IT chroni sieć, ale kto chroni sieć przed IT?

Firmy mają gigabajty na gigabajty wrażliwych i poufnych danych archiwizowanych na serwerach, macierzach dyskowych lub nośnikach zapasowych. Firmy te polegają na doświadczeniu specjalistów ds. Bezpieczeństwa informacji w celu ochrony tych danych i zapobiegania nieautoryzowanemu dostępowi. Pytanie brzmi jednak "kto chroni wrażliwe i poufne dane od specjalistów ds. Bezpieczeństwa informacji?"

Grafika: Chip TaylorCyber-Ark Software przygotował czwartą roczną ankietę "Zaufanie, bezpieczeństwo i hasła" i odkrył niepokojące statystyki firmy mogą znaleźć. Ankieta - przeprowadzona z udziałem 400 administratorów IT i specjalistów ds. Bezpieczeństwa informacji w Infosecurity Europe 2010 i RSA USA 2010 - wykazała, że ​​osoby odpowiedzialne za ochronę danych mogą stanowić jedno z większych zagrożeń.

A Cyber-Ark Software press release wyjaśnia: "Badanie wykazało, że 67 procent respondentów przyznało, że uzyskało dostęp do informacji, które nie były istotne dla ich roli, a gdy zapytano, który dział był bardziej skłonny do podsłuchiwania informacji poufnych, ponad połowa (54 procent) zidentyfikowała dział IT, prawdopodobnie naturalny wybór, biorąc pod uwagę siłę grupy i szeroką odpowiedzialność za zarządzanie wieloma systemami w całej organizacji. "

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie ze swojego komputera z Windows]

Odnotowano wyraźny wzrost liczby respondentów - z 33 procent do 41 procent - przyznając się do nadużywania haseł administracyjnych do szpiegowania poufnych lub poufnych informacji, do których nie powinni mieć dostępu. Administratorzy IT w Stanach Zjednoczonych wydają się najbardziej zainteresowani bazą danych klientów, podczas gdy administratorzy IT z Wielkiej Brytanii wydają się częściej badać rekordy HR.

Administratorzy IT odpowiadający na ankietę przyznają, że organizacje wydają się dokładać większych starań, aby monitorować uprzywilejowane dostęp i ograniczenie nieautoryzowanego szpiegowania. Jednak większość administratorów IT i specjalistów ds. Bezpieczeństwa informacji jest przekonana, że ​​może ominąć te kontrole, jeśli zdecydują. Dobrą wiadomością jest to, że odsetek respondentów, którzy czują, że mogą ominąć próby monitorowania swoich działań w sieci, spadł z 77 procent do 61 procent.

W połączeniu z innymi badaniami i ankietami, wyniki przedstawiają raczej ponury obraz dla ochrony informacje pochodzące z ataków wewnętrznych i nieautoryzowanego dostępu. Badanie przeprowadzone przez firmę Poneman Institute na początku 2009 r. Wykazało, że "prawie 60% pracowników, którzy zrezygnowali z pracy lub zostali poproszeni o opuszczenie zakładu w ubiegłym roku, ukradło pewną formę danych firmy."

Badanie Compuware w 2008 r. Wykazało, że mniej niż jeden procent Naruszenie danych było dziełem zewnętrznych hakerów, podczas gdy zaniedbani (lub złośliwi) użytkownicy byli przyczyną trzech czwartych incydentów związanych z naruszeniem bezpieczeństwa danych.

Mówiąc o wynikach, wiceprezes wykonawczy Cyber-Ark na Amerykę i rozwój korporacyjny Adam Bośniak skomentował w komunikacie prasowym, aby powiedzieć: "Chociaż rozumiemy, że ludzka natura i pragnienie podsłuchiwania może nigdy nie być czymś, co możemy całkowicie kontrolować, powinniśmy przyjąć, że mniej osób uważa, że ​​jest to łatwe, pokazując, że dostępne są coraz skuteczniejsze kontrole. aby lepiej zarządzać i monitorować uprzywilejowane prawa dostępu w organizacjach. Z powodu coraz częstszego sabotażu informacji poufnych, czas działania już minął, a firmy muszą zwracać uwagę na ostrzeżenia. "

IT a Administratorzy i specjaliści od bezpieczeństwa informacji - przynajmniej ci z moralnością i etyczną naturą, aby nie być ich najgorszym wrogiem - powinni być świadomi, że zagrożenie wewnętrzne jest znacznie bardziej rozpowszechnione i trudniejsze do wykrycia i zapobiegania niż zewnętrzne zagrożenia. Firmy muszą wprowadzić mechanizmy kontrolne umożliwiające monitorowanie uprzywilejowanego dostępu do poufnych danych i ochronę przed zagrożeniami z wewnątrz.

Możesz śledzić Tony'ego na jego stronie na Facebooku lub skontaktować się z nim e-mailem pod adresem [email protected]. Dodał także tweety jako @Tony_BradleyPCW.