В конце 2014 года компания DataMotion провела ежегодный опрос среди более 700 американских ИТ-специалистов, чтобы разобраться, как на практике происходит соблюдение правил безопасности использования корпоративной почты и обмена конфиденциальными файлами.

Среди респондентов были сотрудники из разных отделов компаний, занимающие различные должности: специалисты, руководители, директора. Чуть более половины респондентов работали в ИТ-отделах. Примерно поровну в опросе приняли участие небольшие, средние и крупные компании, чтобы дать нам представление о том, как ситуация обстоит в организациях разного размера.

Утверждение правил не гарантирует их исполнение

В большинстве организаций, где работают респонденты, внедрены правила по соблюдению информационной безопасности при передаче конфиденциальных данных в виде файлов и электронной почты.

Однако иметь разработанные правила и следовать им – это разные вещи. Почти 44% респондентов заявили, что внутри их компаний за нарушением правил безопасности особо не следят. А более чем три четверти заявили, что время от времени или постоянно нарушают правила.

Чтобы заставить правила работать, необходимо убедиться, что ваши сотрудники знают и понимают их. Тем не менее, более трети (36,4%) респондентов заявили о том, что не до конца понимают, как реализована политика безопасности в их компании, и как ей следовать.

Когда речь зашла о самых распространенных причинах нарушения корпоративной информационной безопасности, почти половина респондентов сказали, что и сами не знали, нарушили они что-то или нет.

Еще 29,3% ответили, что подозревали, что нарушают безопасность, но не до конца понимали все установленные правила. И самое интересное, что более 20% сказали, что политика была намеренно нарушена для того, чтобы завершить рабочие задачи.

Это указывает на необходимость организациям создать более эффективные способы коммуникации, чем это предусматривают существующие правила. Также необходимо донести до сотрудников детальную информацию о том, что входит в политику безопасности, чем страшны последствия ее нарушения и как этого избежать. Необходимо пересмотреть политику безопасности и внедрить новые решения, реорганизовать рабочие процессы и учитывать влияние правил на эти процессы.

Прогресс и позитивное развитие

Хорошей новостью является то, что многие организации принимают меры по улучшению соблюдения политик безопасности. Например, обязательное обучение всех сотрудников, а также внедрение технологий для мониторинга и создания отчетов об исполнении внедренных правил.

Только 7,8% компаний заявили, что они ничего не делали для улучшения существующей системы обеспечения конфиденциальности данных. Опрос показывает, что большинство организаций, как правило, используют различные методы и инструменты для передачи файлов, содержащих конфиденциальные данные, - незашифрованная электронная почта, бесплатные сервисы по передаче файлов и FTP-серверы. Но наиболее популярным способом передачи информации является зашифрованная электронная почта. Ей пользуются более чем 70% опрошенных.

Кроме того, более 70% респондентов заявили, что в их компаниях также установлены правила для получения важных данных из внешних источников. Когда их спросили о конкретных методах, то 77% сказали, что используют проприетарные методы шифрования электронной почты. На сегодняшний день это наиболее популярный метод обмена информации внутри компании. TLS (открытый криптографический протокол, обеспечивающий конфиденциальность и целостность данных, передаваемых в сети Интернет) занял второе место по результатам опроса.

Шифрование электронной почты

Несмотря на повышение требований к соблюдению нормативов и возросшего уровня нарушений в прошлом году, довольно большое число организаций все еще не используют шифрование электронной почты. С 2013 по 2014 год, в целом, процент использования шифрования электронной почты остался на одном уровне, это чуть более 70%. Соответственно, 30% опрошенных посылают важные корпоративные документы с помощью незашифрованной почты. Среди отстающих оказались небольшие организации – 63,9% из них используют защищенную электронную почту. Среди тех компаний, которые используют шифрование электронной почты, большинство пытаются повысить удобство использования - это ключевой критерий, который рассматривается при внедрении. В 62% случаев не требуется дополнительно вводить логин и пароль (интеграция с Active Directory), чтобы отправить или получить зашифрованное письмо, и более 90% имеют возможность отправлять и получать письма непосредственно со своего рабочего компьютера через обычный почтовый клиент. Использование встроенных механизмов шифрования в существующих приложениях позволит упростить процедуру соблюдения правил безопасности.

Использование мобильных устройств

ИТ-директора часто признаются, что использование мобильных телефонов работниками - это одна из главных причин их волнений. И у этого страха есть свой фундамент. Подавляющее большинство организаций (85,8%), независимо от отрасли, позволяют работникам использовать мобильные устройства для корпоративной электронной почты. Из тех, кому политика безопасности разрешает использовать электронную почту на смартфонах, 28,5% не используют шифрование ни на мобильном телефоне, ни на компьютере.

Даже те компании, что используют шифрование корпоративной электронной почты, часто не предоставляют такой возможности для смартфонов. Из более чем 400 опрошенных, использующих шифрование электронной почты на стационарном компьютере и не использующих его на мобильных устройствах, 35,9% не имеют возможности зашифровать электронную почту в мобильном клиенте. Становится еще интересней, если сравнить ответы респондентов из IT и не-IT отраслей. Около 90% из IT-респондентов заявили, что использование электронной почты на мобильных устройствах разрешено в их компаниях, когда как среди не-ИТ-респондентов эта цифра составила всего 77,5%. Это явно дает понять, что компании и сотрудники компаний не из сферы IT более обеспокоены защитой корпоративной информации. Говоря о размерах компаний, то в 47,4% малых организаций (<100 работников) шифрование электронной почты на мобильных клиентах работников не включено, по сравнению с 31% крупных организаций (1000+ сотрудников). Электронная почта является одним из часто используемых приложений на мобильных устройствах. Согласно недавнему исследованию к 2018 году 80% пользователей электронной почты будут отправлять письма электронной почты с мобильных устройств. Отсутствие шифрования на смартфонах является зоной риска для организации.

Уверенность в завтрашнем дне

В то время как в большинстве организаций установлены правила информационной безопасности, более 30% из них не уверены, достаточную ли защиту обеспечивает шифрование электронной почты от утечки данных. И почти 60% из них не уверены вообще, пройдут ли они аудит в ближайшие 12 месяцев. Респонденты из небольших компаний думают, что они, скорее всего, не пройдут аудит в отличие от опрашиваемых из крупных организаций.

Большинство из ответивших, указали что их компании стремятся добиться полного соответствия нормам информационной безопасности - 76,1%. Таким образом, небольшие организации подвержены большим рискам. Но только 18% крупных организаций заявили, что они подвержены определенным рискам из-за нехватки ресурсов для того, чтобы отвечать требованиям. Более 30% респондентов из небольших компаний также подтвердили это. Нехватка ресурсов – весьма веская причина, но все же стоит пересмотреть свою позицию по этому вопросу и закрыть бреши в безопасности.

Выводы

Большинству компаний стоит задуматься о том, как организована корпоративная политика информационной безопасности, ведь риски утечки данных при передаче их по цифровым каналам в некоторых сегментах близки к 100%. Повышение уровня информированности сотрудников, понимание необходимости защиты отправляемых данных и принуждение сотрудников к их выполнению по-прежнему остаются проблемами многих компаний. Эффективность политик безопасности электронной почты и передачи файлов напрямую зависит от тандема внедрения правил и подготовки кадров к их исполнению. Поставщики решений по обеспечению информационной безопасности не только начинают выпускать на рынок более эффективные инструменты, которые легки в использовании, но и помогают в обучении и повышении осведомленности сотрудников, что необходимо для достижения максимально положительных результатов в области сохранения конфиденциальности данных.

Переносные устройства продолжают оказывать влияние на организации всех отраслей, увеличивая риски, когда дело доходит до обеспечения безопасности корпоративной электронной почты. В то время как большинство организаций допускают использование мобильных устройств для решения рабочих задач, на многих смартфонах и планшетах все еще не используется шифрование почты, что создает огромный риск для безопасности.

Конечно, SMB организации более подвержены рискам утечки информации. И эта проблема может коснуться крупных организаций, так как они поддерживают партнерские и деловые отношения с компаниями разного размера.

Защита обмена данными больше не является требованием для специфических структур или больших компаний. Теперь это влияет на нас всех, от простого пользователя до межнациональной корпорации.

Источник: DataMotion.com