ИТ-отдел — источник угрозы для безопасности компании

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 12 сен 2012.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Программисты, системные администраторы и прочие компьютерщики зачастую могут беспрепятственно исследовать корпоративную сеть своей компании, получить доступ к важным документам — и никто этого не обнаружит. В 68% случаев сотрудники ИТ-отдела имеют больше привилегий в корпоративной сети, чем сотрудники финансового отдела, HR-отдела или менеджеры компании. Такие результаты получила компания Lieberman Software в результате опроса более 450 компьютерщиков.

    [​IMG]

    Опрос показал также, что 39% сотрудников ИТ-отделов имеют фактическую возможность доступа к конфиденциальным файлам, к которым им не положено иметь доступ, а каждый пятый уже пользовался этой возможностью.

    Мораль и лояльность к работодателю у ИТ-сотрудников не слишком высока. Каждый девятый (11%) признался, что в случае угрозы увольнения он готов нарушить права доступа и поискать в корпоративной сети список сотрудников, подлежащих увольнению — и проверить, есть ли там его имя. Компьютерщики готовы присвоить себе и другую корпоративную информацию, если видят такую необходимость. Например, если им заранее известно об увольнении, то 11% опрошенных выразили готовность прихватить с собой часть корпоративных секретов. Около трети респондентов сказали, что руководство компании не знает, как предотвратить такую ситуацию.

    По мнению экспертов Lieberman Software, для устранения угрозы утечки информации организация должна предпринять ряд действий:

    1. Определить и задокументировать все привилегированные аккаунты в системе, кому они принадлежат и какие взаимозависимости имеют между собой.
    2. Делегировать доступ к привилегированным аккаунтам только соответствующим сотрудникам, используя минимально возможное количество привилегий.
    3. Установить правила по минимальной сложности паролей и частоте смены паролей, после чего синхронизировать изменения по всем взаимозависимостям.
    4. Провести аудит и убедиться, что каждая сессия с привилегированного аккаунта правильно задокументирована, с указанием длительности сессии и её причины, при этом запись не доступна для фальсификаций.

    Источник
     
    2 пользователям это понравилось.

Поделиться этой страницей