Отсутствие обучения и жесткой регламентации рабочих процессов при организации работы службы поддержки могут стать угрозой безопасности

• Компания RSA обнародовала результаты проведенного компанией SANS Institute опроса, посвященного угрозам безопасности и конфиденциальности, при работе служб поддержки.
• Участниками опроса стали более 900 ИТ-специалистов со всего мира, работающих в самых разных сферах (включая правительственный сектор, финансы, образование, здравоохранение, ИТ и коммуникации).
• 69% респондентов назвали социальную инженерию самой серьезной угрозой безопасности при работе служб поддержки, а почти 27% опрошенных специалистов признали, что в их организациях используются слабые политики безопасности для службы поддержки.
• 43% респондентов не учитывают стоимость инцидентов, подвергающих угрозе безопасность данных, при утверждении выделяемого на службы поддержки бюджета, который чаще определяется в зависимости от количества пользователей.

Москва, 29 июля 2013 г. – Компания RSA, подразделение безопасности корпорации EMC (NYSE: EMC), обнародовала результаты нового опроса SANS Institute, посвященного угрозам нарушения конфиденциальности данных, к которым может привести работа служб поддержки. Опрос SANS «Безопасность и конфиденциальность при работе служб поддержки» за 2013 год, в котором приняло участие более 900 ИТ-специалистов со всего мира, выявляет наиболее распространенные уязвимости в работе служб поддержки и предлагает рекомендации, которые помогут организациям устранить эти критически важные проблемы. Результаты опроса касаются регламентации рабочих процессов служб поддержки в организациях, а также процедур и действий персонала служб поддержки, которые потенциально могут повлиять на безопасность предприятия.

Чаще всего обращения в службы поддержки касаются распространенных ИТ-проблем (например, сброса пароля и проблем с приложениями и подключением). Часто эффективность работы специалистов службы поддержки определяется тем, насколько быстро они могут ответить пользователям и устранить проблему. К сожалению, во многих случаях соблюдение безопасности не играет существенной роли в этом процессе, и поэтому службы поддержки, сами того не желая, становятся точкой входа для хакеров и злоумышленников-инсайдеров при попытке получить доступ к конфиденциальным ресурсам предприятия.

Большинство респондентов (69%) назвали социальную инженерию самой серьезной угрозой безопасности при работе служб поддержки. Однако в большинстве организаций для идентификации пользователей, обращающихся в службу поддержки, по-прежнему используются базовые личные данные (имя/подразделение и идентификационный номер сотрудника) — информация, которую злоумышленник может найти без особенных сложностей. Кроме того, многие сотрудники служб поддержки обходят проверки безопасности в стремлении оказать помощь пользователям быстро и эффективно.

Помимо человеческого фактора, важную роль в недостаточном обеспечении общей безопасности при работе служб поддержки играют недостаток обучения, отсутствие инструментов и технологий. Более 51% респондентов заявили, что используют умеренный подход к обеспечению безопасности при организации работы служб поддержки в рамках общего корпоративного контроля безопасности, но не уделяют должного внимания обучению персонала или использованию всех необходимых технологий при выполнении повседневной работы. В большинстве случаев бюджеты определяются количеством обслуживаемых пользователей, а не стоимостью в расчете на вызов или даже стоимостью потенциальных угроз безопасности, и поэтому расчет окупаемости для новых рабочих процессов, дополнительного обучения и инструментов для повседневных операций по оказанию поддержки может оказаться исключительно сложной задачей.

Другие интересные результаты исследования:

• 44% респондентов считают, что верификация пользователей при обращении в службу поддержки представляет существенно большую угрозу, чем верификация пользователей, находящихся на самообслуживании (11% респондентов).
• Только 10% респондентов оценили процедуры безопасности в своей организации как надежные.
• Почти 43% респондентов не учитывают стоимость инцидентов, подвергающих угрозе безопасность данных, при утверждении бюджета, выделяемого на службы поддержки, который чаще определяется в зависимости от количества пользователей.

Обращение в службу поддержки для сотрудников остается предпочтительным способом разрешения базовых проблем, связанных с ИТ. Главным в работе службы поддержки является наилучшее обслуживание пользователей, и поэтому специалисты службы поддержки могут обладать расширенными правами, что делает их привлекательной мишенью для социальных инженеров и технических хакеров, пытающихся получить доступ к корпоративным сетям. Чтобы устранить уязвимости в организации работы служб поддержки, организациям необходимо пересмотреть свой подход к обеспечению удобства пользователей и большее внимание уделять защите от угроз. Рекомендуемые передовые практики:

• Использование вариантов автоматизации и самообслуживания для устранения распространенных проблем пользователей (включая сброс паролей), чтобыуменьшить число ошибок и уязвимостей, приводящих к успешным взломам систем безопасности и хищению данных.
• Качественное и непрерывное обучение специалистов служб поддержки, чтобы научить их распознавать потенциальные атаки с использованием социальной инженерии и реагировать на них.
• Современные инструменты, которые используют динамические источники данных и новые способы аутентификации для повышения достоверности идентификации пользователей и их местоположения.

Мнение руководителя RSA

Сэм Карри (Sam Curry), главный технолог компании RSA, подразделения безопасности корпорации EMC

«Во многих случаях служба поддержки представляет собой первую линию обороны против взломов, и обеспечение ее безопасности должно иметь такой же приоритет, как и безопасность любой другой критически важной функции. Новая служба поддержки должна найти оптимальный баланс между усиленной безопасностью и удобством для конечного пользователя. Для этого обеспечение безопасности можно интегрировать непосредственно в рабочий процесс, добавив технологии автоматизации и аутентификации корпоративного уровня, а также уделив достаточное внимание постоянному обучению».

Другие полезные материалы:

• Опрос SANS «Безопасность и конфиденциальность в работе служб поддержки» за 2013 год
• Веб-трансляция «Обеспечение безопасности работы служб поддержки: результаты опроса SANS»
• Белая книга «Социальная инженерия и кибератаки: психология обмана»

Информация о RSA

RSA, подразделение безопасности корпорации EMC, является лидером в области решений для обеспечения безопасности, соблюдения требований регуляторов и развития бизнеса. Решения RSA помогают крупнейшим организациям во всем мире добиться успеха, решая их наиболее сложные и важные проблемы безопасности, в том числе управление рисками организации, защиту мобильного доступа и совместной работы, обеспечение соответствия требованиям регуляторов и защиту виртуальной и облачной среды.

RSA предлагает ведущие бизнес-критичные решения по идентификации пользователей и управлению доступом, шифрованию и управлению ключами, выполнению требований законодательства, управлению безопасностью информации и защите от мошенничества. Эти решения гарантируют безопасность миллионам пользователей к выполняемым ими операциям и генерируемыми ими данным. Чтобы получить дополнительные сведения, посетите сайт www.EMC.com/RSA.

RSA и EMC являются зарегистрированными товарными знаками или товарными знаками корпорации EMC в США и других странах. Все прочие упомянутые наименования продуктов и/или услуг являются товарными знаками соответствующих правообладателей.