I.T.和金融服务行业的内部人员安全威胁:调查显示,员工的日常行为将敏感的商业信息置于风险之中
来自EMC的RSA 信息安全事业部的最新研究表明,无辜的内部人员处于安全政策、远程和基于角色的访问以及移动性的困境之中
超过50%的人都会绕过IT安全政策以完成他们的工作
BEDFORD, MA –RSA,EMC(纽约证券交易所:E MC)信息安全事业部今天宣布了其最新的内部威胁调查结果,这项调查是在2008年春、夏季出席北美和拉丁美洲行业活动与会人士中进行的。
这项调查共询问了417个人–其中包括RSA大会代表–这些人回答了与他们工作有关的安全行为和态度。受访者来自不同的行业,主要集中在金融和技术部门。几乎有一半的受访者他们的工作职能是信息技术方面。在这个数据破坏广为宣扬的时代,调查结果表明,即使是那些应该了解得更清楚的人也不能免除可能会引发敏感商业信息重大风险的日常行为。
受访者中:
l46%工作于金融服务部门
l20%工作于技术部门
l46%是IT专业人士
l11%是管理人员
l54%供职公司的雇员超过5000 名
人们总是按照他们的意愿做事,而不管是否知晓最佳安全实践
调查结果表明他们清楚地知道他们公司的IT部门对他们所作的限制,但是许多人经常绕开这些控制措施,以方便及时地完成他们的工作。
在所有受访者中:
l94%的受访者熟知组织的IT安全政策,然而有53% 的受访者觉得有必要绕开IT安全政策以完成他们的工作
l在对一个单独问题的回答中,64% 的受访者经常或有时会将他们的工作文档发送到他们的私人电子邮件地址中,以从家中访问这些文档进行工作。
l在美国的调查中,这个数据降到了50%,但在墨西哥的调查中又增加到了62%,在巴西的调查中增加到了71% 。
l15%的受访者会在工作时给不认识的人开门。
l在巴西的调查中这个数据最好,为7%,其次是墨西哥调查中的16% 。相比之下,美国的调查结果表明差不多每三个内部人士中就有一个(31%)曾经让陌生人进入到他们的工作场所。
当受信赖的内部人士绕开安全政策时,敏感数据就可能会被泄露,这会将他们的公司和客户–通常是消费者–置入不必要的风险之中。通过开发以信息为中心的、与公司的需求和现实相对应的安全政策,组织可以大大减轻这种风险。这将有助于在其整个生命周期中保护信息的完整性和机密性,而不管它移向何处,谁访问了它,以及它如何被使用。同时,组织应该建立更加方便的、无形的、层次化的安全技术,以减少导致员工违反规则和自己公司安全政策的因素。
对敏感信息的远程访问:随机且未受保护
在移动的世界中,调查确认了当员工不在办公室,不管他是在家还是在公共场所,都会依赖远程的方式访问公司信息。
在所有受访者中:
l89%的受访者经常或有时利用虚拟专用网(VPN)或邮件开展业务
l58%的受访者经常或有时通过公共计算机访问他们的工作电子邮件,65% 的受访者经常或有时通过公共无线热点访问他们的工作电子邮件
远程访问敏感数据需要更为强大的认证形式,而不是简单的、静态且易受攻击的用户名和密码组合。为了帮助解决这一问题,组织可以通过在黑莓®智能手机等移动设备上使用可以轻松访问的硬件令牌或软件令牌来提供一次性密码,以保持远程访问VPN和网络邮件的灵活性和方便性。
信息可以是一个移动目标– 便携式数据经常被不恰当的处理
调查结果显示,为了使员工最有效地进行工作,信息是可以自由移动的。然而,员工的流动性增加了保护被带出组织外信息的公司责任。
在所有受访者中:
l每10个受访者中就有一人曾丢过存有公司信息的笔记本电脑、智能手机和/或USB闪存驱动器
l墨西哥的调查结果表明该地区的公司数据外泄发生率最高,承认丢过笔记本电脑、智能手机和/或USB闪存驱动器的受访者比例达到了惊人的29% ;这一数据在美国最低,仅为5%
l79%的受访者经常或有时在离开工作场所时会携带存有与工作相关的敏感信息的移动设备,如笔记本电脑、智能手机和/或USB闪存驱动器。
虽然流动性对业务敏捷性来说至关重要,但未受保护的信息–无论它存放于何处–都会增加风险。基于政策的数据保护方法有助于让组织分类他们的敏感数据,发现整个企业中的数据,实施控制措施,并进行报告和审计以确保遵循政策。
"数据丢失防护对于今天的企业网络和信息资产负责人来说是一个关键性的问题。然而,对于我们现今所具有的信息的完全可携性,重要的是,这些数据不能用员工的奇思妙想和日常动作来管理,而要用预先确定的政策以及后续控制措施来管理",RSA数据安全部副总裁Tom Corn说。"通过这种方式,组织可以在最开始的时候就防止敏感信息被写入到USB闪存驱动器中–至少可以强制要求它必须是加密的。 "
确保正确的用户访问正确的信息
组织是动态的,每个人在组织中的角色会经常发生变化–可能是雇员内部调动到其他的工作岗位,或外部顾问在合约完成后返回其本公司继续其工作。然而,对企业网络的管理却并不能始终与这些变动保持一致。
在所有受访者中:
l43%的受访者在内部变换过工作,并且仍可以访问他们不再需要的帐户/资源
l在墨西哥的调查结果最好,为30%,其次是巴西的42%。然而在美国的调查中,每两个受访者中就有一个(50%)仍在访问他们不再需要的公司系统的资源.
l79% 的受访者表示他们公司临时雇用的工作人员和/或承包商需要访问重要的组织信息和系统
l37%的受访者曾无意进入过他们公司网络中不应该被他们访问的区域
高度敏感数据的访问权限应该只授予给那些需要的人,在某些工作职能中,只让他们访问信息基础设施中非常具体的区域是很有必要的。组织可以执行集中式的基于角色的安全政策,从而确保合规性,保护企业资源免受未经授权的访问,方便合法用户完成他们的工作,同时管理大量的用户。
"调查显示,对企业来说,重要的是在执行旨在抵御恶意行为的策略的同时,要坚持不懈地执行信息安全控制措施和政策,以保护那些意图良好、无辜的内部人员的日常动作",RSA高级副总裁Christopher Young说,"非常明显,企业需要采取一种多层次的安全方法,以帮助减轻内部人员的威胁,并保护数据的安全。因此,对组织来说,重要的是要清楚的了解究竟是谁访问了你的信息,通过政策控制访问,监控可疑的活动以验证用户的身份,建立和执行数据安全政策和控制措施,以及将实时的事件数据转换成可起诉的合规性和安全性信息。"
要获取完整的2008年调查结果及建议的报告,请查看内部人员威胁:工作人员启示将敏感信息置于危险之中的日常行为。
方法
RSA ,EMC信息安全事业部开展的2008年内部人员威胁调查,是在417名出席在北美和拉丁美洲的三个国家中举行的三个行业活动的与会者中进行的。
lRSA大会,美国 (4月7-11日;134名受访者)
l揭秘支付卡行业标准:通向PCI合规型之路,墨西哥城(5月28日; 44 名受访者)
lCIAB 2008 巴西(6月11-13日;239名受访者)
RSA 2007年11月的内部人员威胁调查的受访者是波士顿和华盛顿特区大街上随机调查的政府或办公室工作人员,2007年和2008年调查的受访者都是曾经物理和/或逻辑地访问过组织资产的雇员,承包商,合作伙伴,来访者和顾问,每个调查包含的问题相同。