White paper společnosti IDC dále ukazuje nevhodné zaměření bezpečnostních obav většiny ředitelů, kteří přikládají vyšší prioritu ochraně proti úmyslným útokům zevnitř firmy než investicím do prevence častějších a potenciálně nebezpečnějších incidentů zabezpečení způsobených nedbalostí zaměstnanců.
Právě vydaný white paper společnosti IDC „Insider Risk Management: A Framework Approach to Internal Security" (Řízení rizik ze strany zaměstnanců: Rámcový přístup k interní bezpečnosti) sponzorovaný společností RSA, pojednává o interních rizicích zabezpečení - o potenciálních hrozbách, jimž je organizace vystavena ze strany interních uživatelů, kteří mají přístup ke klíčovým systémům a důvěrným informacím. I přes povědomí o tom, že uživatelé v organizacích vytvářejí rizika v oblasti zabezpečení informací, často důležitost ochrany vůči interním rizikům zastíní externí hrozby. Nový výzkum odhaluje nesrovnalost mezi obavami, které mají v oblasti zabezpečení ředitelé, a vyšším počtem narušení zabezpečení zevnitř firmy a hrozeb, které pro chod podniku představují narušení zabezpečení vinou nedbalosti, neoprávněného přístupu a zneužití informací ze strany zaměstnanců.
Mezi globálními vedoucími pracovníky v IT s rozhodovací pravomocí, kteří v průzkumu odpovídali, většina uvedla, že nejsou schopni identifikovat zdroje interních rizik ani jejich záměry a že jen s obtížemi kvantifikují potenciální finanční důsledky a dopady na chod firmy. Z organizací zařazených do průzkumu jich 52 % charakterizovalo bezpečnostní incidenty zevnitř firmy jako převážně nahodilé a pouze 19 % je přesvědčeno, že šlo o záměrné útoky. Ze zbývajících respondentů se 26 % domnívá, že jde o rovnoměrný podíl obou typů útoků, a zbylá 3 % si nebyla jista. Když však byli požádáni o určení pořadí hlavních hrozeb, téměř 82 % ředitelů nevědělo s jistotou, zda jsou incidenty ze strany smluvních partnerů a pracovníků na dočasných pozicích neúmyslné, nebo záměrné.
Další pozoruhodné postřehy zdůrazňují počet interních bezpečnostních incidentů zevnitř organizace. Za uplynulých 12 měsíců přiznalo 400 respondentů 6 244 incidentů neúmyslné ztráty dat, 5 830 malwarových nebo spywarových útoků zevnitř podniku a 5 794 incidentů vinou rizik vzniklých nadměrnými oprávněními a přístupovými právy. Celkem se počet interních bezpečnostních incidentů v předchozích 12 měsících vyšplhal na 57 485. Výsledky průzkumu ukazují, že téměř 40 % organizací plánuje v příštích 12 měsících zvýšit investice do iniciativ, jejichž cílem je omezit interní bezpečnostní rizika, a pouhých šest procent chce investice snížit. Tyto výsledky naznačují, že univerzální řešení, jak se nejlépe vypořádat s interními riziky zabezpečení, neexistuje. Je nutné zaujmout komplexní postoj k řízení rizik, lépe porozumět profilu rizik v organizaci a podle něj nastavit odpovídající kontrolní prvky.
Ačkoli u útočníků se zlými úmysly je patrná vyšší propracovanost útoků na data, tyto nové výsledky ukazují, že neúmyslné ztráty dat a chyby v řízení zabezpečení informací ovlivňují integritu provozu v organizaci větší měrou než záměrné útoky.
Ke klíčovým zjištěním průzkumu patří:
- Neúmyslná vs. záměrná rizika: K nejnaléhavějším obavám v oblasti zabezpečení řadí ředitelé útoky se zlým úmyslem zevnitř organizace, jako je neoprávněný přístup k důvěrným informacím a šíření malwaru a spywaru zevnitř podniku. Interní ohrožení zabezpečení, která způsobila největší počet incidentů (neúmyslná ztráta dat vinou nedbalosti zaměstnance) a měla největší finanční dopad (neaktuální nebo nadměrná oprávnění a přístupová práva uživatelů), ovšem byla náhodná.
- Zdroj hrozeb: V loňském roce byli největšími zdroji interních hrozeb smluvní partneři a zaměstnanci na dočasných pozicích.
- Finanční ztráty: Průměrná roční finanční ztráta vzniklá interními riziky v oboru outsourcingu IT dosahovala téměř 800 000 dolarů.
- Nejistota pracovníků s rozhodovací pravomocí: I když 93 % respondentů ve svých organizacích má zodpovědnost za rozhodování v oblasti zabezpečení, téměř 82 % z nich si nebylo jisto zdrojem interních rizik v jejich společnosti a nedokázalo je přesně určit nebo kvantifikovat jejich finanční dopad.
White paper společnosti IDC sponzorovaný společností RSA „Řízení interních rizik: Rámcový přístup k interní bezpečnosti" je k dispozici na webu společnosti RSA na adrese www.rsa.com/insider-risk..
PŘEDPLATNÉ
ČLÁNKY DO MAILU