Семь смертных грехов в корпоративной кибербезопасности

Большинство офисных сотрудников хотя бы раз нарушали корпоративную политику информационной безопасности. И далеко не всегда это были сознательные нарушения во вред деятельности компании. Иногда пойти в обход установленных правил необходимо просто для того, чтобы выполнить свою работу. Особенно часто этот эффект можно наблюдать в ситуациях, когда CISO или IT-директор блокирует работу целых подразделений из-за чрезмерно жестких ограничений. CISO, IT-директора и HR должны особое внимание уделять подобным кейсам нарушения правил не для того, чтобы “наказать виновных”, а чтобы делать политики информационной безопасности более гибкими и обеспечивающими максимальную эффективность работы подразделений компании.

В недавнем исследовании, опубликованном One Identity, по данным опроса специалистов корпоративной информационной безопасности, 92% опрошенных участников говорят, что сотрудники организации пытаются получить доступ к информации, в которой они не нуждаются для повседневной работы.
Причем, попытки несанкционированного доступа среди топ-менеджмента гораздо встречаются гораздо чаще, чем среди рядовых сотрудников.
Рассмотрим основные причины, почему сотрудники нарушают политику безопасности и доступа к данным.

Гордыня
Корпоративные политики и цели не всегда могут совпадать с личными амбициями сотрудников. Особенно, когда службы IT и информационной безопасностью воспринимаются, как всего лишь сервисные отделы, не обеспечивающие рост компании. В подобных случаях игнорирование и попытки обхода правил доступа, сотрудники часто объясняют тем, что это совершалось на благо развития компании и ее успеха.

С другой стороны, нередки случаи, когда системный администратор включает “режим Бога”, делая практически невозможным выполнение сотрудниками их прямых обязанностей, не нарушая правил.

Алчность
В наше время информация стоит денег. Иногда это очень большие деньги. Рядовой менеджер может не устоять перед соблазном продать клиентскую базу. В то время, как инсайдеры, находящиеся на должностях более высокого уровня, приносят компаниям более серьезный ущерб.

Зависть
Почему у соседа по офису есть доступ к чувствительной информации и право на загрузку приложений? Кто-то просто посчитает это несправедливым и пойдет в обход системы.

Гнев
Обиженный сотрудник может стать источником серьезных проблем для компании. Нередки случаи, когда уволенный сотрудник вместе с личными вещами прихватывает за собой важную информацию или меняет пароли для доступа к важным веб-сервисам, “забыв” передать их руководству.

Похоть
Порносайты все еще остаются одним из источников заражения пользовательских устройств.  Если сайт для взрослых предлагает установить обновление для видеоплеера, скорее всего, это будет троян. А сайты и приложения для знакомств - по-прежнему популярный канал для фишинга и скама.
 
Чревоугодие
В 21 веке грех чревоугодия трансформировался из стремления съесть как можно больше в желание потреблять блюда высокой кухни в изысканной обстановке. Благо, этому способствует развитая индустрия общепита, а современные гаджеты позволяют объединить работу с процессом поглощения пищи. Бесплатный Вай Фай, коим оснащены практически все современные заведения, делает этот процесс легким и комфортным. О том, что пользовательские данные в таких сетях могут быть доступны третьим лицам, знают все. Но при этом, продолжают подключаться к ним.

Лень
Пожалуй, самый главный грех современного пользователя с точки зрения безопасности. Лень придумывать сложный пароль. Лень придумывать и запоминать разные пароли для сервисов. Лень устанавливать двухфакторную аутентификацию и завершать неактивные сессии. Простите, мы вас предупреждали.

Конечно же, в статье мы привели информацию в несколько упрощенном виде. Мотивы и причины нарушения политики доступа могут изменяться и комбинироваться. Под влиянием внутренних и внешних факторов формируются различные сценарии с разным уровнем критичности. Главный вывод, который можно сделать: управление идентификацией и доступом - динамический процесс, которым нужно управлять на постоянной основе. При этом, эффективное управление идентификацией и доступом решает не только вопросы информационной безопасности, а и эффективности бизнеса в целом. А это значит, что в него должны быть вовлечены не только специалисты IT и ИБ, но также и HR, линейные руководители и топ-менеджмент компании.