Эпидемия худших практик безопасности

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 9 авг 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    По данным Venafi, большинству организаций не удаётся придерживаться простых стандартов в области защиты данных и, в большинстве случаев, они полностью не осведомлены о том, какие меры и процедуры безопасности сейчас применяются.

    В ходе исследования был проведён независимый онлайн-опрос среди 420 организаций, занимающихся различными сферами деятельности, в том числе банковских и финансовых, высокотехнологичных, промышленных и правительственных организаций.

    Было проверено, как организации используют и соблюдают 12 лучших процедур ИТ-безопасности, при этом были учтены все показатели – от того, как организации пользуются и управляют процессами шифрования, до того, как часто они используют тренировочные программы и программы осведомления о мерах безопасности.

    Пять лучших мер безопасности, уровень частоты несоблюдения этих мер, а также рекомендации по смягчению последствий:

    Лучшая практика 1: Ежеквартально проводить обучение в области защиты и соблюдения процедур безопасности.
    Частота несоблюдения – 77%
    Рекомендации: Использовать технологии, которые с помощью автоматизации компенсируют недостаток тренировки путём устранения возможностей для возникновения человеческих ошибок.

    Лучшая практика 2: Шифровать все облачные данные и транзакции.
    Частота несоблюдения – 64%
    Рекомендации: Salesforce.com, Google Apps и прочие облачные приложения не шифруют данные по умолчанию. Следует пользоваться сторонними технологиями, которые шифруют облачные данные "на лету", чтобы повысить уровень безопасности и конфиденциальности.

    Лучшая практика 3: Использовать шифрование по всей организации.
    Частота несоблюдения – 10%
    Рекомендации: Хотя низкий уровень отказов от этой процедуры и выглядит утешающе, неудача в процессе управления технологиями может сделать шифрование опасным процессом, чреватым утечкой ключей, которые могут обеспечить неограниченный доступ к якобы находящимся в безопасности данным. Следует пользоваться технологиями, которые позволяют управлять криптографическими активами на всем предприятии.

    Лучшая практика 4: Использовать процессы управления для обеспечения непрерывности деятельности предприятия в случае, если Центр Сертификации (CA) окажется под угрозой.
    Частота несоблюдения – 55%
    Рекомендации: Цифровые сертификаты относятся к самым распространенным защитным технологиям. Однако, как показывает недавняя демонстрация изъянов CA, центры сертификации были и будут находиться под угрозой. Использование CA – это только половина дела – для уменьшения оставшейся доли риска следует иметь план по замене всех сертификатов и ключей шифрования, относящихся к попавшему под угрозу CA.

    Лучшая практика 5: Менять ключи SSH каждые 12 месяцев, чтобы снизить риск, вызванный средним сроком службы сотрудников – два года.
    Частота несоблюдения – 82%
    Рекомендации: Ключи SSH дают серверам и их администраторам root-доступ к важнейшим системам и данным. Время использования ключа, превышающее средний срок службы сотрудников, значительно увеличивает риск того, что бывший работник или администратор получит незаконный доступ. Некоторые предприятия, не меняющие ключи, возможно, не понимают степени важности этой меры. Следует использовать технологии, упрощающие и автоматизирующие смену ключей.

    В ходе исследования было выявлено, что почти 100% участвовавших в опросе организаций были в какой-либо степени подвержены неоправданному риску:
    *На вопрос о том, хранятся ли принадлежащие организациям зашифрованные данные в каком-либо ведущем публичном облаке (Google Apps, Salesforce.com и Dropbox) 40% ответили, что не знают.
    *На вопрос о том, как часто меняются ключевые шифровальные активы, такие как ключи SSH, 41% опрошенных заявили, что не знают.
    *На вопрос о том, используют ли организации ключи шифрования и сертификаты для защиты данных и аутентификации, 10% ответили отрицательно.



    источник
     
    2 пользователям это понравилось.

Поделиться этой страницей