Проблемы в реализации систем управления доступом к информации на предприятии стары как мир. Любой эксперт в области информационной безопасности вам скажет, что процесс управления доступом является фундаментальным, базисным для любой компании, в которой циркулирует хоть сколько-нибудь конфиденциальная информация. Если не выстроен нормальный процесс управления доступом, то что уж говорить о других процессах ИБ?
В начале года Лаборатория Касперского провела очередное исследование под названием «Цифровой бардак» («DigitalClutter»), и результаты его не утешительны. По результатам исследования выяснилось, что у 20% сотрудников компаний в России есть доступ к файлам и электронным документам с прошлого места работы. Более половины из этих сотрудников работали с конфиденциальной информацией, и продолжали иметь к ней доступ после увольнения.
Как организовать правильный процесс управления доступом к информации? - рассказывает Александр Санин, коммерческий директор компании Аванпост
Мы в компании Аванпост уже много лет занимаемся как раз вопросами организации правильного процесса управления доступом на предприятиях разного масштаба, от компаний в 200-300 сотрудников, до огромных госкорпораций с более чем сотнями тысяч сотрудников. В ходе нашей работы мы непосредственно сталкиваемся с тем, как же на самом деле устроен процесс управления доступом в компании. И я могу сказать, что статистика Лаборатории Касперского по меньшей мере занижена вдвое, а то и втрое… И тому есть две простые причины.
- Во-первых, далеко не все участвующие в опросе люди вообще проверяли, остался ли у них доступ к ресурсам предыдущего работодателя, и они могли бы быть «приятно удивлены», если бы проверили.
- Во-вторых, не все участвующие в опросе представители работодателей (если таковые были опрошены), смогли бы честно ответить о том, как на их предприятии устроен процесс управления доступом.
В рамках наших проектов, а их за прошедшие годы было больше сотни, мы практически на каждом предприятии сталкивались с проблемой «мертвых душ» — т.е. с незаблокированными учетными записями уволенных сотрудников. Это такой своеобразный бич, практически любой крупной инфраструктуры. Причем чем крупнее инфраструктура, тем ярче выражена эта проблема. И тому есть простое объяснение – в масштабах крупной компании, когда ежедневно приходится сталкиваться с текучкой кадров, очень легко пропустить какой-нибудь доступ сотрудника, тем более, если весь процесс делается в ручном режиме. Представьте, что на специалиста ИТ- или ИБ-отдела за день пришло 5 заявок на отзыв доступа по уволенным сотрудникам, которые имели доступ к 10-15 информационным ресурсам…
Это еще хорошо, если такие заявки вообще пришли. И это просто отлично, если ответственный сотрудник четко знает, какой доступ в принципе нужно отозвать. На практике, зачастую, все гораздо печальнее — и отдел кадров может «забыть» сообщить, да и плюс к этому вообще может не существовать никакой учетной системы, где хранились бы все актуальные доступы по сотруднику. Всё вышеописанное и приводит к ситуации, когда давно уволенный сотрудник в один прекрасный день берет и сливает гигабайты конфиденциальной информации куда-то на сторону.