ISS 2009: кризис не помеха новым возможностям


		Новости / Ноябрь 2008

RSS-лента

Новости

Пресс-релизы

Поиск по компаниям


Расширенный поиск

Архив новостей

2002 г

2003 г

2004 г

2005 г

2006 г

2007 г

2008 г

янв	фев	мар	апр
май	июн	июл	авг
сен	окт	ноя	дек
ноябрь

2009 г

2010 г

2011 г

2012 г

Новости

10 ноября 2008 г

Сотрудникам необходимо разъяснять смысл правил информационной безопасности

Cisco обнародовала очередной отчет по результатам глобального исследования утечек данных. В документе оценивается эффективность корпоративных правил информационной безопасности и называются причины, по которым сотрудники игнорируют эти правила.

Как говорится в сообщении Cisco, данные о состоянии дел в области корпоративных правил информационной безопасности были получены в результате опроса более 2000 сотрудников и ИТ-специалистов из Австралии, Бразилии Великобритании, Германии, Индии, Италии, Китая, США, Франции и Японии. Исследование было проведено по заказу Cisco американской аналитической фирмой InsightExpress.

В отчете особо подчеркивается, что по мере стирания границ между работой и домом, роста популярности приложений для совместной работы и распространения мобильных устройств, эффективные правила (политики) безопасности приобретают критически важное значение для защиты конфиденциальных данных. Специалисты вендора отмечают необходимость пересмотра, в связи с полученными в ходе исследования результатами, корпоративной политики в сфере безопасности и методов доведения правил защиты информации до сотрудников компаний. Если сотрудник считает такие правила помехой для повседневной работы и не понимает, чем грозит их нарушение, корпоративный регламент быстро перестает соблюдаться. Сегодня, указывает Cisco, правила сплошь и рядом пишутся в форме жестких инструкций без объяснения причин, почему этих правил необходимо строго придерживаться. Между тем смысл правил информационной безопасности надо растолковывать и доводить до сотрудников — лишь в этом случае они поймут их важность и пользу.

Как показало исследование, правила (политики) безопасности разработаны в большинстве (77 %) компаний. Вместе с тем в каждой четвертой фирме таких правил нет. Для этих предприятий внедрение мобильности и методов совместной и распределенной работы чревато более серьезными негативными последствиями, чем для организаций, где вопросам о том, как и кому предоставлять доступ к корпоративным данным, приложениям и сетям, уделяется должное внимание. Отсутствие правил информационной безопасности особенно часто встречается в Японии (39 % опрошенных) и Великобритании (29 %).

Впрочем, даже если в компании соответствующие правила существуют, это вовсе не означает, что все сотрудники скрупулезно их выполняют. Более половины опрошенных признались, что не всегда придерживаются корпоративных правил безопасности. Больше всего таких сотрудников во Франции: там 84 % респондентов указали, что иногда, а то и на регулярной основе, игнорируют принятые правила защиты данных. В Индии же лишь каждый десятый сотрудник (11 %) никогда или почти никогда не нарушает этих правил.

Cisco полагает, что соблюдение или, наоборот, нарушение корпоративных правил информационной безопасности зависят от ряда факторов, среди которых выделяются следующие.

В зависимости от страны, число ИТ- специалистов, знающих правила безопасности, на 20-30 процентов превышает количество обычных сотрудников, знакомых с этими правилами. Наибольшой разрыв (31 %) зафиксирован в США, Бразилии и Италии. Эти результаты лишний раз свидетельствуют о важности эффективного взаимодействия между ИТ-отделами и остальными подразделеними компаний.

11 % опрошенных сотрудников заявили, что ИТ-отдел никогда не сообщает им о правилах безопасности и не проводит соответствующего обучения. Особенно часто подобные заявления делались в Великобритании (25 % респондентов) и Франции (20 %). Там же, где ИТ-специалисты оповещают сотрудников о правилах защиты информации, они зачастую делают это в неофициальной форме: устно, по электронной почте, с помощью всплывающих подсказок во время загрузки систем, через голосовую почту.

Трое из каждых четырех ИТ-специалистов (77 % ) считают, что правила безопасности нужно обновлять чаще, чем это делается ныне. Это мнение разделяет почти половина (47 %) сотрудников других отделов. Особенно часто это требование высказывалось в Китае (91 %) и Индии (89 %). Если сравнить эти показатели с данными предыдущих исследований, то обнаружится, что необходимость строгих корпоративных правил информационной безопасности особенно остро ощущается в странах с быстроразвивающейся экономикой.

Большинство опрошенных сотрудников считает, что действующие в их компаниях правила носят чересчур запретительный характер. Это мнение доминирует в восьми из десяти стран, где проводилось исследование, и только в Германии и США пользователи придерживаются другого мнения.

Еще один примечательный результат исследования — различия во взглядах обычных сотрудников и информационно-технологических специалистов на причины несоблюдения правил информационной безопасности. По мнению ИТ-специалистов, сотрудники не соблюдают эти правила по самым разным причинам — от неспособности понять тяжесть последствий до общей апатии и безразличия. По мнению же самих сотрудников, главная причина несоблюдения правил кроется в том, что эти правила нереалистичны и мешают выполнять повседневные должностные обязанности. Такого мнения придерживаются 42 % респондентов. При этом, в Германии, где большинство сотрудников считает корпоративные правила безопасности справедливыми, 55 % респондентов заявили о своей готовности их нарушить, если правила станут помехой для работы. В этой связи в документе указывается, что ИТ-отдел должен менять правила безопасности, адаптируя их к реальным потребностям компании и ее сотрудников, иначе те будут попросту игнорировать эти правила, что резко увеличит риск потери данных и взлома систем безопасности.

версия для печати