AFI Distribution

☁️ Три основные проблемы облачных SaaS-решений

В последние годы стремительно растет популярность облачных ИТ-технологий. Существует огромное количество облачных сервисов. Наиболее известные категории облачных услуг — это SaaS (программное обеспечение как услуга), IaaS (инфраструктура как услуга), PaaS (платформа как услуга), FaaS (функции как услуга) и DaaS (данные как услуга). SaaS-приложения и облачные технологии имеют множество преимуществ по сравнению с традиционным локальным развертыванием. Однако существует также множество трудностей, которые могут возникнуть у организаций при использовании SaaS-приложений.

1️⃣ Вы не знаете, чего вы не знаете
Любой сотрудник с корпоративным адресом электронной почты может зарегистрироваться и начать знакомство с возможностями сервиса. Он может «заняться самоуправством» и подписаться на услугу без ведома или согласия организации.
▪ Что происходит, если сотрудник увольняется из компании? Он может по-прежнему иметь доступ к ПО и сервисам, в которых может храниться или обрабатываться конфиденциальная информация.
▪ Какие данные хранятся на платформе, как они обрабатываются или передаются? Если факт использования ПО организации неизвестен, то у нее практически нет шансов обеспечить надлежащее соблюдение политик использования данных.
▪ Какие политики и соглашения предоставляет поставщик SaaS-решений? Политики конфиденциальности и обработки данных, политики регулирования, обмена данными с третьими лицами и SLA.

2️⃣ Кошмар ИТ-отдела
Пользователи то и дело задают вопросы по тому или иному сервису. Обрабатывать их может быть проблематично, если служба или ПО, о которых идет речь, практически не известны ИТ-отделу.

3️⃣ Пароли и еще раз пароли
Пользователям не нравятся пароли, особенно сложные. В результате при создании или обновлении собственных учетных записей они часто используют ненадежные пароли или корпоративные учетные данные. В процессе разработки большинство поставщиков SaaS-решений уделают основное внимание функционалу, в то время как безопасность отходит, в лучшем случае, на второй план. Утечка данных и повторное использование паролей — основные виновники захвата учетных записей, поскольку украденные учетные данные могут использоваться для получения несанкционированного доступа к корпоративным ресурсам.

🔹 Советы о правильном отношении и поведении, чтобы защититься от киберпреступников

Отчет National Cybersecurity Alliance, посвященный вопросам восприятия и действия людей в отношении кибербезопасности, содержит много полезных выводов. Основной заключается в том, что в отдельных случаях отношение и поведение пользователей никак не связаны и что ключ к исправлению данной ситуации лежит совершенно не там, где мы думали.

🔹 Кто несет ответственность?
Неудивительно, что сотрудники ориентированы исключительно на выполнение своих обязанностей и «просто не считают себя ответственными за сохранение конфиденциальной информации на своем рабочем месте». Однако удивительно то, что порядка 51% сотрудников имеют такое же отношение и к обеспечению защиты своих личных конфиденциальных данных. Это говорит об общем отсутствии внимания к безопасности частных или корпоративных данных.

🔹 Сообщение о преступлениях
Молодые сотрудники поколения Зет в два раза реже сообщают о происшествиях, чем сотрудники поколения Икс. Это говорит о том, что профессиональное обучение должно учитывать не рабочие обязанности или должности сотрудников, а их возраст и, возможно, другие факторы. Обратите внимание на то, что «61% жертв киберпреступлений предпочли вообще не сообщать об инциденте».

🔹 Теневые информационные технологии
На вопрос о том, полагаются ли они на других при осуществлении мер по обеспечению безопасности, все ответили, что не зависят от других и уверены в своих силах. При этом самую большую уверенность респонденты проявляют в отношении создания учетных записей в Интернете. Ввести свой адрес электронной почты, выбрать пароль — разве это не просто?

🔹 Управление паролями
Только 12% опрошенных используют специальные менеджеры паролей. Почти столько же респондентов ответили, что используют браузеры, которые, как известно, чрезвычайно уязвимы для хранения учетных записей. Записная книжка, в которой хранятся пароли, — самый распространенный способ хранения паролей, который может быть довольно безопасным для личного использования, но не подходит для корпоративных учетных записей. Кто может определить, к каким корпоративным сервисам получают доступ сотрудники после того, как они покинули компанию, в которой работали? Как сотрудник вспомнит данные своей учетной записи, если он потерял записную книжку? И как часто используется один и тот же пароль? Как выяснилось, более 50% опрошенных признались, что редко создают надежные пароли и используют одни и те же пароли снова и снова.

🔹 Технология многофакторной аутентификации (MFA) не решит все проблемы, если ее не использовать
Технология MFA, безусловно, является ключевой концепцией защиты учетных записей и поддержания безопасности в целом. Однако 48% опрошенных никогда не слышали о ней. Это может быть связано с недостаточной представленностью в опросе корпоративных пользователей, так как люди, которые знакомы с ней, используют ее очень активно. Это наглядный пример того, что обучение тому, как и зачем использовать технологию MFA, должно сопровождаться ее активным развертыванием. Это особенно актуально для сторонних или теневых ИТ-приложений, где нет возможности принудительного применения или контроля, а технология MFA является опциональным решением, как и менеджеры паролей.

🔹 Эффективность обучения
Тот факт, что большинство людей не проходили никакого обучения, в целом не может удивить. Примечательно, что 73% тех, кто прошел обучение, используют полученную информацию. Но что еще более интересно, люди, которые используют технологии обеспечения информационной безопасности, такие как менеджеры паролей, в основном узнали о них непосредственно на веб-сайтах, из приложений или в ходе своих собственных поисков информации в Интернете, а также от членов своей семьи. В связи с этим возникает вопрос, через какие каналы продвижения информации и с помощью каких инструментов мы должны проводить обучение, поскольку обучение в рамках специальных курсов или на рабочих местах даже близко не стоит по своей общей эффективности.



#кибербезопасность