Компьютерная безопасность: научите работников обращаться с сетью или увольте их Многие малые компании в Великобритании в отчаянии от действий собственных сотрудников в вопросах, касающихся сетевой безопасности, - однако очень немногие предпринимают необходимые действия, чтобы исправить ситуацию.
Среди средних и малых компаний ошибка конечного пользователя все еще воспринимается в качестве самого большого риска для бизнеса. Но даже учитывая то, что у большинства из компаний имеются средства, с помощью которых можно этот риск контролировать, немногие из них используют их должным образом, - это показало исследование, проведенное IoD среди компаний-членов.
Более 50% опрошенных компаний указали собственных сотрудников как самую большую угрозу для сетевой безопасности. Причем проблемы, вызываемые персоналом, разнятся от проявлений наивности - например, открытие зараженного электронного письма, до злоумышленных действий - таких как кража конфиденциальной информации.
Подавляющее большинство компаний (88%) признают, что сервисы по загрузке файлов и так называемые peer-to-peer сети представляют риск для их бизнеса, и у 75% имеются правила в политике безопасности, предупреждающие о нежелательности использования сервисов типа Kazaa или инстант-мессенджеров. Несмотря на это, 66% компаний указали на то, что использование работниками этих приложений продолжается - что подтверждает либо неэффективное введение правил, либо просто их игнорирование.
Среди других отмеченных респондентами опасных действий, производимых пользователями, можно выделить деактивирование программного обеспечения, отвечающего за информационную безопасность.
Сал Виверос (Sal Viveros), директор SMB-направления в McAfee, уверен что все это - последствия распространенной среди работников культуры, в основе которой уверенность, что технологии безопасности - не для них, и девиз "Я знаю лучше". Многие из работников отключают у себя ПО, обеспечивающее безопасность, для того чтобы сделать возможным запуск приложений, не относящихся к работе, или чтобы использовать USB-устройства.
Но и компании, в свою очередь, предпринимают слишком мало действий для того, чтобы обезопасить себя от случайных или преднамеренных действий работников, которые могут отрицательно сказаться на безопасности. Согласно исследованию у 8% малых и средних компаний до сих пор нет антивирусного ПО - а это самый базовый тип защиты корпоративной сети.
Г-н Вивирос назвал шокирующим то, что собственные работники все еще представляют столь значительную угрозу для компаний. "Похоже на то, что компании готовы брать на себя этот риск", добавил он, указывая на то, что системы безопасности во многих компаниях больше похожи на самодельные баррикады, чем на правильно выстроенные прочные крепостные стены. Кроме того, работники часто не придают значения устным или письменным рекомендациям ИТ-департамента, что говорит еще и о проблеме авторитетности специалистов по безопасности.
"Часто на предприятиях даже не выделяется специальное подразделение ИТ-департамента, отвечающее за компьютерную безопасность. Обычно это один человек, назначенный ответственным за вопросы безопасности, - и он может не иметь необходимого опыта и знаний. Этот человек часто не понимает масштаба угроз и пытается найти баланс между уже имеющимися проблемами и ресурсами - в итоге решение проблем безопасности для него может сводиться к выбору типа "Установить что-нибудь, защищающее от спама?" или "Купить компьютер для нового сотрудника?"
Необходимость принятия решений такого рода, низкий уровень понимания проблем и ограниченный ИТ-бюджет угнетают малый бизнес, однако по мнению г-на Вивироса многих потерь можно избежать если начать с обучения персонала основам сетевой безопасности и способам избежания компьютерных угроз.
Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
необходимость подобного решения назрела давно. или ты проходишь тест или экзамен или собеседование по вопросам компьютерной грамотности, или тебе не место в этой компании.
по телевизиру вовсю орут "остановим СПИД, пока он не остановил нас", безопасный секс важнее чем стабильная работа сети и всей компании.
____________________
Ничто так не сближает людей, как снайперский прицел
Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03 Авторитет: 100
Вне форума
а при чем тут крики, просто необходимость тестирование юзверга на предмет знания необходимых мер защиты при работе в корпоративной сетке. что такое презервативы он знает стопудово, а вот что такое файервол ...
____________________
Ничто так не сближает людей, как снайперский прицел
Знать мало, еще нужно применять )) А вообще необходимость подобных мер - если не тестирования при приеме, так просвещения в процессе - уж много лет как общее место, однако видим то, что видим. И это в Британии, а у нас?
Группа: Admin
Сообщений: 503
Регистрация: 13.08.03 Авторитет: 21
Вне форума
Риски есть, только эти риски у нас еще мало кого затронули, по этому и отношение соответственное, по этому и отвечает большинство пользователей, что свежий антивирус, этот тот, который поставили 2 недели назад и ни разу не обновляли. Говорить же о чем то большем, чем элементарный антивирус приходится очень редко. Перемены у нас не начнуться пока на произойдет:
Цитата :
А мужики известно когда креститься начинают
Цитата :
Многие из работников отключают у себя ПО, обеспечивающее безопасность, для того чтобы сделать возможным запуск приложений, не относящихся к работе, или чтобы использовать USB-устройства.
А при чем здесь USB ? Или это теперь синоним слову дисковод
Причем USB? Да при том, что это фактически открытые ворота для выноса вашей информации!. У многих из вас на рабочих машинах закрыты USB порты? Где гарантия что на них не вставлены диски и с них не качается инфа??? Вы уверены? Я - нет! Добавлено: Причем USB? Да при том, что это фактически открытые ворота для выноса вашей информации!. У многих из вас на рабочих машинах закрыты USB порты? Где гарантия что на них не вставлены диски и с них не качается инфа??? Вы уверены? Я - нет!
Dekker Где как. У нас ними пользуются полным ходом. Добавлено: Причем у меня было вообще даже запрещено приносить на работу цифровые фотоаппараты, т.к. в некоторых из них встроенные флешки на 128 ... 512М, что не хуже жесткого диска. То же касалось и флеш проигрывателей и проигрывателей с жестким диском
Первое и самое главное что нужно делать частному бизнесу - это стимулировать лояльность сотрудников по отношению к фирме. Иначе при даже крайне ограниченном доступе в интернет и "вырезанных" дисководах и USB-портах информацию вынесут. И кстати, все эти меры вроде запрещения пользоваться дисководами/CD-RW/USB/интернетом сильно подрывают оную лояльность. Люди, которым недоверяет руководство, отвечают взаимностью. В условиях "концлагеря" никто работать не хочет. И вместо команды, где интересы фирмы чувствуются как свои получаем совковую систему "мы и они", подчиненные и начальство, правительсвто и народ, с перманентной конфронтацией между ними. Думаю на производительность труда это сказывается понятно как.
Теперь по поводу непредумышленного вреда. Насчет уровня компьютерной грамотности сотрудников. Конечно, желательно чтобы он был выше. Но отделу кадров приходится выбирать из того, что есть. Если на собеседование пришло 20 человек и при прочих раных есть кандидат который лучше разбирается в комьютерах, неужели его не возьмут? А если не из кого выбирать, то что тут делать? Заниматься обучением уже на предприятии и что самое главное - стимулировать это обучение. Насчет секурити полиси - да, его действительно необходимо соблюдать. Всем известно что безопасность противоречит удобству. Поэтому нужно выбрать определенное соотношение между тем и другим и придерживаться его. И руководство тут само должно подавать пример выполнения правил.
А вообще о главном, почему так наплевательски относятся к безопасности? Да потому что до сих пор чаще всего в малом бизнесе потери в результате security incedents меньше, чем стоимость комплексной системы по обеспечению безопасностью. Думаю всем понятно, что "настроить сеть" и "настроить сеть по правилам безопасности" это разный объем работ, требований к квалификации и времени на его осуществление. Причем эта разница может быть в несколько раз. Соответственно в разы может отличаться и стоимость таких мероприятияй. Соотвественно для многих эта стоимость просто дороже, чем потери из-за недостаточной защищенности.
Первое и самое главное что нужно делать частному бизнесу - это стимулировать лояльность сотрудников по отношению к фирме.
Однозначно! Нелояльный сотрудник хуже любого вируса. Тем более что его возможности сетью не ограничиваются
Цитата :
Но отделу кадров приходится выбирать из того, что есть.
Увы..
Цитата :
Заниматься обучением уже на предприятии и что самое главное - стимулировать это обучение.
А вот это реально для хотя бы средних предприятий, малым невыгодно.
Цитата :
А вообще о главном, почему так наплевательски относятся к безопасности? Да потому что до сих пор чаще всего в малом бизнесе потери в результате security incedents меньше, чем стоимость комплексной системы по обеспечению безопасностью.
Естественно, если главная потеря фирмы при крахе системы - аккуратнейше выполненные настройки Counter Strike, то на х... им безопасность? Вот только такие, с позволения сказать, информационные системы служат рассадником всяческой заразы типа вирусов.
Мне повезло. Несмотря на установленные мною же драконовские законы безопасности на нашей фирме особо никто не ныл. Попытки нытья были подавлены повышением з/п. Кто не смог так работать - тот ушел. Но в маленькой фирме настроить безопасность как должно быть - не хватит денег на оплату администраторов. Это верно. А пользователей учить все же надо - иначе себе дороже!