Rambler's Top100
Статьи ИКС № 10 2013
Антон РАЗУМОВ  14 октября 2013

Защита движущихся мишеней

Первый закон Ньютона гласит, что движущееся тело всегда будет стремиться сохранять свое движение. Так же ведет себя и бизнес-информация в мобильных устройствах: однажды придя в движение, она навсегда остается в этом состоянии, потенциально рискуя попасть в руки мошенников. Как найти верный подход к защите мобильных корпоративных данных?

Антон РАЗУМОВ, руководитель группы консультантов по безопасности, Check Point Software TechnologiesПочем утечка мобильных данных

О том, что ситуация быстро выходит из-под контроля ИТ-служб, свидетельствуют результаты исследования «Влияние мобильных устройств на безопасность информации», недавно проведенного Check Point среди почти 800 ИТ-специалистов из разных стран мира. 79% участников опроса подтвердили, что за последние 12 месяцев в их компаниях имели место случаи утечки мобильных данных. Это влекло за собой немалые потери: для 42% компаний такие инциденты, если учесть рабочее время персонала, оплату услуг юристов, штрафы и расходы на исправление ситуации, в прошлом году стоили более $100 тыс. Трудно представить, но 16% опрошенных сообщили, что ликвидация последствий обошлась их организациям более чем в $500 тыс.

Не слишком ли велики количество инцидентов с безопасностью мобильных данных и связанные с ними потери? Результаты опроса дают объяснение: в 88% организаций число персональных мобильных устройств, подключаемых к корпоративным сетям, за последние два года увеличилось более чем в два раза. На них находится разнообразная конфиденциальная информация: электронная деловая переписка (88%), контактная информация (74%), календари сотрудников (72%) и данные клиентов (53%).

Неконтролируемая и неуправляемая

Проблема обеспечения безопасности мобильной информации вышла за рамки ИТ-отделов – множество персональных смартфонов и планшетов используются бесконтрольно, несмотря на риск утечки данных. 63% респондентов признались, что они даже не пытались управлять корпоративной информацией, хранящейся на персональных устройствах сотрудников, и лишь 23% используют средства контроля за мобильными данными или защищенные контейнеры на устройствах.

Почему же стратегии защиты данных на персональных устройствах сотрудников так сильно отстали? Частично это объясняется тем, что время и ресурсы ИТ-отделов, отводимые на обеспечение защиты мобильных данных, небесконечны. Специалистам приходится расставлять приоритеты – и, к сожалению, ресурсов управления персональными устройствами недостаточно, чтобы справиться с их лавинообразным распространением.

Возможно, организации полагаются на грамотность своих сотрудников в области безопасного обращения с корпоративными данными на персональных устройствах – и многие специалисты действительно оправдывают это доверие. Но у сотрудников, как правило, на первом месте стоит эффективность собственной работы, а не снижение риска, которому подвергается корпоративная информация.

В большинстве случаев у персонала нет злого умысла, и данные остаются в надежных руках. Однако время от времени случайная утечка данных все же происходит. В ходе опроса 66% ИТ-специалистов высказали мнение, что беспечность сотрудников представляет гораздо большую угрозу для безопасности организации, чем деятельность киберпреступников.

Дело в содержании, а не в устройстве

Каков же оптимальный подход к защите конфиденциальной информации от утери или кражи с мобильных устройств сотрудников? Главное, что следует помнить, – информация сегодня стала мобильной. Поэтому организации должны стремиться управлять не устройствами своих сотрудников, а той коммерческой информацией, которая на них хранится. Попытки контролировать устройства могут затруднять работу персонала и нарушать их личное пространство, а это, в свою очередь, может привести к тому, что они будут идти в обход политики безопасности. Именно нацеленность на управление корпоративными данными во многом упрощает обеспечение безопасности в концепции BYOD.

Кроме того, необходимо уделить особое внимание выявлению, изоляции и шифрованию бизнес-информации, где бы она ни хранилась. В этом случае, даже если пользователь с благими намерениями копирует корпоративные данные на свое устройство либо получает доступ к ним через электронную почту или другое приложение, данные остаются защищенными от утечки. Еще лучше, если защита данных осуществляется автоматически на уровне политики, т.е. они остаются в безопасности при любых обстоятельствах – при копировании на мобильное устройство, электронной рассылке и т.д. Чем меньше пользователь замечает работу решения для обеспечения безопасности (это характерно для представителей последнего поколения таких решений), чем меньше оно нарушает привычный рабочий процесс, тем в большей безопасности оказываются данные.

Еще одна обязательная составляющая стратегии защиты – соответствующее обучение сотрудников, информирование пользователей о политике компании по обеспечению безопасности данных и о возможных последствиях их утечки.  

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!