По мнению представителей Cisco, рост которой во многом обусловлен именно развитием средств поддержки совместной работы, по мере дальнейшего повышения мобильности персонала, границы между работой и личной жизнью начинают размываться. Все это приводит к неоправданно рискованному использованию ИТ-ресурсов организации-работодателя и утечке критически важной для нее информации.
"Сегодня сотрудники становятся все более мобильными, взаимодействие между ними неуклонно развивается, -- подчеркнул в своем заявлении технический директор Cisco Джон Стюарт. -- При отсутствии современных технологий безопасности и политик, при недостаточном уровне подготовки и осведомленности персонала уязвимость информации заметно возрастает".
Исследование, проведенное компанией InsightExpress по заказу Cisco, базируется на результатах опросов более 2 тыс. сотрудников и ИТ-специалистов из 10 стран. Оно должно помочь работодателям оценить последствия утечки данных и ее влияния на безопасность с учетом того, что стиль жизни сотрудников и их рабочая среда все меньше привязаны к какому-то конкретному месту. Кроме того, авторы исследования выявили опасные действия, способные привести к утечке информации, и дали рекомендации по управлению рисками в условиях дальнейшей популяризации этой новой парадигмы рабочего места. В опросе принимали участие 1 тыс. сотрудников и 1 тыс. ИТ-специалистов, представлявших различные отрасли и компании разного масштаба из десяти стран: США, Великобритании, Франции, Германии, Италии, Японии, Китая, Индии, Австралии и Бразилии. Страны выбирались с учетом разнообразия их социальной и деловой культуры, степени зависимости экономики от телекоммуникационных сетей и различных уровней распространения Internet.
По итогам исследования были выделены следующие наиболее существенные поведенческие закономерности.
- Изменение настройки параметров безопасности компьютеров. Каждый пятый сотрудник из числа опрошенных вносил изменения в настройку параметров безопасности своих рабочих устройств, с тем чтобы обойти установленные ИТ-политики и получить доступ к неавторизованным Web-сайтам. Более половины говорили о том, что им просто хотелось получить доступ к интересующим их сайтам, а треть считает, что "никого не должно интересовать", какие сайты ими посещаются.
- Использование неавторизованных приложений. Семь из десяти ИТ-специалистов утверждают, что доступ к неавторизованным приложениям и Web-сайтам является причиной как минимум половины всех случаев утечки данных. Такая уверенность наиболее характерна для пользователей США (74%) и Индии (79%).
- Неавторизованный доступ к сетевым и прочим ресурсам. В прошлом году два из пяти ИТ-специалистов зафиксировали попытки получения сотрудниками неавторизованного доступа к сети. Причем две трети указали на то, что такие попытки предпринимались неоднократно, а 14% регистрировали их ежемесячно.
- Совместный доступ к конфиденциальной корпоративной информации. Каждый четвертый сотрудник на словах признал, что делился конфиденциальной информацией своего предприятия с людьми, не работающими в его компании: с друзьями, членами семьи и прочими посторонними лицами. На вопрос о причинах чаще всего давались следующие ответы: "Мне нужно было с кем-то обсудить идеи", "Требовалось дать выход своим эмоциям" и "Я не видел в этом ничего плохого".
- Совместное использование корпоративных устройств. Почти половина опрошенных сотрудников передавала свои рабочие устройства другим, в том числе и посторонним лицам, оставляя их с оборудованием без присмотра.
- Стирание грани между рабочими и личными устройствами и средствами взаимодействия. Почти две трети сотрудников признали, что ежедневно используют свои рабочие компьютеры в личных целях. Подобные действия включают в себя скачивание музыки, совершение покупок, проведение банковских операций, участие в блогах и форумах. Половина сотрудников использовала личную электронную почту для общения с клиентами и коллегами, но только в 40% случаев на это было получено разрешение ИТ-службы.
- Незащищенные устройства. По крайней мере, каждый третий сотрудник, покидая свое рабочее место, оставлял компьютер включенным и незаблокированным. Портативные компьютеры оставлялись на рабочем столе на ночь, при этом иногда их владельцы даже не завершали сеанса работы. Все это порождало потенциальную угрозу кражи или получения злоумышленниками доступа к корпоративным и личным данным.
- Хранение учетной информации и паролей. Один из пяти сотрудников хранит системные учетные записи и пароли непосредственно в своем компьютере, записывает и оставляет их на рабочем столе, в незакрытом кабинете или в виде наклейки на компьютере. В некоторых странах (в частности, в Китае) 28% сотрудников сообщили, что хранят на своих рабочих устройствах учетную информацию и пароли к личным финансовым счетам.
- Утеря портативных устройств хранения. Каждый четвертый сотрудник выносит корпоративную информацию на портативных устройствах хранения за пределы офиса.
- Проход нескольких людей по одному электронному пропуску, безнадзорное нахождение посторонних рядом с помещениями компании. В Германии более 20% служащих сообщили, что посторонним позволено бродить вокруг их офисов без присмотра. В целом, это отметили 13% опрошенных. А 18% рассказали, что неизвестным лицам беспрепятственно разрешалось проходить в помещения компании вслед за сотрудниками.
По мнению представителей Cisco, выявленные факты помогут компаниям скорректировать свои планы по управлению глобальными рисками. Для предотвращения потери данных рекомендуется придерживаться следующих правил.
- Ответственные лица должны знать, как и где хранятся данные, каким образом осуществляется доступ к ним, каков характер их использования.
- Данные необходимо защищать точно так же, как и деньги, -- разъяснять сотрудникам, как защита данных отражается на процессах зарабатывания и потери денежных средств.
- Требуется выработать стандарты безопасного перемещения, определив цели глобальной политики и составив инструкции для персонала с учетом национальной культуры и характера угроз.
- Необходимо укреплять доверительные отношения между представителями ИТ-службы и остальными сотрудниками.
- Следует разъяснять сотрудникам требования безопасности, проводя соответствующее обучение и инструктажи.
Результаты исследования появились вскоре после того, как представители Cisco указали на наличие уязвимых мест в системе безопасности механизмов виртуализации и вычислительных ресурсов "облака". В Cisco рассчитывают, что развитие этих рыночных сегментов будет способствовать дальнейшему росту этой компании.