Насколько защищенными считают себя компании и как на самом деле обстоят дела?

Просмотров: 2166
Автор:
Мельник Ольга Владимировна Рейтинг20470

Мельник Ольга Владимировна

заместитель главного редактора — PCWeek

Когда дело касается мобильности, компании оказываются не настолько защищенными, насколько считают их руководители службы информационной безопасности. Исследование компании Citrix ставило целью выяснить, насколько защищенными считают себя компании, и как на самом деле обстоят дела. В опросе приняли участие 400 руководителей службы информационной безопасности, представляющих крупные предприятия различных отраслей экономики, в том числе и представители российских компаний.

Распределение по странам:

• США – 63%

• Канада – 8%

• Центральная Америка – 2%

• Великобритания – 4%

• Восточная Европа – 5%

• Индия – 9%

• Азия и Океания – 8%

Исследование включает в себя 5 ключевых параграфов, краткие выводы по каждому пункту представлены ниже.

Мобильная безопасность

На первый вопрос «Как вы оцениваете безопасность вашей корпоративной мобильности?» ответы оказались достаточно оптимистичными. 44% респондентов сказали, что уровень их мобильной защиты является выше среднего или находится на высоком уровне, при этом практически 42% уверены, что они, как минимум, находятся на среднем уровне.

Однако стоит обратить особое внимание на последующие вопросы и ответы, в которых содержится информация о реальном положении дел. Так, например, 41% участников опроса сталкивались со случаями нарушения мобильной защиты. Эти инциденты включают в себя как потерю данных по причине потери/кражи устройств, так и заражения вредоносным ПО и неавторизированный доступ.

Определение и обслуживание мобильных пользователей

54% участников опроса оценили на среднем уровне или на уровне ниже среднего способность их компаний определять, обеспечивать и защищать определенные группы мобильных пользователей. Практически 25% не могут различить уникальные группы пользователей.

В очередной раз, когда участникам опроса задается общий вопрос, в данном случае о том, как они определяют и обслуживают определенные группы пользователей, 48% оценивают свои возможности как выше среднего или высокие.

Отвечая на вопрос о сотрудниках, которые являются основными мобильными пользователями компании, респонденты выделили следующие группы.

Высший руководящий состав возглавляет список. Они много времени проводят в деловых поездках, и им нужен постоянный и защищенный доступ к важной корпоративной информации.

Вторая группа – это традиционные сотрудники, работающие за пределами офиса. Они практически все время работают в мобильном режиме, поэтому им также нужен доступ к данным.

Но особое внимание следует обратить на третью группу сотрудников: традиционные офисные сотрудники, которые лишь изредка работают в удаленном режиме, но которые все равно нуждаются во все большем количестве сервисов, включая приложения для обмена короткими сообщениями и файлами.

Кроме того, примерно 37% респондентов в настоящий момент определяют роли и доступ/привилегии, которые требуют эти роли, а 15% не разделяют группы вообще. Примерно 1/5 участников опроса в настоящий момент устанавливает элементы контроля безопасности в контекстном режиме, на основании динамической среды пользователя – где они находятся, какое устройство они используют, типы приложений и данных, к которым они пытаются получить доступ.

Определение и осуществление политик

1/3 респондентов не имеет политик обеспечения мобильной безопасности;

Из тех, кто имеет такие политики, только 62% сказали, что они выполняют регулярные проверки на предмет определения неавторизированного доступа, взломанных устройств, неразрешенных приложений и пр.

С одной стороны, обнадеживает, что 2/3 компаний имеют политики. Однако уточняющий вопрос, который имеет очень важное значение, звучит так: Как часто эти политики проверяются и обновляются? Ведь даже принятая 3 года назад технология считается сильно устаревшей.

1/5 компаний не реализует на постоянной основе имеющиеся политики, а 2/3 респондентов не наказывают виновников нарушения политик.

62% сказали, что они выполняют регулярные проверки несанкционированного доступа, взломанных устройств и т.д. Но менее половины компаний заявили о том, что они передают руководству информацию о нарушителях политики.

Управление и мониторинг

62% участников опроса поставили среднюю или ниже средней оценку при ответе на вопрос о способности их компаний защищать и контролировать корпоративную мобильность.

Основные средства контроля безопасности:
Управление мобильными устройствами (58%)
Управление корпоративной мобильностью (37%)
Использование сетей VPN (35%)

В ходе данной части исследования выяснилось, что респонденты не слишком высоко оценивают способность своих компаний защищать и контролировать корпоративную мобильность. 62% респондентов определяют способность своих компаний как среднюю, и только 9% заявили, что она находится на высоком уровне.

Если посмотреть на используемые компаниями средства, то можно понять, почему участники опроса дали такие невысокие оценки.

Хотя 2/3 компаний еще предстоит сделать многое для того, чтобы улучшить свою систему защиты, радует то, что 1/3 компаний внедрила следующие решения:

• Защищенные мобильные контейнеры для зашифрованных данных и приложений;

• Оценка риска обнаружения взломанных устройств;

• Сети VPN.

С помощью данных решений основная масса респондентов контролирует доступ к электронной почте (75%), но практически половина компаний обращает внимание на использование устройств (58%), использование сетей (47%) и использование приложений (44%). Стоит отметить, что 14% компаний контролируют доступ на базе сценариев.

Еще один вопрос, который был задан участникам исследования: Что определяют компании во время проведения проверок? Как правило, это неавторизированные приложения (31%), неразрешенные устройства и пользователи. Но самое удивительное, что практически ¼ всех участников опроса не проводит регулярную проверку.

Планы компаний в отношении мобильности в 2015 году

Основные направления в отношении мобильности и безопасности в 2015 году: внедрение новых средств контроля для устройств, приложений и моделей использования (29%)

Отвечая на вопрос об угрозах, связанных с мобильностью, которые в первую очередь беспокоят респондентов, опасностью номер один было названо развитие мобильного вредоносного ПО.

Другие угрозы включают в себя потерянные или украденные устройства, внутренние пользователи, которые непреднамеренно получили доступ к важной информации, и ненадежные пользователи, которые нарушают правила намеренно.

При этом в 2015 году 69% респондентов ожидают увеличение бюджета, а 15% полагают, что бюджет увеличится более чем на 10%.

Практически 1/5 респондентов собираются начать с создания и внедрения новых политик в области мобильности. А почти 1/3 хочет сделать следующий шаг и внедрить новые средства контроля для устройств, приложений и моделей использования. 28% респондентов планируют определить специальные пользовательские роли и соответствующий доступ/привилегии.

Говоря о подходе, который компании выберут для безопасности для основных групп пользователей, 28% респондентов планируют определить специальные пользовательские роли и соответствующий доступ/привилегии. А 27% планируют внедрить инструменты контроля безопасности на контекстной основе.

От редакции:

Приятно, что зарубежные коллеги рассчитывают на массовое увеличение бюджетов на безопасность, будем надеяться, что у них все это получится и будут новые интересные проекты. Насколько серьезно вы сами относитесь к формированию политик именно мобильной безопасности, насколько существенной считаете эту задачу? Насколько аргументированно удается вам обосновать ценностью для бизнеса затраты на безопасность?

На конференции «Перезагрузка 1.0» прозвучал любопытный тезис: в России очень много сотрудников силовых структур рано выходят на пенсию. Им еще хочется работать, и они охотно идут в коммерческие компании руководить службами безопасности, принося с собой ментальность и подходы, совершенно избыточные для нужд бизнеса. Идет ничем не обоснованное акцентирование внимания на этой сфере, нагнетается истерия и неоправданная шумиха: ведь всем хочется показать, что их задача чрезвычайно значимы и важны, но к реальным угрозам все это никакого отношения не имеет. Весь этот шум вреден и неадекватен ситуации.

А как у вас обстоят с этим дела?

Комментарии (3)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Скрыть ветвь
    Рейтинг1090

    Руководитель ИТ

    74.ru

    05.11.2015 17:48
    Практически никак.
    Руководство не готово тратить значительные суммы на мобильную безопасность.
    Пользователи не готовы расстаться с удобством: очень мало желающих совершать постоянные лишние пальцедвижения для ввода паролей.ключей и т.п. для разблокировки своих гаджетов.Так-то конечно есть и ВНП и ССЛ и политики и т.д. и т.п. но в случае утери мобильного устройства это будет попадалово для владельца.
    С другой стороны, наш бизнес и не требует доступ к корпоративным ресурсам с мобильных устройств. Поэтому доступ есть только к корпоративной почте.
    Изменятся требования бизнеса, будет железная воля тогда и пользователей заставим.
    По большому счету - мобильная безопасность вопрос организационный а не финансово-технический. Именно у бизнеса должна сформироваться потребность в данной услуге, а не у ИТ желание внедрить очередную модную/красивую фичу.

    0
  • Скрыть ветвь
    Рейтинг69650

    ИТ-директор

    КТ "Акведук"

    11.11.2015 14:39
    Вот уже на третьей федерального размаха компанию наблюдаю отказ от BYOD и выдачу руководителям служебных смартфонов с очень жёсткими требованиями по безопасности и многочисленными ограничениями. Причём в двух случаях всё интегрируется с КИС, CRM и виртуальной АТС на всю страну.

    Народ, конечно, не рад, что приходится носить минимум два устройства и имеется контроль местонахождения сотрудника. :)
    0
  • Скрыть ветвь
    Рейтинг170

    ИТ директор

    Хелидон

    30.12.2015 17:32
    Вообще, основная проблема это железный принцип "любая политика по снижению рисков затратна". Вопрос насколько выгода от мобильности перекроет затраты на создание безопасной системы. Конечно, второй вечный фактор - большое число проверок неудобно для пользователя. Все старо как мир - длинный пароль в 99% случаев записывается на бумажке. С мобильными устройствами, на мой взгляд, самая серьезная проблема - мобильность, то есть опасность кражи/утери. Если получить к устройству физический доступ, то его взлом - вопрос времени, чтобы не говорили производители. У нас доступны почта и CRM, но вопросы с безопасности с мобильностью никак не связаны.
    0

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.