Istraživanje Instituta Tessian i Ponemon otkriva da je gotovo 60% organizacija u posljednjih 12 mjeseci pretrpilo gubitak podataka ili eksfiltraciju (neautorizirani transfer podataka) uzrokovanu pogreškom zaposlenika prilikom korištenja e-maila.
E-mail je otkriven kao najrizičniji alat za gubitak podataka u organizacijama, kako je izjavilo 65% stručnjaka za IT sigurnost. Nakon toga slijedile su usluge dijeljenja datoteka u oblaku (62%) i platforme za razmjenu izravnih poruka (57%).
Istraživanju je pristupilo 614 praktičara IT sigurnosti diljem svijeta, a također se otkrilo sljedeće:
Najčešći tipovi izgubljenih ili namjerno ukradenih povjerljivih i osjetljivih informacija uključuju:
Podaci koje su kreirali korisnici (osjetljivi sadržaj e-maila, tekstualne datoteke, M&A dokumenti), regulirani podaci (podaci o kreditnim karticama, brojevi socijalnog osiguranja, identifikacijski brojevi, podaci o zaposlenicima) i intelektualno vlasništvo identificirani su kao tri vrste podataka koje su najteže za zaštitu od gubitka podataka.
Dvije najveće posljedice incidenata su nepoštivanje propisa o zaštiti podataka (57%) i gubitak ugleda organizacije (52%). Nadalje, prethodna studija Tessiana pokazala je da je 29% tvrtki izgubilo klijenta ili kupca zbog toga što je zaposlenik poslao e-mail pogrešnoj osobi.
Nedostatak vidljivosti stvara izazove gubitka podataka
Organizacije ne mogu zaštititi ono što ne mogu vidjeti. Nedostatak vidljivosti osjetljivih podataka koje su zaposlenici prenijeli s mreže na osobni e-mail naveden je kao najčešća prepreka (54%) za sprječavanje gubitka podataka. Nadalje, 52% ispitanika izjavilo je da ne može identificirati legitimne incidente i gubitke podataka i standardno ponašanje zaposlenika u rukovanju podacima.
Kao rezultat toga, sigurnosnim timovima potrebno je u prosjeku 72 sata da otkriju i otklone incident i eksfiltracije koje je uzrokovao zlonamjerni insajder putem e-maila te gotovo 48 sati da otkriju i otklone incident uzrokovan nesavjesnim zaposlenikom.
73% organizacija zabrinuto je što zaposlenici ne razumiju osjetljivost ili povjerljivost podataka koje dijele putem e-maila. Odjeli za marketing i odnose s javnošću najvjerojatnije će izložiti podatke riziku korištenjem e-maila (61%), a slijede ih proizvodnja/proizvodnja (58%) i operacije (57%).
Unatoč tim rizicima, mnoge organizacije ne provode odgovarajuću edukaciju zaposlenika.
61% organizacija provodi edukacije za podizanje svijesti o sigurnosti, međutim samo polovica voditelja IT sigurnosti kaže da se njihovi programi pravilno bave osjetljivošću i povjerljivosti podataka kojima zaposlenici mogu pristupiti putem e-maila.
Provedeno istraživanje pokazuje ozbiljnost gubitka podataka putem e-maila i implikacije koje ono ima na moderne organizacije.
Većina programa za podizanje svijesti o sigurnosti usmjerena je na vanjske prijetnje, ali ne uspijevaju adekvatno riješiti interno rukovanje osjetljivim podacima. No gubitak podataka – bilo slučajan ili namjeran – velika je prijetnja i treba ga tretirati kao glavni prioritet.
Kako bi stvorile svijest i ublažile incidente i gubitak podataka, organizacije moraju biti proaktivne u pružanju učinkovite obuke o prevenciji gubitka podataka, a istovremeno trebaju osigurati veću vidljivost toga kako zaposlenici rukuju podacima tvrtke. Obuka o sigurnosti koja se izravno bavi uobičajenim vrstama gubitka podataka – uključujući ono što je u redu dijeliti s osobnim računima i što nije u redu ponijeti sa sobom kada napustite organizaciju – i kultura koja gradi povjerenje među zaposlenicima povećat će sigurnost i ograničiti količinu podataka koja izlazi iz organizacije.
Članak preveden sa helpnetsecurity.com