У многих мобильных работников граница между работой и домом в плане обмена информацией постепенно стирается. При этом рост популярности приложений для совместной работы и широкое распространение мобильных устройств (нетбуки, смартфоны, коммуникаторы) меняют наше представление о корпоративных системах безопасности: теперь нужны не просто грамотно составленные, но и эффективно внедренные правила, именно они приобретают критически важное значение для защиты конфиденциальных данных. Именно об этом говорят и результаты исследования, проведенного американской аналитической фирмой InsightExpress по заказу Cisco (опрошено более 2 тыс. ИТ-специалистов из Европы, США и Азии).
В ходе исследования выяснилось, что потеря данных стала одной из самых острых проблем для современных предприятий. Ведь если сотрудник считает правила безопасности помехой для повседневной работы и не понимает, чем грозит их нарушение, то персонал очень скоро начнет игнорировать корпоративный регламент. Не секрет, что многие правила являются типовыми — образно говоря, к таковым можно отнести с десяток пунктов “нельзя…” и различные инструкции по настройке того или иного оборудования. Но мало кто разъясняет своим работникам, особенно тем, кто весьма поверхностно знаком с компьютерной техникой, почему этих правил необходимо строго придерживаться. Да и сами существующие регламенты далеко не всегда учитывают такие аспекты информационной безопасности, как управление мобильными и портативными устройствами (смартфонами, флэшками, iPod’ами и т. п.), удаленный доступ (в том числе и к сегментам АСУ ТП), защищенная дистанционная поддержка и аутсорсинг и подключения с помощью мобильных модемов, осуществляемые через беспроводную сеть. В этой связи надо вспомнить известное положение о том, что защищенность любой организации равна защищенности самого слабого ее звена: упущения в политике безопасности могут стоить не только репутации, но и вполне реальных денег.
Все эти размышления могут быть подтверждены цифрами. Судя по данным исследования Cisco, грамотные политики безопасности разработаны в 77% опрошенных компаний — это солидные документы, где предусмотрены, кажется, все возможные варианты развития событий. Но даже если соответствующие правила на предприятии существуют, это вовсе не означает, что все сотрудники скрупулезно их выполняют. Более половины опрошенных признались, что не всегда придерживаются корпоративных правил в этой области. Больше всего таких сотрудников во Франции: там 84% респондентов указали, что иногда, а то и регулярно игнорируют принятые правила защиты данных. В Индии же лишь каждый десятый сотрудник (11%) никогда или почти никогда не нарушает этих правил.
Интересно, что нарушение корпоративных правил информационной безопасности зависит от весьма ограниченного набора факторов. К примеру, степень осведомленности (как раз то, о чем я писал чуть выше). Ведь в зависимости от страны число ИТ-специалистов, знающих правила безопасности, на 20—30% превышает количество обычных сотрудников, знакомых с этими правилами. Наибольший разрыв (31%) зафиксирован в США, Бразилии и Италии. То есть сотрудники, отвечающие за безопасность данных в организации, всё знают и умеют, но никак не могут найти время или способ довести хотя бы азы своего знания до всех остальных сотрудников. Что в результате? Потеря техники, утечка данных, появление множества “дырок” в, казалось бы, стройной (если на бумаге) системе безопасности. А ведь множество этих проблем можно снять за счет самого обычного общения между ИТ-отделами и остальными подразделениями компаний (11% опрошенных сотрудников заявили, что ИТ-служба никогда не сообщает им о правилах безопасности и не проводит соответствующего обучения; особенно часто подобные заявления делались в Великобритании — 25% и Франции — 20%).
С другой стороны, на предприятиях нередко наблюдаются чрезмерные строгости — большинство опрошенных сотрудников считает, что действующие в их компаниях правила носят излишне запретительный характер. Это мнение доминирует в восьми из десяти стран. Тут стоит отметить, что слишком жесткие ограничения не позволяют сотрудникам использовать такие эффективные инструменты, как средства совместной работы, интерактивные приложения Web 2.0, видеотехнологии и мобильные устройства. Не секрет, что грамотная система защиты — это компромисс. ИТ-специалистам пора усваивать не только техническую информацию, но и искусство дипломатии.
Еще один важный результат исследования, на который стоит обратить внимание ИТ-специалистам, — различия во взглядах на причины несоблюдения правил информационной безопасности. По мнению ИТ-отделов, сотрудники не соблюдают эти правила по самым разным причинам — от неспособности понять тяжесть последствий до общей апатии и безразличия. Сами же сотрудники главную причину несоблюдения правил видят в том, что они нереалистичны и мешают выполнять повседневные должностные обязанности. Такого мнения придерживаются двое из каждых пяти опрошенных (42%).
Безусловно, если персонал оказывается перед выбором, соблюдать ли правила безопасности, которые мешают работать, или нарушать их, — ИТ-отделу нужно крепко задуматься. Если не налаживать обратную связь и не адаптировать правила безопасности к реальным потребностям компании, сотрудники попросту будут их игнорировать, что резко увеличит риск потери данных и взлома систем безопасности. При этом пострадают все: из-за утечки информации по вине того или иного сотрудника в каждом пятом случае в руки злоумышленников попадали данные клиентов.