Rambler's Top100
Все новости Новости отрасли

За последний год 77% организаций пострадало от потери данных

15 июня 2011

Глобальное исследование показывает, что предприятия сталкиваются с ростом проблем, связанных с управлением информационной безопасностью, соблюдением требований и отсутствием осведомленности пользователей.

Компания Check Point Software Technologies Ltd. и Ponemon Institute, выяснили, что за последней год 77% организаций столкнулись с проблемой потери данных. В докладе «Обоснование вопроса сложности обеспечения безопасности в сфере ИТ в XXI веке» (Understanding Security Complexity in 21st Century IT Environments) указано, что наиболее распространенным видом информации, подвергшейся несанкционированному разглашению, является информация о клиентах (52%), интеллектуальная собственность (33%), информация о сотрудниках (31%) и корпоративные планы (16%). В связи с внедрением приложений Web 2.0 и мобильных устройств, подключенных к сети, организации сталкиваются с проблемой обеспечения лучшей защиты данных, а также с проблемами стратегического управления, контроля рисков и выполнения нормативных требований для ИТ (GRC — Governance, Risk and Compliance).

По данным опроса свыше 2 400 администраторов ИТ-безопасности, основной причиной потери данных является утеря или кража оборудования, вслед за ней идут сетевые атаки, ненадежные мобильные устройства, приложения стандарта Web 2.0 и приложения для совместного использования файлов, а также случайная отправка сообщений по электронной почте тем получателям, которым они не предназначались. Кроме того, около 49% всех респондентов считают, что их сотрудники мало информированы или вообще не имеют представления об обеспечении безопасности данных, о соблюдении требований и политиках безопасности, указывают на необходимость обеспечения компаниями большей осведомленности пользователей в качестве одной из составляющих стратегии защиты данных, поскольку именно персонал зачастую является первой линией обороны.

«Мы понимаем, что безопасность данных и соблюдение требований часто возглавляют список функциональных обязанностей директора по IT-безопасности. Однако, при ближайшем рассмотрении факторов, влияющих на потерю данных, вы увидите, что большинство инцидентов являются непреднамеренными, — говорит Одед Гонда (Oded Gonda), вице-президент по продуктам сетевой безопасности компании Check Point Software Technologies. — Чтобы перейти от выявления потерь данных к их профилактике, предприятия должны повысить осведомленность пользователей и создать соответствующие процедуры для достижения большей прозрачности и контроля над информационными активами».

Поскольку предотвращение потерь данных является приоритетным вопросом информационной безопасности, для предприятий важно определить основные причины потери данных и создать комплекс мер безопасности для предотвращения несанкционированного доступа к информации, например:

Определить потребности организации в сфере безопасности — иметь четкое представление и перечень типов конфиденциальных данных, имеющихся в организации, а также знать то, какие типы данных являются предметом государственных или отраслевых нормативных требований.

Классифицировать конфиденциальные данные, начиная с создания списка типов конфиденциальных данных, имеющихся в организации, и определения уровней конфиденциальности. Рассмотреть вопрос о создании набора шаблонов документов для классификации информации по типам «Общественная», «Для ограниченного круга лиц» или «Строго конфиденциальная», информируя конечных пользователей о корпоративной политике и о том, какая информация является конфиденциальной.

Согласовать политики безопасности с потребностями бизнеса — стратегия безопасности организации должна обеспечивать защиту информационных активов компании, не препятствуя действиям конечного пользователя. Необходимо начать с описания в простых бизнес-терминах политики компании, согласованной с бизнес-потребностями отдельных сотрудников, групп или организации. Решение Identity Awareness обеспечивает компаниям лучшую видимость своих пользователей и ИТ-среды, что позволяет более эффективно соблюдать корпоративную политику.

Обеспечить безопасность данных на протяжении всего времени их существования — компании должны рассмотреть вопрос о внедрении решений для информационной безопасности, обеспечивающих безопасность их конфиденциальных данных в различных формах, связанных с ними пользователей, типов данных и процессов, а также защиту на протяжении всего времени существования этих конфиденциальных данных при их хранении, передаче и обработке.

Избавиться от бремени соблюдения нормативных требований — определить требования правительственных и промышленных стандартов и то, как они влияют на безопасность организации и бизнес-поток. Рассмотреть вопрос о внедрении решений с передовыми методами, ориентированными на согласование с конкретными положениями, в том числе с законом об ответственности и переносе данных о страховании здоровья граждан, стандартами безопасности данных в сфере платежных карт и законом Сарбейнса-Оксли, для быстрой организации мер профилактики в один день. Передовые методы работы также позволяют ИТ-специалистам, помимо соблюдения существующих требований, сосредоточиться на активной защите данных.

Особое внимание уделять осведомленности и вовлеченности пользователей — вовлекать пользователей в процесс принятия решений в области безопасности. Технологии могут способствовать информированию пользователей о корпоративной политике и позволят им устранять последствия инцидентов в режиме реального времени. Сочетание технологий и осведомленности пользователей делает сотрудников более осторожными в отношении рискованного поведения путем самостоятельного обучения.

«Учитывая сотни происходящих ежегодно случаев потери данных, как официальных, так и неофициальных, не удивительно, что в настоящее время растут проблемы, связанные с управлением, рисками и соответствием требованиям,  — говорит д-р Ларри Понемон (Larry Ponemon), председатель и основатель компании Ponemon Institute. — Защита информации в современном мире означает больше, чем развертывание комплекса технологий для решения этих проблем. В действительности отсутствие осведомленности сотрудников является основной причиной потери данных, что заставляет все большее число предприятий вести среди своих пользователей разъяснительную работу в отношении действующей корпоративной политики».

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.