Из статьи Гастона Танойра, руководителя подразделения Cisco по продвижению продуктов информационной безопасности на быстроразвивающихся рынках.

Сотрудники компаний во всех странах мира используют корпоративные сети для связи, совместной работы и доступа к данным. Компании, стремящиеся повысить производительность труда, понимают, что интеграция сетей может принести немалую пользу бизнес-процессам, и поощряют использование сотрудниками современных технологий беспроводной связи, в том числе через сети общего доступа. Производительность при этом действительно растет, но совместная работа в сетях выводит корпоративные данные во внешнюю среду, где данные становятся более уязвимыми, а возможностей для их защиты меньше.

Уязвимость данных особенно опасна: сегодня потеря или кража данных ведет к гораздо более серьезным последствиям, чем раньше. Утрата интеллектуальной собственности (конфиденциальных данных о будущих продуктах, финансовой информации, планов слияний и поглощений) сказывается на репутации компании, наносит ущерб ее торговой марке и снижает конкурентоспособность. Нарушения нормативных требований к защите пользовательских данных подрывают доверие со стороны заказчиков и приводят к серьезным штрафным санкциям.

Некоторые компании разрабатывают правила информационной безопасности и рассказывают сотрудникам о рисках потери данных, но эффективность этих мер вызывает сомнение. Чтобы сократить утечки данных и надежно защитить корпоративную информацию, ИТ-отделы должны понять, каким образом поведение сотрудников повышает уровень риска. Кроме того, нужно формировать корпоративную культуру, включающую ответственное поведение пользователей и соблюдение ими всех правил и процедур.

Чтобы лучше понять, какие действия пользователей повышают уровень риска для корпоративных активов, корпорация Cisco провела исследование типичных ошибок, допускаемых сотрудниками компаний по всему миру. Выяснилось, что сотрудники зачастую предпринимают странные действия, подвергающие риску корпоративные данные и активы, несмотря на то что в компаниях разработаны четкие правила поведения. Вот лишь некоторые ситуации, в которых сотрудники (умышленно или неумышленно) теряют данные или допускают их утечку:

  • использование несанкционированных приложений;
  • неправильное использование корпоративных компьютеров;
  • несанкционированный доступ к сетям и физическим устройствам;
  • работа в удаленном режиме с низким уровнем безопасности;
  • халатное отношение к паролям и процедурам входа в систему и выхода из нее.

Интересно было бы взглянуть на статистику, показывающую, сколько сотрудников подвергают опасности корпоративные данные своим безответственным поведением, но гораздо важнее понять, как изменить это поведение и повысить безопасность ценной информации. Для этого компания должна понять, что думают ее сотрудники о безопасности и почему они игнорируют или обходят корпоративные процедуры.

Наше исследование вышло за рамки сбора статистических данных. Мы стали спрашивать сотрудников, почему они, подвергая риску корпоративные данные, ведут себя именно так, а не иначе. Выяснилось, что иногда повышение уровня риска было неумышленным и вызывалось финансовыми соображениями: нам говорили о том, что дешевле работать не со своим домашним компьютером, а с предоставленной работодателем машиной, которой можно пользоваться и у себя дома. Это особенно распространено в странах, где большие семьи живут вместе. Но если корпоративным компьютером пользуется вся семья, то доступ к корпоративным данным могут получить не только сотрудники компании, но и совершенно посторонние люди.

В других случаях проблема состоит в том, что сотрудник умышленно крадет информацию. Если сотруднику не нравится его работа, если его обидел начальник и он хочет тому «отомстить», то такой человек становится «внутренней угрозой», поскольку он может преднамеренно испортить или украсть данные компании.

Иногда, несмотря на все усилия ИТ-отдела, некоторые сотрудники так и не усваивают всех тонкостей процедур безопасности, разработанных для рабочей среды. В результате возникает существенное расхождение между тем, как ИТ-отдел описывает процедуры использования коммуникационных услуг, и тем, как эти услуги используются на практике. Результаты исследования Cisco свидетельствуют о том, что, несмотря на предпринимаемые многими компаниями меры по предотвращению утечек данных, их усилия не дают желаемого результата.

На рынке нет «волшебного» решения для стопроцентной защиты корпоративных данных, особенно сейчас, когда компании и их данные становятся все более мобильными и начинают работать в виртуальных, а не в физических границах. Наиболее эффективный метод предотвращения утечек состоит в непрерывной работе и комплексном, стратегическом подходе к вопросам безопасности.

Многие компании ошибаются, полагаясь в этой области исключительно на технологию или начиная проект укрепления безопасности с крупных технологических внедрений. Даже лучшая в мире технология безопасности не даст должных результатов без фундамента из процессов, правил и обучения. Для начала компании следует изучить поведение своих сотрудников и то, какое влияние на безопасность оказывают местные факторы и общий ландшафт сетевых угроз. После этого следует приступать к ознакомлению сотрудников с проблемами угроз и бизнес-процессами, учитывающими эти факторы. И лишь потом можно вкладывать средства в приобретение и внедрение необходимых технологий. Именно такой комплексный подход может обеспечить вашу безопасность в долгосрочной перспективе. Он создает основу для оценки рисков, вызываемых каждым случаем взаимодействия между пользователями и сетями, оконечными устройствами, приложениями, данными и, естественно, другими пользователями. А самое важное -- безопасность становится неотъемлемой частью не только информационно-технологической, но и корпоративной культуры.

Вот несколько принципов, которые помогут вам предотвратить утечку данных:

  • знайте свои данные и хорошо ими управляйте;
  • храните корпоративные данные как самый драгоценный актив;
  • сделайте безопасное поведение неотъемлемой частью бизнес-процессов;
  • формируйте культуру и среду открытости и доверия;
  • сделайте обучение сотрудников вопросам безопасности частью своего бизнеса.

Предотвращение утечки данных -- проблема всего бизнеса в целом. Чем больше людей -- от ИТ-специалистов до высших руководителей и людей на всех уровнях корпоративной иерархии -- будут об этом знать, тем успешнее будет организована защита критически важных активов в вашей компании. Конечная цель этой работы состоит в том, чтобы все сотрудники на всех уровнях твердо знали, что защита корпоративных данных имеет огромное значение, понимали правила и процедуры безопасного поведения и постоянно соблюдали их в своей повседневной работе. Это не просто культурный сдвиг, а непрерывный процесс, на который, согласно результатам исследования Cisco, компании всего мира должны выделять больше средств. Уделяя этому вопросу достаточно внимания и ресурсов, компания может сократить вероятность утечки данных. Такой результат стоит ваших усилий.