TI Melindungi Jaringan, Tetapi Siapa yang Melindungi Jaringan dari TI?

Bisnis memiliki gigabyte terhadap gigabyte data sensitif dan rahasia yang diarsipkan di server, array penyimpanan, atau media cadangan. Perusahaan-perusahaan itu mengandalkan keahlian profesional keamanan informasi untuk melindungi data itu dan mencegah akses yang tidak sah. Pertanyaannya adalah, "siapa yang melindungi data sensitif dan rahasia dari para profesional keamanan informasi?"

Artwork: Chip TaylorCyber-Ark Software telah mengumpulkan survei "Kepercayaan, Keamanan, dan Sandi" tahunan keempat dan telah mengungkap statistik yang meresahkan. yang mungkin diperhatikan oleh perusahaan. Survei - dilakukan dengan 400 administrator TI dan profesional keamanan informasi di Infosecurity Europe 2010 dan RSA USA 2010 - menemukan bahwa mereka yang dipercaya untuk melindungi data mungkin menjadi salah satu ancaman terbesar untuk itu.

Sebuah perangkat lunak Cyber-Ark rilis menjelaskan "Survei menemukan bahwa 67 persen responden mengaku telah mengakses informasi yang tidak relevan dengan peran mereka. Ketika ditanya departemen apa yang lebih mungkin untuk mengintip dan melihat informasi rahasia, lebih dari separuh (54 persen) mengidentifikasi departemen TI, kemungkinan pilihan alami yang diberikan kekuatan kelompok dan tanggung jawab luas untuk mengelola berbagai sistem di seluruh organisasi. "

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ada lonjakan yang berbeda di responden - dari 33 persen hingga 41 persen - mengaku menyalahgunakan kata sandi administratif untuk mengintip informasi sensitif atau rahasia yang seharusnya tidak dapat mereka akses. Administrator TI di Amerika Serikat tampaknya paling tertarik pada basis data pelanggan, sementara administrator TI dari Inggris tampaknya lebih cenderung memeriksa catatan SDM.

Administrator TI yang menanggapi survei mengakui bahwa organisasi tampaknya lebih berupaya untuk memantau privilese mengakses dan mengekang pengintaian yang tidak sah. Namun, mayoritas administrator TI dan profesional keamanan informasi yakin mereka dapat menghindari kontrol tersebut jika mereka mau. Kabar baiknya adalah bahwa persentase responden yang merasa mereka dapat menghindari upaya untuk memantau tindakan mereka di jaringan turun dari 77 persen menjadi 61 persen.

Ketika dikombinasikan dengan penelitian dan survei lainnya, hasilnya menggambarkan gambaran yang agak suram untuk melindungi informasi dari ancaman serangan di dalam dan akses yang tidak sah. Survei Poneman Institute pada awal 2009 menemukan bahwa "hampir 60 persen karyawan yang berhenti dari pekerjaan atau diminta untuk meninggalkan tahun lalu mencuri beberapa bentuk data perusahaan."

Sebuah Studi Compuware pada 2008 menemukan bahwa kurang dari satu persen pelanggaran data adalah pekerjaan peretas eksternal, sementara orang dalam yang lalai (atau jahat) adalah penyebab tiga perempat dari insiden pelanggaran data.

Berbicara tentang hasilnya, Wakil Presiden Eksekutif Cyber-Ark Amerika dan Pengembangan Perusahaan Adam Bosnian berkomentar dalam siaran pers untuk mengatakan, "Meskipun kami memahami bahwa sifat manusia dan keinginan untuk mengintip mungkin tidak pernah menjadi sesuatu yang dapat kita kendalikan sepenuhnya, kita harus mengambil hati yang lebih sedikit merasa mudah untuk melakukannya, menunjukkan bahwa ada kontrol yang semakin efektif tersedia untuk mengelola dan memantau hak akses istimewa dalam organisasi dengan lebih baik. Dengan sabotase orang dalam terhadap peningkatan, waktu untuk bertindak telah berlalu dan perusahaan perlu memperhatikan peringatan. "

IT a para administrator dan profesional keamanan informasi - paling tidak orang-orang dengan serat moral dan sifat etis bukan musuh terburuk mereka sendiri - harus menyadari bahwa ancaman orang dalam jauh lebih lazim dan jauh lebih sulit untuk dideteksi dan dicegah daripada ancaman eksternal. Bisnis perlu menempatkan kontrol di tempat untuk memantau akses istimewa ke data sensitif dan menjaga terhadap ancaman orang dalam.

Anda dapat mengikuti Tony di halaman Facebook, atau menghubunginya melalui email di [email protected]. Dia juga tweet sebagai @Tony_BradleyPCW.