Onderzoeker zegt dat interne inbreuken op de beveiliging een grotere bedreiging vormen dan hackers

Onderzoeker zegt dat interne inbreuken op de beveiliging een grotere bedreiging vormen dan hackers

Anonim

- Periodieke nieuwsaccounts over computerhacking en de inzet van wormen en virussen wekken angst bij bedrijven die nu een groot deel van hun activiteiten online doen. Maar een onderzoeker van de Iowa State University informatiebeveiliging zegt dat hun echte angst bedrijfsspionage zou moeten zijn.

"Wat onze studies - en vele anderen van mijn collega's op het gebied van informatiebeveiliging - hebben gesuggereerd, is dat interne computerfraude een belangrijker probleem is dan extern hacken, " zei Qing Hu, professor en voorzitter van logistiek, operations en managementinformatiesystemen bij de staat Iowa. "Extern hacken krijgt krantenkoppen, maar interne fraude - werknemers die gegevens daadwerkelijk wijzigen of geheimen stelen en deze naar andere bedrijven verzenden - komt vaker voor dan er wordt gemeld.

"Het ongelukkige is dat bedrijven dit soort dingen niet willen melden, " zei hij. "Alleen als je met individuele bedrijven praat, geeft de manager soms toe: 'Ja, we moeten bepaalde werknemers disciplineren omdat ze toegang hebben tot commerciële geheimen die ze niet zouden moeten hebben, en we moesten sommige mensen ontslaan omdat ze sommige hadden verkocht van onze commerciële geheimen - van productontwerpen tot marketingplannen tot prijsinformatie - aan andere bedrijven. ''

Hu heeft met dergelijke managers gesproken voor onderzoek dat hij heeft verricht naar het beheer van bedrijfsinformatiebeveiliging en gebruikersgedrag ten aanzien van beschermende technologieën. Die studies - die deel uitmaakten van een gesponsord onderzoeksprogramma van het Amerikaanse ministerie van Defensie van 2005-07 - werden de afgelopen twee jaar gepubliceerd in tijdschriften over informatiesystemen. Ze kozen voor een andere aanpak van het beveiligingsprobleem.

"Als ik naar een beveiligingsprobleem kijk, concentreer ik me niet op de technologie", zegt Hu, een Microsoft Certified Systems Engineer en Solution Developer. "Informatiebeveiligingstechnologie is er in overvloed - hardware, software, enz. - en organisaties hebben miljoenen dollars geïnvesteerd om die technologie te kopen en op hun systemen te installeren. Maar toch horen we horrorverhalen over het systeem van TJ Maxx, 45 miljoen creditcardnummers worden gestolen, of er gebeurt iets met dit bedrijf of dat bedrijf. Dus waarom blijven die dingen gebeuren terwijl we zoveel geld hebben geïnvesteerd in het kopen van de beveiligingshardware en -software? "

Hu beweert dat het komt omdat werknemers van het bedrijf vaak niet goed genoeg zijn opgeleid in informatiebeveiligingsbeleid en -procedures. Zijn onderzoek onderzocht specifiek hoe individuele factoren en de cultuur van een organisatie de effectiviteit van het beheer van informatiebeveiliging beïnvloeden.

"Het doel van dit onderzoek is in de eerste plaats een beter begrip te geven van menselijk gedrag in organisaties in de context van informatiebeveiliging, " zei Hu. "Ten tweede is het om een ​​aantal praktische richtlijnen te geven aan bedrijven die zeggen: 'OK, als u beveiliging als een groot probleem beschouwt, moet u niet alleen de meest geavanceerde software en hardware installeren, maar ook deze opleiden en instellen programma's voor medewerkers - en vervolgens afdwingen. ' Je moet die processen dus hebben om goed gedrag te stimuleren en het mogelijke slechte gedrag te remmen. "

Hu werkt momenteel samen met collega's in de VS, China en Finland aan meerdere onderzoeksprojecten op basis van criminologietheorieën en grootschalige internationale enquêtes. De studies zijn ontworpen om de individuele factoren te identificeren - zoals morele overtuigingen en zelfbeheersing - die van invloed kunnen zijn op iemands neiging om misdrijven met betrekking tot informatiebeveiliging te plegen.

"We willen begrijpen waarom bepaalde werknemers meer geneigd zijn om slechte dingen te doen, terwijl anderen dat niet doen", zei hij. "In het criminologisch onderzoek is er een spectrum van theorieën en perspectieven die verklaren waarom bepaalde mensen zo geneigd zijn om misdaad te plegen, terwijl anderen die drang kunnen remmen. Dus wat ik in de nabije toekomst wil doen, is dat uitleggen wat het betreft naar informatiebeveiliging. "

Hij hoopt binnen het jaar resultaten van die onderzoeken te hebben. Hu is ook van plan om samen te werken met onderzoekers van het criminologie- en strafrechtprogramma van de staat Iowa aan toekomstige studies.

Aangeboden door Iowa State University (nieuws: web)