Z badania Global Corporate IT Security Risks 2013 przeprowadzonego ubiegłej wiosny przez Kaspersky Lab oraz B2B International wynika, że większość firm tworzy własne działy techniczne w celu prowadzenia szkoleń swoich pracowników w zakresie bezpieczeństwa IT, zamiast korzystać z usług zewnętrznych konsultantów IT. W badaniu wzięły udział firmy zlokalizowane na całym świecie.
Skuteczne szkolenie pracowników w zakresie bezpieczeństwa IT jest kluczowym elementem każdej strategii zwalczania cyberzagrożeń. Według badania cztery na pięć najbardziej rozpowszechnionych wewnętrznych incydentów naruszenia bezpieczeństwa zarejestrowanych w ciągu minionych 12 miesięcy miało bezpośredni związek z działaniami personelu:
• 32% respondentów zgłosiło przypadkowe wycieki poufnych danych,
• 30% respondentów zgłosiło przypadki utraty przez pracowników korporacyjnych urządzeń mobilnych z przechowywanymi na nich krytycznymi danymi,
• 19% firm odnotowało celowe wycieki danych w wyniku działań personelu,
• 18% firm padło ofiarą incydentów, w wyniku których poufne dane wpadły w niepowołane ręce w efekcie niewłaściwego wykorzystywania urządzeń mobilnych (za pośrednictwem mobilnego klienta e-mail, wiadomości tekstowych itd.).
Po raz kolejny badanie pokazuje, że nieumyślne błędy personelu stanowią przyczynę dużego odsetka wycieków krytycznych danych oraz incydentów naruszenia bezpieczeństwa IT. Kluczem do pokonania tego wyzwania jest uświadamianie użytkowników w zakresie zagrożeń dotyczących bezpieczeństwa IT oraz najlepszych sposobów na uniknięcie ich.
O ile wyniki badania wyraźnie pokazują, jak ważna jest edukacja pracowników w zakresie bezpieczeństwa IT, pozostaje pytanie: kto powinien prowadzić takie szkolenia?
Jak ustalili eksperci z Kaspersky Lab i B2B International, większość firm uważa, że za szkolenie pracowników w zakresie bezpieczeństwa IT powinien odpowiadać wewnętrzny dział IT organizacji – mimo że edukacja personelu nie jest jedną z kluczowych funkcji tego segmentu firm. Ten dodatkowy obowiązek wpływa na wydajność: respondenci zauważyli, że działy IT posiadają inne ważne zadania i zwykle nie mają czasu na szkolenie swoich współpracowników. Naturalnie, może to mieć negatywny wpływ na jakość szkolenia. Lepszy rezultat mogłoby mieć wynajęcie zewnętrznego konsultanta IT z odpowiednim doświadczeniem w zakresie szkoleń. Jednak tylko 12% respondentów wskazało na skorzystanie z takiej opcji.
Działy zasobów ludzkich zajmują się szkoleniem pracowników w 8% badanych firm. Podobna liczba firm oddelegowuje to zadanie do działu szkoleń. Około 3% respondentów wskazało, że ich organizacja zatrudnia zewnętrznego szkoleniowca korporacyjnego. Takie dane liczbowe są zbliżone w różnych regionach z kilkoma niewielkimi różnicami: np. najwyższy odsetek firm zlecających szkolenie w zakresie bezpieczeństwa IT wewnętrznym działom IT odnotowują państwa zlokalizowane na Bliskim Wschodzie (73%), w Japonii (72%) i w Ameryce Północnej (71%). W celu szkolenia pracowników najczęściej zatrudnia się zewnętrznych konsultantów IT w Ameryce Południowej (16%) i regionie Azja Pacyfik.
Ogólnie, duże znaczenie szkolenia pracowników w zakresie bezpieczeństwa IT potwierdza zdecydowana większość firm – tylko 4% respondentów przyznało, że ich firma w ogóle nie szkoli swoich pracowników w zakresie bezpieczeństwa IT. Jednak jakość szkoleń firmowych to otwarta kwestia; w końcu świadomość pracowników odnośnie cyberzagrożeń bezpośrednio wpływa na zakres, w jakim przestrzegają oni korporacyjnych polityk bezpieczeństw IT, a w efekcie na ogólny stopień zabezpieczenia firmy przed cyberzagrożeniami. Obecnie stopień egzekwowania polityk jest stosunkowo niski – około 39% uczestników badania przyznało, że pracownicy firm nie zawsze respektują czy należycie stosują korporacyjne reguły dotyczące bezpieczeństwa IT.
Edukacja: jeden z elementów szerszej strategii bezpieczeństwa
Warto pamiętać, że niezależnie od tego, jak czujny i świadomy zagrożeń jest personel, ryzyko udanego cyberataku na firmę pozostaje wysokie, a wykorzystanie zaawansowanych rozwiązań do ochrony korporacyjnej infrastruktury IT ma krytyczne znaczenie.
Nowe flagowe rozwiązanie korporacyjne firmy Kaspersky Lab, Kaspersky Endpoint Security for Business, oprócz zapewniania niezawodnej ochrony przed szkodliwymi programami, atakami sieciowymi, atakami ukierunkowanymi, spamem i phishingiem zawiera również wiele funkcji wspomagających skuteczne zarządzanie korporacyjną infrastrukturą IT. Rozwiązanie pomaga przeprowadzić inwentaryzację stacji roboczych, niezwłocznie aktualizować zainstalowane oprogramowanie, zarządzać i ograniczać prawa dostępu do różnych elementów infrastruktury IT, konfigurować i nadzorować egzekwowanie polityk bezpieczeństwa, szyfrować poufne dane (np. w przypadku gdy urządzenie firmowe zostało zgubione lub ukradzione), a także może być wykorzystywane do wykonywania kilku innych operacji niezbędnych do zapewnienia korporacji wysokiego poziomu bezpieczeństwa IT.
Kaspersky Endpoint Security for Business oferuje jeszcze jedną technologię, która zapobiega incydentom wynikającym z błędów pracowników: dynamiczne białe listy, które zapobiegają uruchamianiu szkodliwego oprogramowania. Oparte na tej technologii rozwiązania wykorzystują bazę zaufanych aplikacji programu i pozwalają systemowi operacyjnemu na uruchomienie tylko tych programów, które znajdują się na białej liście. Znacznie utrudnia to przeprowadzenie skutecznego ataku na firmę nawet przy pomocy wysoce złożonych szkodliwych programów, które mogą nie być znane rozwiązaniom antywirusowym.
Jednocześnie ważne jest, aby zawarta w rozwiązaniu biała lista była wystarczająco duża, aby objąć maksymalną liczbę wykorzystywanych przez firmę aplikacji bez stwarzania problemów legalnym programom. Baza danych firmy Kaspersky Lab liczy obecnie ponad 700 milionów unikatowych plików i jest regularnie aktualizowana o nowe pliki. Wyniki przeprowadzonych wcześniej tego roku niezależnych testów pokazują, że rozmiar tej bazy danych wystarczy do zapewnienia skutecznej ochrony. Rozwiązanie firmy Kaspersky Lab przeszło wiele testów, w których nie wygenerowało żadnego fałszywego trafienia, wykrywając niemal 100% plików spotykanych w aplikacjach powszechnie wykorzystywanych przez korporacje i użytkowników domowych.
Kaspersky Endpoint Security for Business może być również zintegrowany z innymi wyspecjalizowanymi rozwiązaniami firmy Kaspersky Lab. Obejmują one korporacyjne rozwiązania przeznaczone do zarządzania i ochrony urządzeń mobilnych, takie jak Kaspersky Security for Mobile, rozwiązania zabezpieczające serwery wirtualne oraz wiele innych produktów pomagających zabezpieczyć nawet najbardziej złożone i nietypowe korporacyjne infrastruktury IT.
Pełny raport z badania przeprowadzonego przez Kaspersky Lab oraz B2B International jest dostępny na stronie http://media.kaspersky.com/en/business-security/Kaspersky_Global_IT_Security_Risks_Survey_report_Eng_final.pdf.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.
