IT 领域的现代技术趋势,,导致业务流程被转移到企业网络之外,使此类业务流程中使用的数据的控制变得复杂。我们无法逃避(也不想逃避)快速技术进步的另一面是,正在实施的技术水平往往远远高于公司人员对其安全实际使用的准备水平。重要的是要记住,旨在防止或尽量减少人员危险行为可能造成的损害的技术系统和组织措施也是由人来规划、创建和实施的。与此同时,接受 ISACA 调查和 RSA 大会采访的网络安全专业人士中,超过一半表示,不到四分之一的申请者具备网络安全工作的资格。 SearchInform公司分析中心所做的全俄信息安全状况调查数据显示,形势不容乐观。根据根据调查结果编写的报告,在莫斯科和喀山,分别只有 32% 和 31% 的公司将安全问题委托给专业人士。只有叶卡捷琳堡的比例更高(38%)。例如,在辛菲罗波尔、萨马拉和克拉斯诺达尔,只有5%的企业设有信息安全部门。在其他情况下,信息安全问题由管理人员和 IT 专家直接处理,报告指出,这些人属于泄密的“风险类别”。
在我国,另一个不容忽视的原因是总体经济形势艰 德国电报数据 难,这迫使公司削减 IT 和 IS 预算,包括人员培训计划的费用,以减少员工,有时同时增加继续工作的人员的工作量。安德烈·普罗佐罗夫表示:“(人为因素对信息安全水平的影响—— 作者注)的动态仍然为负,我们认为,这与俄罗斯的总体经济状况有关。” — 当出现工资支付、裁员或奖金问题时,这种趋势尤其严重。在这种情况下,一些员工可能希望让公司“盈利”,并且他们可能会试图带走他们认为有价值的信息。”
在危机时期,人为因素成为信息安全领域违法行为增长的驱动因素,Smart Line 公司解决方案总监 Sergey Vakhonin 表达了普遍的看法,并总结了本次讨论的总体思路:“由于信息安全专家能力不足或工作量过大而导致安全系统中出现错误或缺陷,从而造成漏洞的存在,再加上人员资质低下和忠诚度差,对公司网络安全造成最大风险。”
什么更危险:疏忽还是故意?
当谈到人为因素时,专家们传统上会区分其负面表现的两种形式。安德烈·普罗佐罗夫(Andrey Prozorov)将其概括为:“第一是人员的错误和疏忽,第二是个人动机(即故意行为—— 作者注),这些都会影响所做的决定。”哪种形式更危险(会带来更严重的后果)的问题似乎是反问。但事实证明,这只是乍一看而已。因此,介绍我们的专家对此事的意见以及他们提出的保护措施是有意义的。