroniony mobilny dostęp do danych Wyniki badań wskazują, że w celu zwiększenia produktywności użytkowników, należy zapewnić możliwość przenoszenia informacji. Jednakże mobilność pracownika zwiększa zbiorową odpowiedzialność za ochronę danych, które są wynoszone poza teren firmy. Wśród respondentów jedna osoba na 10 zgubiła notebooka, telefon inteligentny i/lub pamięć USB z informacjami firmowymi. W Meksyku zanotowano najwyższy odsetek zdarzeń, w których zostały ujawnione dane należące do przedsiębiorstwa — aż 29% respondentów przyznało się do zgubienia notebooka, telefonu inteligentnego i/lub pamięci USB; najniższy odsetek zanotowano w USA — 5%; 79% często lub okazjonalnie opuszcza miejsce pracy z urządzeniem mobilnym zawierającym poufne informacje związane z wykonywanymi zadaniami. Takie urządzenia to między innymi notebooki, telefony inteligentne i pamięci USB. Mobilność zwiększa ryzykoMobilność zapewnia sprawne działanie, jednak niechronione informacje — bez względu na miejsce ich przechowywania — zwiększają ryzyko. System zabezpieczania danych oparty na regułach umożliwia organizacjom klasyfikację poufnych danych, wykrywanie takich danych w całym przedsiębiorstwie, egzekwowanie reguł, a także kontrolowania i tworzenia raportów w celu zapewnienia zgodności z procedurami. „Ochrona przed utratą danych jest głównym zmartwieniem osób odpowiedzialnych za sieci firmowe i zasoby informacyjne. Jednakże biorąc pod uwagę takie możliwości przenoszenia informacji, jakimi obecnie dysponujemy bardzo istotne jest, aby dane były zarządzane nie w oparciu o kaprysy i codzienne działania pracowników, lecz o z góry określone reguły i towarzyszące im kontrole” — powiedział Tom Corn, wiceprezes grupy ds. bezpieczeństwa danych w RSA. Zadanie skończone – dostęp do informacji zostajePrzedsiębiorstwa działają dynamiczne, a role poszczególnych pracowników często się zmieniają — może to być przeniesienie pracownika na inne stanowisko wewnątrz firmy lub przydzielenie kolejnego zadania konsultantowi zewnętrznemu, który zakończył pracę nad bieżącym projektem. Jednakże możliwości zarządzania siecią przedsiębiorstwa nie zawsze nadążają za tymi ruchami. Wśród respondentów 43% zmieniło stanowisko wewnątrz firmy, a w dalszym ciągu ma dostęp do kont/zasobów, które nie są im już potrzebne. W Meksyku zanotowano najwyższy wynik wynoszący 30%, następnie 42% w Brazylii. Jednakże w USA co drugi ankietowany (50%) posiada w dalszym ciągu dostęp do niepotrzebnych funkcji systemów firmowych; 79% przyznało, że ich przedsiębiorstwo zatrudnia pracowników tymczasowych lub podwykonawców, którzy wymagają dostępu do systemów i danych firmowych o znaczeniu krytycznym a 37% natknęło się na obszary sieci przedsiębiorstwa, do których ich zdaniem nie powinni mieć dostępu. Dostęp do danych powinien być restrykcyjnyDostęp do tajnych danych powinien być przyznawany wyłącznie osobom, które tego potrzebują. W przypadku niektórych stanowisk potrzebny jest dostęp jedynie do ściśle określonych obszarów wewnątrz infrastruktury informacyjnej. Organizacje mogą zarządzać dużą liczbą użytkowników, a jednocześnie egzekwować scentralizowane, oparte na rolach reguły zabezpieczeń, które zapewniają zgodność z przepisami, chronią zasoby przedsiębiorstwa przed nieautoryzowanym dostępem oraz ułatwiają wykonywanie zadań uprawnionym użytkownikom. „Badanie ujawnia, że równie ważnym czynnikiem dla przedsiębiorstw jest skrupulatne egzekwowanie reguł oraz środków kontroli zabezpieczeń informacji, których celem jest ochrona codziennych czynności wykonywanych w dobrej wierze przez niewinnych użytkowników, jak egzekwowanie przestrzegania zasad ustanowionych w celu ochrony przed osobami działającymi w złym zamiarze” — powiedział Christopher Young, wiceprezes działu RSA. Metodologia Badanie „2008 Insider Threat Survey” przeprowadzone przez RSA, dział zabezpieczeń firmy EMC, objęło 417 osób podczas trzech wydarzeń branżowych, które odbyły się w trzech krajach na terenie Ameryki Północnej i Ameryki Łacińskiej – Wystawa RSA Conference, USA (7-11 kwietnia; 134 respondentów); Konferencja „Demystifying the Payment Card Industry Standard: Routes to PCI Compliance,” miasto Meksyk (28 maja; 44 respondentów); Konferencja CIAB 2008, Brazylia (11-13 czerwca; 239 respondentów). Respondenci ankietowani przez RSA w listopadzie 2007 na potrzeby badania „2007 Insider Threat Survey” byli pracownikami rządowymi lub biurowymi. Ankieta została przeprowadzona na ulicach miast Boston i Washington. W latach 2007 oraz 2008 w badaniach wzięły udział osoby będące pracownikami, podwykonawcami, partnerami, gośćmi oraz konsultantami, którzy posiadali fizyczny i/lub logiczny dostęp do przedsiębiorstwa. W obu badaniach zastosowano identyczne pytania.
3 kluczowe powody, dla których małe i średnie firmy potrzebują sztucznej inteligencji w zarządzaniu siecią
