Нове дослідження: Необмежений доступ співробітників до конфіденційних файлів піддає небезпеки важливі дані

Інсайдери з дуже широкими правами доступу часто стають винуватцями витоку даних, згідно з результатами опитування більше 2000 службовців, проведеного під егідою Varonis.

image

НЬЮ-ЙОРК — (Marketwired) — 12.09.2014 — Незважаючи на зростаючу кількість витоків даних, отримують широкий розголос, 71 відсоток опитаних службовців, заявили, що вони можуть отримати доступ до даних, які вони не повинні бачити, і більше половини сказали, що такий доступ вони отримують часто або дуже часто.

Сьогодні, коли все більше уваги звертається не тільки на захист від високотехнологічних зовнішніх атак, але і на ту роль, яку часто грає внутрішня вразливість і недбалість, новий опитування, проведене за ініціативою Varonis Systems, Inc. інститутом Ponemon Institute показує, що більшості організацій нелегко знайти потрібний баланс між необхідністю захисту інформації та вимогами продуктивності співробітників. Співробітники з необґрунтованим доступом до зайвих для них даними представляють собою постійно зростаючий ризик для організацій в сенсі небезпеки як випадковою, так і навмисної розголосу конфіденційних і важливих даних.

Звіт з опитуванням, «Корпоративні дані захищені активи або бомба з годинниковим механізмом?» складено на основі проведених у жовтні 2014 року опитувань 2276 співробітників компаній в США, Великобританії, Франції та Німеччини. У число респондентів входили 1166 фахівців з ІТ та 1110 кінцевих користувачів з організацій, які налічують від кількох десятків до кількох тисяч співробітників і діють в різних галузях економіки, зокрема фінансовий і державний сектор, медицину і фармацевтичну промисловість, оптові продаж, виробництво, технології та комп'ютерні розробки.

Доктор Ларрі Понемон (Larry Ponemon), глава і засновник Ponemon Institute, провідного наукового центру з вивчення охорони особистої інформації, захисту даних і політики інформаційної безпеки, прокоментував: «Витоку даних стають все більш загрозливими і частими. Швидке зростання як кількості цифрової інформації, так і нашої залежності від неї ставить під загрозу старання компаній захистити свої конфіденційні дані. Це дослідження виявляє досить важливий фактор, який часто обходять увагою: співробітники компаній мають занадто широкий доступ до даних, навіть якщо вони і не потрібні їм для роботи, і коли цей доступ не відстежується і не контролюється, атака з метою доступу до облікових записів співробітників може мати катастрофічні наслідки.»

Недолік контролю і зростання обсягу даних гальмують продуктивність

І фахівці з ІТ, і кінцеві користувачі свідчать про відсутність контролю за доступом працівників до використання даних компанії, і обидві групи в цілому сходяться в тому, що їх організаціям варто переглянути своє ставлення до ризиків, пов'язаних з безпекою, поки вони не зробили впливу на виробничий процес. Лише 22 відсотки опитаних працівників вважають, що їх організації в цілому віддають найвищий пріоритет захисту даних компанії, і менше половини співробітників вважають, що їх організації проводять ефективну політику захисту інформації, що відноситься до доступу та використання корпоративних даних. Більш того, різке зростання об'ємів ділової інформації вже негативно позначається на продуктивності — він ускладнює для співробітників пошук тих даних, які їм дійсно необхідні і до яких вони повинні мати доступ, а також надання необхідної інформації клієнтам, продавцям і партнерам по бізнесу.

Інші отримані важливі відомості про контроль і нагляд за використанням даних включають в себе наступне:

● 71 відсоток кінцевих користувачів кажуть, що вони мають доступ до корпоративних даних, знати які їм не належить.

● 54 відсотки тих кінцевих користувачів, хто має зайву доступ, характеризують його використання як часте або дуже часте.

● 4 з 5 фахівців з ІТ (80 відсотків) стверджують, що їх організація не проводить жорстку політику щодо обмеження права доступу до даних (або надання такого доступу тільки тим, кому він необхідний).

● Тільки 22 відсотки співробітників кажуть, що їх організація здатна відповісти, що сталося з втраченими даними, файлами чи електронними листами.

● 48 відсотків фахівців з ІТ стверджують, що або вони дозволяють використання кінцевими користувачами синхронізованих сервісів з загальнодоступними файлами, або такого дозволу не питають.

● 73 відсотки кінцевих користувачів вважають, що зростання кількості електронної пошти, презентацій, мультимедійних файлів і інших типів корпоративних даних сильно або дуже сильно обмежує їх здатність знайти і отримати потрібні дані.

● 43 відсотки кінцевих користувачів кажуть, що для отримання доступу до відомостей, необхідних їм у роботі, іноді потрібні тижні, місяці, а то і більше, і тільки 22 відсотки відзначають, що отримання такого доступу зазвичай триває хвилини або годинник.

● 60 відсотків фахівців з ІТ кажуть, що співробітникам важко або дуже важко шукати і знаходити корпоративні дані або файли, які створили вони самі або їхні колеги, так як вони не зберігаються на їх комп'ютерах.

● 68 відсотків кінцевих користувачів стверджують, що їм важко або дуже важко ділитися необхідною інформацією або файлами з бізнес-партнерами, такими як клієнти або продавці.

Результати опитування також показують, що і фахівці з ІТ, і кінцеві користувачі згодні в тому, що загрози облікових записів співробітників, які можуть привести до витоку даних, найчастіше викликані тим, що інсайдери мають занадто широкий доступ до даних і при цьому часто не інформовані про супутні ризики. 50 відсотків кінцевих користувачів і 74 відсотки фахівців з ІТ вважають, що витоку корпоративних даних часто викликані помилками, недбалістю або злим умислом інсайдерів. І тільки 47 відсотків фахівців з ІТ кажуть, що співробітники їхніх організацій роблять правильні кроки для захисту корпоративних даних, до яких у них є доступ. Коли в компанії не налагоджені керування дозволами та засоби контролю, зайвий доступ співробітників до даних і їх халатність у відношенні інформаційної безпеки піддає корпоративні дані все більшого ризику.

Інші отримані важливі відомості про основні причини витоку даних включають в себе наступне:

● 76 відсотків кінцевих користувачів стверджують, що для їх роботи потрібен доступ і використання службової інформації такої, як дані клієнтів, записи співробітників, фінансові звіти і конфіденційні документи.

● 38 відсотків кінцевих користувачів кажуть, що вони та їх колеги можуть отримати «безліч даних», до яких, на їх думку, вони не повинні мати доступу.

● Тільки 47 відсотків фахівців з ІТ кажуть, що кінцеві користувачі в їх організаціях роблять правильні кроки для захисту доступних їм корпоративних даних.

● 76 відсотків кінцевих користувачів вважають, що в деяких випадках припустимо переносити робочі документи на їх персональні пристрої, з чим згодні лише 13 відсотків фахівців з ІТ.

● 49 відсотків фахівців з ІТ стверджують, що малоймовірно, або неймовірно, щоб, у разі втрати документів, файлів, поштових повідомлень, їх організація змогла б з'ясувати, куди вони поділися.

● 67 відсотків фахівців з ІТ кажуть, що протягом останніх двох років в організації траплялися втрати або крадіжки корпоративних даних, але серед кінцевих користувачів тільки 44 відсотки знають про такі випадки.

Яки Фейтельсон (Yaki Faitelson), співзасновник і генеральний директор компанії Varonis, заявив: «Такі результати повинні прозвучати набатом для будь-якої організації, яка зберігає інформацію про своїх клієнтів, співробітників і бізнес-партнерів, тобто практично для будь-якого бізнесу або організації в сучасному світі. Так багато уваги і грошей було приділено для захисту зовнішнього периметра, але самі фундаментальні принципи інформаційної безпеки, покликані захистити дані всередині організації — контроль за доступом та нагляд — часто залишалися в занедбанні. Зайвий доступ в поєднанні з відсутністю засобів контролю в сумі дають неминучість катастрофи. Тепер ми бачимо, що відсутність контролю і нагляду настільки ж знижує продуктивність співробітників, як і необхідність боротися за отримання доступу до даних і за можливість легкого і безпечного повідомлення їх бізнес-партнерам. Компанія Varonis допомагає тисячам організацій по всьому світу впоратися з подібними проблемами такими способами, які різко знижують ризики, в той же час благотворно впливаючи на продуктивність і ефективність роботи».

Про інститут Ponemon Institute

Діяльність Ponemon Institute спрямована на поліпшення відповідальності при використанні інформації та впровадження практик захисту інформації в бізнесі і урядових установах. Для досягнення цих цілей інститут проводить незалежні дослідження, проводить семінари з лідерами як приватних, так і державних організацій, і тестує практики захисту інформації і даних в різних компаніях різних галузей економіки.

Про компанію Varonis

Varonis Systems була заснована в 2005 році фахівцями в галузі мережевих технологій і зберігання даних Я. Файтельсоном і О. Коркусом. На основі багаторічного досвіду розробки і впровадження великомасштабних мережевих інфраструктур і систем зберігання, контролю та управління даними засновники Varonis прийшли до наступного висновку: незважаючи на істотні капіталовкладення, існуючі процеси управління корпоративними даними і правами доступу до них не ефективні. У більшості випадків ці процеси здійснюються вручну, вимагають великих трудовитрат і рідко забезпечують об'єктивно необхідні на основі бізнес-процесу права доступу до даних.
На сьогоднішній день компанія Varonis є провідним розробником і виробником інноваційних рішень в області управління неструктурованими і частково структурованими даними. Рішення Varonis встановлені по всьому світу, більш ніж 3000 компаній, що працюють в сфері фінансів і охорони здоров'я, технології та ЗМІ, енергетики і виробництва, в державних та освітніх установах. Базуються на патентованої технології, продукти компанії Varonis забезпечують наочність і і прозорість управління корпоративними правами до даними автоматизований контроль їх використання і захист.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.