IT Melindungi Rangkaian, Tetapi Siapa Melindungi Rangkaian dari IT?

Perniagaan mempunyai gigabait setelah gigabait data sensitif dan sulit diarkibkan pada pelayan, susunan penyimpanan, atau media sandaran. Mereka bergantung pada kepakaran para profesional keselamatan maklumat untuk melindungi data tersebut dan mencegah akses tidak sah. Persoalannya ialah "siapa yang melindungi data sensitif dan sulit daripada profesional keselamatan maklumat?"

Artwork: Software Chip TaylorCyber-Ark telah menyusun kajian tahunan "Amanah, Keselamatan dan Kata Laluan" keempat dan telah menemui statistik yang tidak menentu yang boleh didapati oleh syarikat berkenaan. Penyiasatan yang dijalankan dengan 400 pentadbir IT dan profesional keselamatan maklumat di Infosecurity Europe 2010 dan RSA USA 2010 mendapati bahawa mereka yang diamanahkan untuk melindungi data mungkin salah satu ancaman yang lebih besar kepadanya.

Perisian Perisian Cyber-Ark pelepasan menerangkan "Kajian mendapati 67 peratus responden mengaku mempunyai akses maklumat yang tidak berkaitan dengan peranan mereka. Apabila ditanya jabatan apa yang lebih cenderung untuk mengintip dan melihat maklumat sulit, lebih daripada separuh (54 peratus) mengenal pasti jabatan IT, kemungkinan pilihan semulajadi yang diberikan kuasa kumpulan dan tanggungjawab luas untuk menguruskan pelbagai sistem di seluruh organisasi. "

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Ada spike yang berbeza dalam responden - dari 33 peratus hingga 41 peratus - mengakui untuk menyalahgunakan kata laluan pentadbiran untuk mengintip maklumat sensitif atau rahsia yang mereka tidak seharusnya mempunyai akses kepada. Pentadbir IT di Amerika Syarikat nampaknya paling berminat dalam pangkalan data pelanggan, sementara pentadbir IT dari UK kelihatan lebih cenderung untuk memeriksa rekod HR.

Pentadbir IT bertindak balas terhadap kaji selidik itu mengakui bahawa organisasi sepertinya meletakkan lebih banyak usaha untuk memantau hak istimewa akses dan mengekang pengintipan tanpa izin. Walau bagaimanapun, majoriti pentadbir IT dan profesional keselamatan maklumat yakin mereka boleh mengelakkan kawalan tersebut jika mereka memilih. Berita baiknya adalah bahawa peratusan responden yang merasakan bahawa mereka boleh mengelakkan percubaan untuk memantau tindakan mereka di rangkaian turun dari 77 peratus kepada 61 peratus.

Apabila digabungkan dengan kajian dan tinjauan lain, hasilnya melukis gambar yang agak suram untuk melindungi maklumat daripada ancaman serangan dalam dan akses tanpa izin. Survei Institut Poneman pada awal tahun 2009 mendapati bahawa "hampir 60 peratus pekerja yang berhenti kerja atau diminta meninggalkan tahun lalu mencuri beberapa bentuk data perusahaan."

Kajian Compuware pada tahun 2008 mendapati kurang dari satu persen pelanggaran data adalah kerja penggodam luaran, manakala pihak dalaman yang lalai (atau berniat jahat) adalah penyebab tiga suku daripada insiden pelanggaran data.

Bercakap tentang keputusan, Naib Presiden Eksekutif Cyber-Ark Amerika Syarikat dan Pembangunan Korporat Adam Bosnian mengulas dalam siaran akhbar untuk mengatakan, "Walaupun kita memahami bahawa sifat manusia dan keinginan untuk mengintip mungkin tidak pernah menjadi sesuatu yang kita dapat mengawal sepenuhnya, kita harus mengambil hati bahawa kurang mudah untuk melakukannya, menunjukkan bahawa terdapat kawalan yang semakin berkesan untuk mengurus dan memantau hak akses yang istimewa di dalam organisasi. Dengan sabotaj orang dalam peningkatan, masa untuk mengambil tindakan telah berlalu dan syarikat perlu mematuhi amaran. "

IT penguasa dan profesional keselamatan maklumat - sekurang-kurangnya yang mempunyai sifat moral dan etika moral yang tidak menjadi musuh mereka yang paling jahat - harus sedar bahawa ancaman orang dalam adalah lebih besar dan jauh lebih sukar untuk mengesan dan mencegah daripada ancaman luar. Perniagaan perlu meletakkan kawalan untuk memantau akses istimewa kepada data sensitif dan mengawal ancaman orang dalam.

Anda boleh mengikuti Tony di halaman Facebook, atau hubunginya melalui e-mel di [email protected]. Dia juga tweet seperti @Tony_BradleyPCW.