ИТ-отдел — источник угрозы для безопасности компании?
Программисты, системные администраторы и прочие компьютерщики зачастую могут беспрепятственно исследовать корпоративную сеть своей компании, получить доступ к важным документам — и никто этого не обнаружит. В 68% случаев сотрудники ИТ-отдела имеют больше привилегий в корпоративной сети, чем сотрудники финансового отдела, HR-отдела или менеджеры компании. Такие результаты получила компания Lieberman Software в результате опроса более 450 компьютерщиков.
Опрос показал также, что 39% сотрудников ИТ-отделов имеют фактическую возможность доступа к конфиденциальным файлам, к которым им не положено иметь доступ, а каждый пятый уже пользовался этой возможностью.
Мораль и лояльность к работодателю у ИТ-сотрудников не слишком высока. Каждый девятый (11%) признался, что в случае угрозы увольнения он готов нарушить права доступа и поискать в корпоративной сети список сотрудников, подлежащих увольнению — и проверить, есть ли там его имя. Компьютерщики готовы присвоить себе и другую корпоративную информацию, если видят такую необходимость. Например, если им заранее известно об увольнении, то 11% опрошенных выразили готовность прихватить с собой часть корпоративных секретов. Около трети респондентов сказали, что руководство компании не знает, как предотвратить такую ситуацию.
По мнению экспертов Lieberman Software, для устранения угрозы утечки информации организация должна предпринять ряд действий:
1. Определить и задокументировать все привилегированные аккаунты в системе, кому они принадлежат и какие взаимозависимости имеют между собой.
2. Делегировать доступ к привилегированным аккаунтам только соответствующим сотрудникам, используя минимально возможное количество привилегий.
3. Установить правила по минимальной сложности паролей и частоте смены паролей, после чего синхронизировать изменения по всем взаимозависимостям.
4. Провести аудит и убедиться, что каждая сессия с привилегированного аккаунта правильно задокументирована, с указанием длительности сессии и её причины, при этом запись не доступна для фальсификаций.
информационная безопасность, утечка данных
Комментарии
—1—-
«организация должна предпринять ряд действий»
Какая прелесть. И кто конкретно в организации должен этот «ряд действий» предпринимать? Генеральный директор? Начальник службы безопасности?
ИТ будет по определению иметь тот доступ к конфиденциальной информации, какой им будет нужен. Равно как главбух имеет доступ к финансам компании. И единственный способ обезопасится от злоупотреблений — брать порядочных людей и поддерживать их лояльность нормальным отношением и деньгами.
Все прочие способы — это лишь способы заработать денег на лохах разными консалтинговыми компаниями и разработчиками «непробиваемых систем внутренней безопасности».
—2—
ИТ-специалистам надо платить больше всех — за секретность! Т.к. у них вся конфиденциальная информация. Руководство должно знать,что если будут делать вид,что им платят, то не надо тогда возмущаться откуда инсайдеры берутся и т.п. бяки!
Грамотный ИТ-специалист ,обиженный особенно, это готовый инсайдер. А служба безопасности следов не сможет найти после него никаких!
—3—
ну есть доступ, ну и что. если работает система аудита доступа к данным и все об этом знают, всё будет в шоколаде.
да, и деньги не помогут. зарплата мотивирует максимум полгода. и всегда есть кто-то, кто предложит больше.