Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност

Защо се заобикалят корпоративните политики за сигурност?

Липса на знания, любопитство, желание за помощ - това са само част от факторите, които застрашават данните в компаниите

от , 21 януари 2019 0 1118 прочитания,

Корпоративните политики за информационна сигурност не са случайно създадени и те трябва да бъдат спазвани от всички в организацията. Често обаче дори и най-съвестните служители са склонни да нарушават правилата, пише онлайн изданието Freedomonline.bg. На какво обаче се дължи това?

Ето 6 възможни причини за умишлено или неумишлено неспазване на процедурите за сигурност, изведени от Ерика Чиковски, автор в Darkreading:

Прочетете още: Най-използваните фишинг атаки за изминалата година

Защо се заобикалят корпоративните политики за сигурност?

Липса на знания

Фишингът е в основата на около 91% от атаките срещу организации. Въпреки че някои фишинг кампании са майсторски замислени, повечето от тях са елементарни за разпознаване. Служителите обаче нямат необходимите знания да определят зловредни имейли и именно това е основният фактор за високата ефективност на фишинга.

Липсата на знания е и причината, поради която служителите не защитават добре своите лаптопи и смартфони. Те свалят опасни приложения, качват незащитени чувствителни данни в облака и по този начин нарушават фирмената политика за информационна сигурност.

Удобство

Често служителите знаят много добре процедурите за сигурност, но не ги следват, защото… им е по-лесно да не го правят. Възможно е например предоставянето на достъп до информационна система да е толкова трудно, че служителят предпочита да даде на колегата си собствената си парола. Или пък споделянето на файлове е твърде сложно и служителят предпочита да ги качи в някоя незащитена облачна услуга: просто защото така е по-лесно и бързо.

Това може да се предотврати като се създадат бързи и лесни процедури за предоставяне на достъп. Използването на сигурни решения за споделяне на файлове също помага за намаляване на рисковете.

Стрес

Дори и технически грамотен служител може да забрави за използването на VPN, ако гони крайни срокове, а интернет връзката му едва крета. Когато са поставени под стрес, и най-запознатите с политиките за сигурност служители могат да спрат да следват правилата.

Ето защо е важно да обясните на екипа си необходимостта от това да се спазват установените правила. Служителите трябва да разберат, че политиките за сигурност не могат да се нарушават и ако това се случи, ще има негативни последствия.

Защо се заобикалят корпоративните политики за сигурност?

Амбиция

Едно проучване на Gartner прогнозира, че около 40% от покупките на технологични решения се правят, за да се обезпечи бизнес развитието, без това да е съобразено с ИТ нуждите. Това означава, че мениджърите вземат решения на база тяхното желание за успех и по този начин пренебрегват заобиколят информационната сигурност на фирмата.

Това може да се промени, ако купуването на технологични решения е съобразено с изискванията за сигурност.

Любопитство

Някои служители не могат да устоят на изкушението да разглеждат файловете на колегите си: дали за да разберат какви са заплатите на останалите или за да проверят с какви клиенти работи компанията. Около 92% от експертите по информационна сигурност отбелязват, че служители са опитвали да достъпят фирмена информация, която не им трябва за изпълнение на служебните им задължения.

Проблемът с любопитството се решава с известна доза контрол. Необходимо е да въведете политика за достъп до информацията: с различни роли и привилегии, както и мониторинг на служителите.

Желание за помощ

Измамите със служебен имейл са един от основните проблеми за бизнеса. Те продължават да се случват, защото служителите във фирмата просто искат да помогнат. Понякога измамниците се представят за партньори на фирмата и искат информация, която добросъвестните служители услужливо им дават. Същото важи за случаите, в които измамниците се представят за управителя на фирмата и нареждат парични преводи към контролирани от тях банкови сметки.

Ефективността на тези атаки показва, че трябва да се използва защита срещу спиър фишинг и фалшифициране на имейли. Необходимо е да има и ясни процедури за нареждане на парични преводи.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов