ICT plus
Κυριακή, 27 Σεπτεμβρίου 2020

ΨΗΦΟΦΟΡΙΑ

ΠΟΣΟ ΩΦΕΛΗΣΕ Η "ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ" ΤΗΝ ΑΝΑΠΤΥΞΗ ΤΗΣ ΑΓΟΡΑΣ?
ΠΑΡΑ ΠΟΛΥ (ΑΝΩ ΤΟΥ 70%)
ΠΟΛΥ (ΑΠΟ 60 ΕΩΣ 70%)
ΑΡΚΕΤΑ (ΑΠΟ 50 ΕΩΣ 60%)
ΜΕΤΡΙΑ (ΑΠΟ 40 ΕΩΣ 50%)
ΛΙΓΟ (ΑΠΟ 30 ΕΩΣ 40%)
ΚΑΘΟΛΟΥ (ΚΑΤΩ ΑΠΟ 30%)

ΕΡΕΥΝΑ & ΤΕΧΝΟΛΟΓΙΑ

18/12/2007
Έρευνα της RSA σχετικά με την απειλή που διατρέχουν οι εταιρείες από "εσωτερικούς πληροφοριοδότες".

Η RSA, το Τμήμα Ασφαλείας της EMC, ανακοίνωσε τα αποτελέσματα της πρόσφατης έρευνας που διενήργησε σχετικά με την απειλή που διατρέχουν οι εταιρείες από εσωτερικούς πληροφοριοδότες. Η έρευνα έγινε με τη μέθοδο των προσωπικών συνεντεύξεων στους δρόμους της Βοστόνης και της Ουάσιγκτον σε υπαλλήλους δημοσίων υπηρεσιών και ιδιωτικών εταιρειών και είχε ως αντικείμενο τις συνήθειες και τις συμπεριφορές τους σε σχέση με την ασφάλεια των πληροφοριών στο χώρο εργασίας τους.Τα αποτελέσματα δίνουν μία εικόνα των καθημερινών ενεργειών ανθρώπων που βρίσκονται εντός των οργανισμών αυτών, είναι έμπιστοι κι έχουν πρόσβαση σε ευαίσθητα δεδομένα, όπως οι πληροφορίες για πελάτες, οι αριθμοί κοινωνικής ασφάλισης, τα στοιχεία πιστωτικών καρτών, τα οικονομικά στοιχεία των οργανισμών τους και διάφορα στοιχεία σχετιζόμενα με πνευματικά δικαιώματα.

Η πραγματική εσωτερική απειλή βρίσκεται σε καθημερινά γεγονότα

Από τα αποτελέσματα της έρευνας υπογραμμίζεται η ανάγκη επιμελούς διαχείρισης του κινδύνου στον οποίο εκτίθενται τα στοιχεία ενός συγκεκριμένου οργανισμού από το γεγονός και μόνο ότι είναι διαθέσιμα σε καλοπροαίρετους εσωτερικούς πελάτες – στους υπαλλήλους, στους προμηθευτές, στους υπεργολάβους, στους εξωτερικούς συνεργάτες, στους επισκέπτες και στους συμβούλους οι οποίοι έχουν φυσική ή/και λογική πρόσβαση στα στοιχεία της επιχείρησης.Ο παραπάνω κίνδυνος πρέπει να τυγχάνει αντιμετώπισης ανάλογης με αυτόν που δημιουργείται από τους κακόβουλος εσωτερικούς πληροφοριοδότες οι οποίοι εσκεμμένα αφήνουν να διαρρεύσουν ευαίσθητα δεδομένα είτε για λόγους προσωπικού οικονομικού οφέλους, είτε για άλλους εγκληματικούς σκοπούς. Αυτοί οι ‘αθώοι’ εσωτερικοί πληροφοριοδότες μπορούν άθελά τους να εκθέσουν δεδομένα πολύ μεγάλης σημασίας και μεγάλου κόστους είτε μέσω της συνηθισμένης, καθημερινής τους συμπεριφοράς, είτε λόγω αμέλειας, είτε παρακάμπτοντας τα μέτρα ασφαλείας, ή απλώς εφαρμόζοντας μία ανεπαρκή πολιτική ασφαλείας.

Οι υπάλληλοι χρειάζονται τεχνολογία και πρωτόκολλα ασφαλείας προσαρμοσμένα στις επαγγελματικές τους ανάγκες

Τα αποτελέσματα της έρευνας καταδεικνύουν ότι έμπιστοι εσωτερικοί πελάτες μπορεί να παρακάμψουν κάποια πρωτόκολλα ασφαλείας που απαιτούν πολύπλοκη διαχείρηση με μόνο σκοπό να κάνουν τη δουλειά τους.Για παράδειγμα, υπάλληλοι οι οποίοι δεν έχουν πρόσβαση στα συστήματα της εταιρείας από κάποιο σημείο εκτός γραφείου, μπορεί να στείλουν μέσω ηλεκτρονικού ταχυδρομείου ένα έγγραφο στην προσωπική τους θυρίδα, έτσι ώστε να έχουν τη δυνατότητα να εργαστούν από το σπίτι τους σε μεταγενέστερο χρόνο. Βέβαια, μια τέτοια ενέργεια παραβιάζει την πολιτική ασφαλείας των περισσότερων οργανισμών.Σύμφωνα με τα ευρήματα της έρευνας

1. το 35 % όσων απάντησαν έχουν αισθανθεί την ανάγκη να παρακάμψουν τις καθιερωμένες αρχές και πρακτικές ασφαλείας της εταιρείας τους μόνο και μόνο για να μπορέσουν να κάνουν τη δουλειά τους.

2 .το 63 % όσων απάντησαν μερικές φορές ή και συχνότερα στέλνουν έγγραφα της δουλειάς στην προσωπική τους ηλεκτρονική διεύθυνση έτσι ώστε να μπορούν να έχουν πρόσβαση σε αυτά από το σπίτι τους.

Τις περισσότερες φορές, όταν έμπιστοι εσωτερικοί πελάτες παρακάμπτουν τα πρωτόκολλα ασφαλείας, δεν έχουν πρόθεση να δημιουργήσουν βλάβη.Παρόλα αυτά και ασχέτως προθέσεων, μια τέτοια πρακτική μπορεί να καταστήσει δημόσια κάποια ευαίσθητα εταιρικά δεδομένα και μέσω της έκθεσης αυτής να θέσει τον οργανισμό ή πιθανόν και τους καταναλωτές σε περιττό κίνδυνο. Οι οργανισμοί μπορούν να μετριάσουν το συγκεκριμένο επιχειρηματικό κίνδυνο αναπτύσσοντας μια στρατηγική που θέτει την πληροφορία στο επίκεντρο και η οποία αναγνωρίζει τις επιχειρηματικές ανάγκες και τις ευθυγραμμίζει με την στρατηγική ασφαλείας. Από τη στιγμή που θα υλοποιηθεί μια τέτοια στρατηγική, οι εταιρείες θα πρέπει να μετρούν συνεχώς την πραγματική συμπεριφορά των χρηστών σε σχέση με τη συμφωνημένη πολιτική και να είναι σε θέση να χρησιμοποιούν όσα μαθαίνουν για να επιφέρουν μικρές αλλαγές που θα ελαχιστοποιήσουν τον επιχειρηματικό κίνδυνο και θα μεγιστοποιήσουν την παραγωγικότητα. Όταν τα πρωτόκολλα ασφαλείας είναι όσο το δυνατόν πιο βολικά για τους τελικούς χρήστες, τότε μειώνεται και η πιθανότητα κάποιος να παρακάμψει την πολιτική ασφαλείας.

Απομακρυσμένη πρόσβαση σε ευαίσθητες πληροφορίες

Χωρίς να προξενούν έκπληξη, τα αποτελέσματα της έρευνας δείχνουνότι οι υπάλληλοι ενός οργανισμού χρησιμοποιούν τη δυνατότητα απομακρυσμένης πρόσβασης σε εταιρικές πληροφορίες ενόσω βρίσκονται στο δρόμο, εργάζονται σ’ένα καφέ ή σε κάποιο αεροδρόμιο περιμένοντας την πτήση τους

1. το 87 % όσων απάντησαν συχνά ή μερικές φορές κάνει κάποιες δουλειές εκτός γραφείου μέσω εσωτερικού δικτύου VPN ή μέσω webmail.

2. Το 56 % όσων απάντησαν συχνά ή μερικές φορές αποκτούν πρόσβαση στο ηλεκτρονικό ταχυδρομείου της δουλειάς τους μέσω κάποιου δημόσιου σημείου πρόσβασης WiFi (για παράδειγμα, μέσω μιας ασύρματης σύνδεσης στο Internet σ’ ένα καφενείο, στο αεροδρόμιο, στο ξενοδοχείο κλπ.).

3. Το 52 % όσων απάντησαν συχνά ή μερικές φορέςαποκτούν πρόσβαση στο ηλεκτρονικό ταχυδρομείου της δουλειάς τους μέσω ενός δημόσιου υπολογιστή (για παράδειγμα, έναν υπολογιστή σε κάποιο internet καφέ, στο αεροδρόμιο, στο ξενοδοχείο κλπ.).

Για την απομακρυσμένη πρόσβαση σε ευαίσθητα δεδομένα απαιτείται μία διαδικασία ταυτοποίησης (authentication) δυνατότερη από το συνήθη συνδυασμό ‘όνομα χρήστη – συνθηματικό ’ ο οποίος μπορεί πολύ εύκολα και γρήγορα να παραβιαστεί. Οι οργανισμοί έχουν τη δυνατότητα να διατηρήσουν την ευελιξία που προσφέρει η δυνατότητα απομακρυσμένης πρόσβασης και ταυτόχρονα να προστατεύουν τα ευαίσθητα εταιρικά δεδομένα απαιτώντας ταυτοποίηση δύο επιπέδων για την πρόσβαση στο εσωτερικό δίκτυο ή στο webmail. Επίσης, οι εταιρίες μπορούν να μετριάσουν τον κίνδυνο απώλειας πληροφοριών σε περιβάλλον εκτός γραφείου εάν δημιουργήσουν, εάν επιβάλλουν και εάν παρακολουθούν συστηματικά μία συγκεκριμένη πολιτική προστασίας πληροφοριών.

‘’Οι οργανισμοί πρέπει να κατανοήσουν το είδος των πληροφοριών οι οποίες πρέπει να είναι προσβάσιμες από τους υπαλλήλους τους ή άλλους συνεργάτες, να προσδιορίσουν το βαθμό ευαισθησίας των πληροφοριών αυτών και στη συνέχεια να τις προστατεύσουν με συγκεκριμένα μέτρα ασφαλείας ανάλογα με τον ενδεχόμενο κίνδυνο” δήλωσε ο Sam Curry, Vice President of Product Management and Product Marketing στην RSA. ‘Οι καλά προστατευμένες πληροφορίες είναι ένα πλεονέκτημα που παρέχει σε κάθε εργαζόμενο και στον οργανισμό του τη σιγουριά που απαιτείται για να επιτευχθούν καλύτερα αποτελέσματα’.

Η πληροφορία για να είναι χρήσιμη πρέπει να διακινείται ελεύθερα.

Τα αποτελέσματα της έρευνας δείχνουν ότι για την καλύτερη αξιοποίηση των εταιρικών πληροφοριών και την υψηλότερη παραγωγικότητα των υπαλλήλων, οι πληροφορίες πρέπει να διακινούνται ελεύθερα:

1. Το 65 % των ερωτηθέντων απάντησαν ότι συχνά οι μερικές φορές φεύγουν από το χώρο εργασίας τους έχοντας μαζί τους έναν φορητό υπολογιστή, ένα smartphone ή ένα USB memory stick τα οποία περιέχουν ευαίσθητες πληροφορίες σχετικές με τη δουλειά τους (για παράδειγμα, στοιχεία πελατών, προσωπικά δεδομένα όπως οι αριθμοί κοινωνικής ασφάλισης, οικονομικά στοιχεία της εταιρείας, στοιχεία πιστωτικών καρτών ή στοιχεία που θα ενδιέφεραν τον ανταγωνισμό, όπως τα πλάνα ανάπτυξης κάποιων προϊόντων).

2. Το 8 % των ερωτηθέντων απάντησαν ότι έχουν χάσει έναν φορητό υπολογιστή, ένα smartphone ή ένα USBmemorystick τα οποία περιείχαν ευαίσθητες πληροφορίες σχετικές με την εταιρεία ή τον οργανισμό που εργάζονται.

Ενώ η επιχειρηματική κινητικότητα σχετίζεται με τη δυνατότητα απομακρυσμένης πρόσβασης εταιρικούς πόρους, οι πληροφορίες που δεν προστατεύονται – είτε κατά την αποθήκευσή τους, είτε κατά τη διακίνησή τους και τη χρήση τους, αυξάνουν το ρίσκο.Οι οργανισμοί μπορούν να ελαχιστοποιήσουν τον κίνδυνο περιορίζοντας όπου είναι δυνατό τη χρήση ευαίσθητων πληροφοριών ή στοιχείων που μπορούν εύκολα να αποκαλύψουν την ταυτότητα του φορέα στον οποίο ανήκουν και να τα προστατεύσουν όπου κι αν βρίσκονται : σε χρήση από μεμονωμένους υπαλλήλους, αποθηκεμένα στα αρχεία ή τις βάσεις δεδομένων της εταιρείας, διακινούμενα μεταξύ εταιρικών και μη εταιρικών δικτύων.Οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο δημιουργίας αυτόματων μηχανισμών ελέγχου που θα επιβάλλουν συγκεκριμένες ενέργειες ανάλογα με το βαθμό ευαισθησίας των εκάστοτε πληροφοριών είτε για την πρόσβαση σε αυτές, είτε για τη μετάδοσή τους, την κρυπτογράφησή τους, τη διαγραφή ή την απομόνωσή τους.

Η εμπιστοσύνη μεταξύ συναδέλφων

Η φυσική ασφάλεια είναι εντελώς απαραίτητη για την γενικότερη ασφάλεια. Παρόλα αυτά η έρευνα δείχνει ότι πολλοί άνθρωποι κρατούν συχνά την πόρτα (και το ασύρματο δίκτυο) ορθάνοικτη.Η έρευνα αποκάλυψε ότι :

1. Το 34 % όσων απάντησαν έχουν κρατήσει μια πόρτα ασφαλείας ανοικτή για να περάσει στο χώρο εργασίας κάποιος που δεν αναγνώρισαν.

2. Στο 40 % όσων απάντησαν έχει επιτραπεί η είσοδος στο κτίριο από κάποιον που δε γνωρίζουν, επειδή είχαν ξεχάσει την κάρτα ή το κλειδί ελεγχόμενης πρόσβασης.

3. Το 66 % όσων απάντησαν ανέφεραν ότι η εταιρεία τους παρέχει ασύρματο σημείο πρόσβασης στις αίθουσες συνεδριάσεων ή τα σημεία υποδοχής. Το 19 % όσων έχουν πρόσβαση σε τέτοια ασύρματα δίκτυα αναφέρουν ότι το δίκτυο είναι εντελώς ανοικτό, χωρίς κανένα μηχανισμό ταυτοποίησης του χρήστη.

Πολλές φορές, ο μηχανισμός ελέγχου της φυσικής πρόσβασης δεν είναι επαρκής ώστε να εξασφαλίσει ότι μέσα σ’ ένα κτίριο βρίσκονται μόνον εξουσιοδοτημένοι υπάλληλοι . Ακόμα όμως κι αν ο έλεγχος της φυσικής πρόσβασης γίνεται κανονικά, αυτό δε σημαίνει ότι όλοι όσοι επιτρέπεται να βρίσκονται εντός ενός κτιρίου έχουν και νόμιμο δικαίωμα πρόσβασης σε όλες τις πληροφορίες του οργανισμού.Για να ελαχιστοποιηθεί ο επιχειρηματικός κίνδυνος, οι μηχανισμοί ελέγχου της φυσικής πρόσβασης πρέπει να συνδυαστούν με μηχανισμούς ελέγχου της λογικής πρόσβασης. Οι οργανισμοί δεν μπορούν παρά να προστατεύσουν τα ευαίσθητα δεδομένα τους μέσω της υλοποίησης μηχανισμών ταυτοποίησης δύο επιπέδων για την πρόσβαση στο εσωτερικό ασύρματο δίκτυο, στους υπολογιστές γραφείου, στα διάφορα πεδία, στις πόρτες και τις εφαρμογές του εταιρικού δικτύου και να επιβάλλουν και τους αντίστοιχους μηχανισμούς ελέγχου λογικής πρόσβασης.

Εσωτερικές μεταθέσεις, αλλαγή ρόλων.

Μέσα σ’ έναν οργανισμό η αλλαγή είναι συνεχής. Κάθε ημέρα, υπάρχουν εσωτερικές μεταθέσεις ενώ κάποιοι υπεργολάβοι ή σύμβουλοι πηγαινοέρχονται.Η έρευνα αποκαλύπτει ότι η ενημέρωση των πρωτόκολλων ασφαλείας μερικές φορές δεν ακολουθεί τις εξελίξεις :

1. Το 33 % όσων απάντησαν αναφέρουν ότι μετά από μία εσωτερική μετακίνηση εξακολούθησαν να έχουν πρόσβαση σε λογαριασμούς ή εφαρμογές που δε χρειάζονταν πλέον.

2. Το 72 % όσων απάντησαν ανέφεραν ότι η εταιρεία ή ο οργανισμός τους απασχολεί προσωρινά εργαζόμενους ή/και υπεργολάβους οι οποίοι απαιτούν να έχουν πρόσβαση σε κρίσιμα εταιρικά συστήματα και πληροφορίες .

3. Το 23 % όσων απάντησαν έχουν βρεθεί σε κάποια περιοχή του εταιρικού δικτύου όπου κατά τη γνώμη τους δεν θα έπρεπε να έχουν πρόσβαση.

Η πρόσβαση σε ιδιαιτέρως ευαίσθητες πληροφορίες ή σε πληροφορίες που μπορεί να αποκαλύψουν την ταυτότητα προσώπων θα πρέπει να παρέχεται μόνον σε όσους πραγματικά έχουν ανάγκη να το κάνουν.Έτσι, οι οργανισμοί μπορούν να μειώσουν τον κίνδυνο δημοσιοποίησης κρίσιμων πληροφοριών υλοποιώντας μηχανισμούς ελέγχου πρόσβασης βάσει αρμοδιοτήτων.Οι εταιρείες θα πρέπει να εξασφαλίσουν ότι οποιαδήποτε εσωτερική αλλαγή ρόλων ή αρμοδιοτήτων – περιλαμβανομένων και αυτών που αφορούν εξωτερικούς συνεργάτες ή συμβούλους- συνοδεύεται κι από την έγκαιρη αλλαγή των αντίστοιχων δικαιωμάτων πρόσβασης.Τέλος, οι οργανισμοί μπορούν να μετριάσουν τον κίνδυνο διαρροής πληροφοριών ελέγχοντας κεντρικά και με αυστηρότητα τη διαχείριση των κωδικών και των συνθηματικών πρόσβασης, τη χορήγηση συνθηματικών μιας χρήσης και ηλεκτρονικών πιστοποιητικών, καθώς επίσης αναπτύσσοντας μηχανισμούς παρακολούθησης κι ειδοποίησης σε κάθε προσπάθεια μη εξουσιοδοτημένης πρόσβασης.

“Για μία ολιστική πολιτική ασφαλείας που προστατεύει την πληροφορία , απαιτούνται ειδικευμένο προσωπικό, διαδικασίες και τεχνολογία, ενώ πρέπει να συνοδεύεται από κάποιο μηχανισμό ανάδρασης”, δήλωσε ο Christopher Υoung, Vice President and General Manager of the Identity and Access Assurance Group στην RSA.“ Η δημιουργία μίας πολιτικής δεν αρκεί. Η πραγματική συμπεριφορά των υπαλλήλων πρέπει να μετριέται και να αντιπαραβάλλεται με τα συμφωνηθέντα πρωτόκολλα ασφαλείας , έτσι ώστε να ευθυγραμμίζεται το επίπεδο ασφαλείας με τις επιχειρηματικές ανάγκες”
Για να δείτε όλα τα ευρήματα της έρευνας καθώς και τις αντίστοιχες συστάσεις, παρακαλείστε να ανατρέξετε στο “The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Informationat Risk (http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf).

ΑΡΧΕΙΟ - ΕΡΕΥΝΑ & ΤΕΧΝΟΛΟΓΙΑ

<< αρχική < προηγούμενη 1 / 109 επόμενη > τελευταία >>