Οι περισσότερες εταιρείες αναθέτουν στο δικό τους Τμήμα Τεχνικής Υποστήριξης να εκπαιδεύσει τους υπαλλήλους τους σε θέματα σχετικά με την ασφάλεια του IT, σύμφωνα με τους ειδικούς της B2B International.


kaspersky securityΔε συνηθίζουν, δηλαδή, να προσλαμβάνουν εξωτερικούς συμβούλους ή να αναθέτουν στο Τμήμα Ανθρώπινου Δυναμικού να αναζητήσει επαγγελματίες για θέματα ασφάλειας του ΙΤ. Η B2B International συνεργάστηκε με την Kaspersky Lab την περασμένη άνοιξη για τη διεξαγωγή της Έρευνας Global Corporate IT Security Risks 2013, στην οποία συμμετείχαν εταιρείες από όλες τις χώρες του κόσμου, ανάμεσά τους και η Ελλάδα.


Η αποτελεσματική εκπαίδευση των εργαζομένων σε θέματα ασφάλειας του ΙΤ είναι ένα βασικό συστατικό οποιασδήποτε στρατηγικής για την αντιμετώπιση των ψηφιακών απειλών – σύμφωνα με την παραπάνω έρευνα, τέσσερα στα πέντε από τα πιο «δημοφιλή» εσωτερικά περιστατικά ασφαλείας που καταγράφηκαν τους τελευταίους 12 μήνες, ήταν άμεσα συνδεδεμένα με τις δραστηριότητες του προσωπικού.


Τα ευρήματα της έρευνας για τις ελληνικές εταιρείες είναι αποκαλυπτικά:
· Το 39% των ερωτηθέντων ανέφερε τυχαίες διαρροές απόρρητων δεδομένων.
· Το 25% των ερωτηθέντων ανέφερε ότι οι εργαζόμενοι έχασαν εταιρικές φορητές συσκευές στις οποίες ήταν αποθηκευμένα κρίσιμα δεδομένα.
· Το 15% των εταιρειών αντιμετώπισε σκόπιμες διαρροές δεδομένων, οι οποίες διευκολύνθηκαν από το προσωπικό
· Το 18% των εταιρειών έχει έρθει αντιμέτωπο με περιστατικά απώλειας εμπιστευτικών δεδομένων, τα οποία κατέληξαν σε λάθος χέρια, λόγω ανάρμοστης χρήσης φορητών συσκευών (μέσω mobile email client, γραπτών μηνυμάτων, κλπ.)


Δεν είναι η πρώτη φορά που μια έρευνα δείχνει ότι ακούσια σφάλματα του προσωπικού κρύβονται πίσω από ένα σημαντικό ποσοστό κρίσιμων διαρροών δεδομένων αλλά και περιστατικών που σχετίζονται με την ασφάλεια του IT. Το κλειδί για την αντιμετώπιση αυτής της πρόκλησης είναι να διασφαλιστεί ότι οι τελικοί χρήστες ενημερώνονται πλήρως σχετικά με τους κινδύνους για την ασφάλεια του IT, καθώς και για το πώς να τους αποφεύγουν.


Ενώ αυτό αναδεικνύει ξεκάθαρα τη σημασία που έχει η εκπαίδευση των εργαζομένων για θέματα σχετικά με την ασφάλεια του IT, το ερώτημα παραμένει: ποιός ακριβώς θα πρέπει να παρέχει την εκπαίδευση αυτή;


Σύμφωνα με τους ειδικούς της B2B International, οι περισσότερες επιχειρήσεις θεωρούν ότι το in-house Τμήμα IT θα πρέπει να εκπαιδεύσει τους υπαλλήλους της εταιρείας σε θέματα ασφάλειας του ΙΤ – αν και η εκπαίδευση του προσωπικού δεν είναι μία από τις βασικές λειτουργίες του συγκεκριμένου Τμήματος. Αυτός ο πρόσθετος φόρτος εργασίας επηρεάζει την απόδοση: οι ερωτηθέντες σημείωσαν ότι το Τμήμα IT έχει άλλα σημαντικότερα καθήκοντα και συνήθως δεν έχει χρόνο να εκπαιδεύσει τους συναδέλφους του. Προφανώς, αυτό μπορεί να έχει αρνητικό αντίκτυπο στην ποιότητα της εκπαίδευσης. Με την ανάθεση της εκπαίδευσης σε έναν εξωτερικό σύμβουλο για θέματα ΙΤ, ο οποίος θα έχει την απαιτούμενη εμπειρία σε εκπαιδευτικά σεμινάρια, είναι δυνατό να επιτευχθεί ένα καλύτερο αποτέλεσμα. Ωστόσο, μόνο το 7% των ερωτηθέντων δήλωσε ότι έχει αξιοποιήσει αυτή την επιλογή.


Το 12% των εταιρειών που συμμετείχαν στην έρευνα εμπλέκει το Τμήμα Ανθρώπινου Δυναμικού στην κατάρτιση του προσωπικού. Περίπου το ίδιο ποσοστό αναθέτει το συγκεκριμένο έργο στο Τμήμα Ανάπτυξης και Κατάρτισης Εργαζομένων. Μόνο το 2% των συμμετεχόντων δήλωσε ότι σκοπεύει να αναθέσει την εκπαίδευση σε έναν εξωτερικό φορέα.


Με κάποιες μικρές διαφορές, τα στοιχεία αυτά είναι περίπου τα ίδια για όλες τις χώρες: για παράδειγμα, το μεγαλύτερο ποσοστό εταιρειών που αναθέτουν την εκπαίδευση για τα θέματα ασφάλειας του ΙΤ στα in-house τμήματα βρίσκονται στη Μέση Ανατολή (73%), την Ιαπωνία (72% ), και τη Βόρεια Αμερική (71%), ενώ ακολουθούν οι οργανισμοί στη Νότια Αμερική (65%) και την Ανατολική Ευρώπη (57%). Προσλήψεις εξωτερικών συμβούλων για θέματα ασφάλειας του IT, οι οποίοι καλούνται να εκπαιδεύσουν τους υπαλλήλους της εταιρείας, γίνονται κυρίως στη Νότια Αμερική (16%) και στην ευρύτερη περιοχή Ασίας-Ειρηνικού, ενώ στην Ανατολική Ευρώπη και τη Μέση Ανατολή αυτό συμβαίνει σπανιότερα (11%). Στην Ελλάδα το ποσοστό αυτό ανέρχεται σε 7%.


Σε γενικές γραμμές, η συντριπτική πλειοψηφία των επιχειρήσεων έχει αναγνωρίσει τη σημασία της εκπαίδευσης των εργαζομένων στον τομέα της ασφάλειας του ΙΤ – μόνο το 3% των ερωτηθέντων δήλωσε ότι οι εταιρεία τους δεν εκπαιδεύει καθόλου το προσωπικό πάνω στα θέματα ασφάλειας του ΙΤ. Ωστόσο, η ποιότητα της εταιρικής εκπαίδευσης είναι αμφισβητήσιμη, καθώς σε τελική ανάλυση, η ευαισθητοποίηση των εργαζομένων σχετικά με τις ψηφιακές απειλές έχει άμεσο αντίκτυπο στο βαθμό στον οποίο τηρούνται οι πολιτικές ασφάλειας του IT μιας εταιρείας και, ως εκ τούτου, στο βαθμό στον οποίο μια εταιρεία προστατεύεται συνολικά από τις ψηφιακές απειλές. Προς το παρόν, ο βαθμός στον οποίο εφαρμόζονται οι πολιτικές είναι σχετικά χαμηλός, με περίπου το 31% των συμμετεχόντων στην έρευνα να υποδεικνύει ότι οι εργαζόμενοι της εταιρείας δεν τηρούν πάντα ή δεν ακολουθούν με επιμέλεια τους εταιρικούς κανόνες ασφαλείας του ΙΤ.


Η εκπαίδευση σημαντικό συστατικό μιας ευρύτερης στρατηγικής για την ασφάλεια
Ανεξάρτητα από το πόσο έτοιμο ή πόσο καλά πληροφορημένο είναι το προσωπικό, ο κίνδυνος μιας επιτυχημένης ψηφιακής επίθεσης ενάντια σε μια εταιρεία παραμένει υψηλός. Επομένως, η χρήση προηγμένων λύσεων ασφαλείας για τις υποδομές του εταιρικού ΙΤ είναι κρίσιμη.


Η νέα εταιρική λύση-ορόσημο της Kaspersky Lab, Kaspersky Endpoint Security for Business προσφέρει αξιόπιστη προστασία ενάντια στα κακόβουλα προγράμμματα, τις επιθέσεις στα δίκτυα, τις στοχευμένες επιθέσεις, το spam και το phishing, ενώ παράλληλα περιλαμβάνει μια σειρά λειτουργιών που διευκολύνουν την αποτελεσματική διαχείριση των υποδομών του ΙΤ μιας επιχείρησης. Το Kaspersky Endpoint Security for Business συμβάλλει στην καταγραφή των σταθμών εργασίας, στην έγκαιρη αναβάθμιση του εγκατεστημένου λογισμικού, στη διαχείριση και στον περιορισμό των δικαιωμάτων πρόσβασης στα διαφορετικά τμήματα της υποδομής του ΙΤ, στην εγκατάσταση και την επίβλεψη της εφαρμογής των πολιτικών για την ασφάλεια και στην κρυπτογράφηση των εμπιστευτικών δεδομένων (αν, για παράδειγμα, μια εταιρική συσκευή χαθεί ή κλαπεί). Επίσης, μπορεί να χρησιμοποιηθεί για να πραγματοποιήσει άλλες λειτουργίες που είναι απαραίτητες για να διασφαλιστεί ότι το ΙΤ μιας επιχείρησης απολαμβάνει υψηλό επίπεδο ασφάλειας.


Μία ακόμα τεχνολογία που περιλαμβάνεται στο Kaspersky Endpoint Security for Business και αποτρέπει τα περιστατικά που προκύπτουν από λάθη των εργαζομένων είναι η Dynamic Whitelisting. Αυτή η τεχνολογία αποτρέπει την έναρξη του malware. Οι λύσεις Whitelisting στηρίζονται στη βάση δεδομένων του προγράμματος, η οποία περιλαμβάνει τις αξιόπιστες εφαρμογές και επιτρέπει στο λειτουργικό σύστημα να ξεκινήσει την έναρξη μόνο εκείνων των προγραμμάτων που περιλαμβάνονται στη βάση δεδομένων Whitelist. Έτσι, καθίσταται εξαιρετικά δύσκολη η έναρξη μιας επιτυχημένης επίθεσης ενάντια σε μια εταιρεία ακόμα και αν χρησιμοποιούνται ιδιαίτερα περίπλοκα κακόβουλα προγράμματα που μπορεί να μην είναι γνωστά σε μια λύση antivirus.


Ταυτόχρονα, είναι σημαντικό η βάση δεδομένων Whitelisting να είναι ακρετά μεγάλη για να συμπεριλάβει το μεγαλύτερο αριθμό των εφαρμογών που χρησιμοποιούνται από μια εταιρεία χωρίς να δημιουργεί προβλήματα στα νόμιμα προγράμματα. Για παράδειγμα, η βάση δεδομένων Whitelisting της Kaspersky Lab περιλαμβάνει 700 εκατομμύρια μοναδικά αρχεία και συχνά ανανεώνεται με νέα αρχεία. Τα αποτελέσματα μιας ανεξάρτητης δοκιμής που πραγματοποιήθηκε τους προηγούμενους μήνες έδειξαν ότι το μέγεθος της βάσης δεδομένων που διαθέτει η συγκεκριμένη λύση είναι αρκετό για να προσφέρει αποτελεσματική προστασία. Η λύση της Kaspersky Lab πέρασε όλες τις δοκιμές χωρίς να παράγει ούτε ένα ψευδώς θετικό αποτέλεσμα και μπόρεσε να εντοπίσει περίπου το 100% των αρχείων που συναντώνται στις εφαρμογές, οι οποίες χρησιμοποιούνται ευρύτερα από τις εταιρείες και τους οικιακούς χρήστες. Η μελέτη της B2B International έδειξε ότι οι λύσεις Whitelisting περιλαμβάνονται μεταξύ των μέτρων που παίρνουν συχνότερα οι επιχειρήσεις για να προστατεύσουν τις υποδομές του ΙΤ τους: περίπου το 49% των συμμετεχόντων ανέφερε ότι οι οργανισμοί τους χρησιμοποιούν αυτές τις λύσεις. Αυτό αποτελεί μια σημαντική αλλαγή σε σχέση με την προηγούμενη χρονιά όταν οι λύσεις Whitelisting χρησιμοποιούνταν ελάχιστα ή καθόλου.


Το Kaspersky Endpoint Security for Business μπορεί να συνδυαστεί και με τις άλλες εξειδικευμένες λύσεις της Kaspersky Lab. Αυτές περιλαμβάνουν λύσεις mobile device security καθώς και λύσεις διαχείρισης όπως η Kaspersky Security for Mobile. Επιπλέον, η εταιρεία προσφέρει λύσεις για την προστασία των virtual servers καθώς και μια σειρά άλλων προϊόντων που βοηθούν να προστατεύσουμε τις πιο σύνθετες και ασυνήθιστες υποδομές ΙΤ.