Новое исследование: избыточные права доступа сотрудников к конфиденциальной информации подвергают компанию опасности и повышают риски

Original author: Natalie Rizk
  • Translation
Инсайдеры с избыточными правами доступа часто становятся виновниками утечки данных, согласно результатам опроса более 2000 служащих, проведенного под эгидой Varonis.

image

НЬЮ-ЙОРК – (Marketwired) – 12.09.2014 – Несмотря на растущее количество утечек данных, получающих широкую огласку, 71 процент опрошенных служащих, заявили, что они могут получить доступ к данным, которые они не должны видеть, и более половины сказали, что такой доступ они получают часто или очень часто.

Сегодня, когда все больше внимания обращается не только на защиту от высокотехнологичных внешних атак, но и на ту роль, которую часто играет внутренняя уязвимость и халатность, новый опрос, проведенный по инициативе Varonis Systems, Inc. институтом Ponemon Institute показывает, что большинству организаций нелегко найти нужный баланс между необходимостью защиты информации и требованиями продуктивности сотрудников. Сотрудники с избыточными правами доступа к данным представляют собой постоянно растущий риск для организаций с точки зрения случайной и/или намеренной огласки конфиденциальных данных.

Отчет по опросу, «Корпоративные данные: защищенные активы или бомба с часовым механизмом?» составлен на основе проведенных в октябре 2014 года опросов 2276 сотрудников компаний в США, Великобритании, Франции и Германии. В число респондентов входили 1166 специалистов по ИТ и 1110 конечных пользователей из организаций, насчитывающих от нескольких десятков до нескольких тысяч сотрудников и действующих в разных отраслях экономики, включая финансовый и государственный сектор, медицину и фармацевтическую промышленность, оптовые продажи, производство, технологии и компьютерные разработки.



Доктор Ларри Понемон (Larry Ponemon), глава и основатель Ponemon Institute, ведущего научного центра по изучению проблем защиты персональный данных и политики информационной безопасности, прокомментировал: «Утечки данных становятся все более угрожающими и частыми. Быстрый рост как количества цифровой информации, так и нашей зависимости от нее ставит под угрозу старания компаний защитить свои конфиденциальные данные. Это исследование выявляет весьма важный фактор, который часто обходят вниманием: сотрудники компаний имеют слишком широкий доступ к данным, даже если они и не нужны им для работы, и когда этот доступ не отслеживается и не контролируется, атака с целью доступа к учетным записям сотрудников может иметь катастрофические последствия.»

Недостаток контроля и рост объема данных тормозят производительность.

И специалисты по ИТ, и конечные пользователи свидетельствуют об отсутствии контроля за потенциальным доступом сотрудников и фактическому использованию данных компании. Обе группы в целом сходятся в том, что их организациям стоит пересмотреть свое отношение к рискам, связанным с безопасностью, пока они не оказали влияния на производственный процесс. Только 22 процента опрошенных сотрудников считают, что их организации в целом дают достаточный приоритет защите данных компании, и менее половины сотрудников полагают, что их организации проводят эффективную политику защиты информации, относящуюся к доступу и использованию корпоративных данных. Более того, резкий рост объемов информации уже негативно сказывается на производительности – он затрудняет поиск актуальных данных сотрудниками, заставляя их тратить время или даже создавать документы заново, не имея возможности найти их

Дополнительные п сведения о контроле за использованием данных говорят о следующем:

● 71 процент пользователей утверждают, что имеют доступ к корпоративным данным, видеть которые им не положено

● 54 процента обладателей избыточного доступа утверждают, что пользуются им часто или очень часто

● 4 из 5 специалистов по ИТ и ИБ (80 процентов) утверждают, что их организация не проводит политики по ограничению прав доступа к данным до минимально необходимого в силу служебных обязанностей сотрудников

● Только 22 процента сотрудников говорят, что их организация способна найти потерянные файлы или электронные письма

● 73 процента пользователей считают, что рост объемов писем электронной почты, презентаций, файлов мультимедиа и других типов корпоративных данных сильно или очень сильно ограничивает их способность оперативно найти и и использовать актуальные данные.

● 43 процента пользователей утверждают, что для получения доступа к данным, необходимым им по работе, иногда требуются недели или месяцы, и только 22 процента отмечают, что получение такого доступа обычно занимает минуты или часы

● 60 процентов специалистов по ИТ и ИБ говорят, что сотрудникам трудно или очень трудно осуществлять поиск и своевременно находить корпоративные данные или файлы, которые создали они сами или их коллеги

● 68 процентов конечных пользователей утверждают, что им трудно или очень трудно делиться необходимой информацией или файлами с бизнес-партнерами, такими как клиенты или продавцы

Результаты опроса также показывают, что и специалисты по ИТ И ИБ, также как и бизнес пользователи согласны с тем, что избыточный доступ инсайдеров значительно повышает риски и может привести как к снижению производительности так и бизнес проблемам.
50 процентов бизнес пользователей и 74 процента специалистов по ИТ считают, что утечки корпоративных данных часто вызваны ошибками, халатностью или злым умыслом инсайдеров. Только 47 процентов специалистов по ИТ и ИБ считают, что их организации прилагают достаточно усилий для защиты корпоративных данных,

Анализ сведений об основных причинах утечки данных говорит следующее:

● 76 процентов пользователей утверждают, что в силу служебной необходимости им требуется доступ к данным клиентов, личным делам сотрудников, финансовым отчетам и другим конфиденциальным документы

● 38 процентов пользователей утверждают, что они сами или их коллеги могут получить доступ к «множеству данных», к которым, по их мнению, они не должны иметь доступа

● Только 47 процентов специалистов по ИТ и ИБ говорят, что конечные пользователи в их организациях предпринимают правильные шаги для защиты доступных им корпоративных данных

● 76 процентов пользователей считают, что в некоторых случаях допустимо переносить рабочие документы на их персональные устройства, с чем согласны всего лишь 13 процентов специалистов по ИТ и ИБ

● 49 процентов специалистов по ИТ и ИБ утверждают, что маловероятно, что в случае потери документов, файлов или почтовых сообщений, их организация сможет выяснить, куда они делись

● 67 процентов специалистов по ИТ и ИБ говорят, что в течение последних двух лет в их организации случались потери или кражи корпоративных данных, но среди бизнес пользователей только 44 процента сотрудников знают о таких случаях

Яки Фейтельсон (Yaki Faitelson), основатель и генеральный директор компании Varonis, заявил: «Такие результаты должны серьезно озадачить каждую компанию, которая хранит информацию о своих клиентах, сотрудниках и бизнес-партнерах, то есть практически любой бизнес в современном мире. Мы видим, что вопросам защиты внешнего периметра было уделено много внимания и инвестиций, в то время как фундаментальными принципами информационной безопасности и защиты данных внутри организации зачастую пренебрегали и пренебрегают до сих пор, хотя они являются не менее важными. Избыточный доступ в сочетании с отсутствием средств контроля за использованием данных в сумме дают неизбежность бизнес потерь, а иногда приводят к катастрофическим последствиям. Мы видим, что отсутствие механизмов контроля и управления снижают продуктивность сотрудников, которые тратят время на получение необходимого им доступа, поиск актуальных данных или коллаборацию с бизнес-партнерам.»

Об институте Ponemon Institute.

Деятельность Ponemon Institute направлена на повышение ответственности при использовании информации сотрудниками и внедрение практик защиты информации в бизнесе и правительственных учреждениях. Для достижения этих целей институт проводит независимые исследования, проводит семинары с лидерами как частных, так и государственных организаций, и тестирует практики защиты информации и данных в различных компаниях из разных отраслей экономики.

О компании Varonis.

На сегодняшний день компания Varonis является ведущим разработчиком и производителем инновационных решений в области управления неструктурированными и частично структурированными данными. Компания предоставляет решения по управлению правами доступа, контролю за использованием данных, корпоративному поиску и синхронизации в частном облаке для данных, хранимых на файловых хранилищах windows/unix/NAS, порталах SharePoint, почтовых серверах Exchange и Active Directory. Решения Varonis установлены по всему миру, более чем в 3000 компаний, работающих в сфере финансов и здравоохранения, технологии и СМИ, энергетики и производства, в государственных и образовательных учреждениях.
Varonis Systems
Защита от внутренних угроз и комплексных кибератак

Comments 6

    +3
    Простите, но:
    Неограниченный доступ сотрудников к конфиденциальным файлам подвергает опасности важные данные

    Инсайдеры со слишком широкими правами доступа часто становятся виновниками утечки данных

    слишком уж кэп-режим
      0
      Переводить порой труднее, чем писать с нуля. Не судите строго, подправили текст.
      +2
      Неограниченный доступ сотрудников к конфиденциальным файлам подвергает опасности важные данные

      Не может быть!
        0
        Очередная подготовка общества к заворачиванию гаек.
        Ждите статью: «Выход найден! RFID-чипизация решает проблему доступа!»
          0
          Поэтому крупные IT корпорации ограничивают путешествия специалистов из компании в компанию. Или стараются ограничить.
            0
            К сожалению, ограничение «путешествий» не самый надежный способ, если не сказать иначе.

          Only users with full accounts can post comments. Log in, please.