Strona główna / Analizy / Lojalny ignorant gorszy od szpiega
niedziela 03 luty 2008 | Anna Pawłowska-Pojawa
Lojalny ignorant gorszy od szpiega
Podczas wykonywania swoich rutynowych obowiązków nawet lojalni pracownicy mogą być źródłem wycieku z firmy ważnych danych – wynika z badań firmy RSA, która sprawdzała, w jaki sposób pracownicy mogą zagrażać bezpieczeństwu zasobów informacyjnych firmy.

Wg RSA, zagrożenia dla danych ze strony zaufanych pracowników należy monitorować równie – a może nawet bardziej - uważnie jak zagrożenia stwarzane przez pracowników nieuczciwych, którzy z premedytacją ujawniają poufne dane. Osoby takie mogą nawet bezwiednie powodować niezwykle poważne i kosztowne ujawnienia danych – czy to przez nieuwagę, poprzez obchodzenie istniejących zabezpieczeń, czy też za sprawą nieodpowiednich procedur bezpieczeństwa.

Ignorantia iuris nocet

O tym, że nieznajomość prawa szkodzi wiedzieli już starożytni. Szkodzi też niestety brak świadomości zagrożenia. Szkodzi często bardziej niż świadoma działalność na szkodę firmy. Zaufani pracownicy, którzy ignorują politykę bezpieczeństwa, najczęściej czynią to bez złych zamiarów. Jednak niezależnie od intencji, stwarzają zagrożenie ujawnienia poufnych danych, a tym samym powodują narażenie całej organizacji, jak i jej klientów, na niepotrzebne ryzyko.

Szkodzi też ignorowanie zagrożeń

Wyniki sondażu wskazują, że upoważnione osoby często ignorują niepraktyczne – ich zdaniem – zasady polityki bezpieczeństwa, jeśli wymaga tego wykonanie zadania. Na przykład pracownicy pozbawieni zdalnego dostępu do służbowej poczty elektronicznej mogą wysyłać dokument służbowy na prywatne konto pocztowe, by móc kontynuować pracę w domu (robi tak blisko 2/3 badanych), choć w większości organizacji takie działanie jest niezgodne z zasadami bezpieczeństwa. Ryzyko można zatem ograniczać poprzez takie przygotowanie procedur zabezpieczeń, które nie będą zmuszały pracowników do ich obchodzenia, oraz informowanie o wymogach związanych z bezpieczeństwem.

Audyt niezbędny

Pierwszym krokiem do przygotowania procedury bezpiecznego korzystania z danych jest audyt potrzeb. Nie jest to specjalnie odkrywcze stwierdzenie, ale żeby chronić skutecznie firmowe informacje, trzeba wiedzieć, jakie informacje są pracownikom niezbędne i w jakim wymiarze. Korzystanie z gotowych wzorów może prowadzić właśnie do nadmiernej ochrony i w rezultacie – do wypływu danych.

„Organizacje muszą określić, jakiego rodzaju informacje są niezbędne pracownikom i współpracownikom, ustalić poziom poufności danych i wprowadzić zabezpieczenia dostosowane do stwierdzonego ryzyka” – ocenia Sam Curry, wiceprezes ds. zarządzania i marketingu produktów w firmie RSA.

Blokada to nie rozwiązanie

Zdarza się, że w następstwie kolejnego artykułu na temat tego, jakim to słabym ogniwem bezpieczeństwa jest człowiek, przedsiębiorcy blokują dostęp do danych poza siedzibą firmy, Jest to niestety broń nieskuteczna. Wyniki sondażu pokazują, że zapewnienie efektywności pracowników i maksymalizacja wartości zasobów informacyjnych firmy wymagają swobody przenoszenia danych. Prawie dwie trzecie  respondentów często lub sporadycznie wychodzi z miejsca pracy z urządzeniem mobilnym (laptopem, telefonem i/lub pamięcią flash USB) zawierającym poufne dane (np. dane klientów, dane osobowe, dane finansowe). Badania wykazały także, że pracownicy potrzebują zdalnego dostępu do służbowych danych podczas podróży lub zdalnej pracy.

Mobilny, ale bezpieczny

Bezpieczeństwo, ale tylko w miejscu pracy lub mobilność za cenę utraty poczucia bezpieczeństwa? Okazuje, że jest alternatywa. Można mieć załogę mobilną i bezpieczne dane, pod warunkiem, że włożymy trochę chęci w zabezpieczenia. Organizacje mogą połączyć elastyczność dostępu zdalnego z zapewnieniem ochrony poufnych danych poprzez wprowadzenie silnego dwuskładnikowego uwierzytelniania: przy dostępie do sieci VPN i korzystaniu z poczty przez przeglądarkę WWW. Ryzyko utraty danych w środowiskach z dostępem mobilnym można dodatkowo ograniczyć poprzez tworzenie, monitorowanie i egzekwowanie polityki zabezpieczeń zorientowanych na informację.

Ochrona danych w miejscu pracy

Co jednak zrobić z danymi, które pracownik wysyła na prywatną skrzynkę pocztową? Tu pole manewru jest mniejsze, ale ryzyko można minimalizować poprzez ograniczenie dostępu do danych poufnych i osobistych do przypadków rzeczywiście niezbędnych i ograniczyć możliwość ich przesyłania. Przedsiębiorstwa mogą na przykład wprowadzić rozwiązania z zakresu automatycznej kontroli, które w zależności od poziomu poufności danych pozwalają akceptować, śledzić, zawieszać, blokować transmisję danych lub szyfrować dane.

Nie tylko kobieta jest zmienna

Zmiany zachodzą także w firmach. Jedni pracownicy odchodzą, inni zmieniają zakres obowiązków, a zatem i powinny zmieniać się ich prawa dostępu do zasobów firmowych informacji. Badania pokazuję jednak, że aktualizacje zabezpieczeń często nie dotrzymują kroku zmianom. Jedna trzecia respondentów przyznaje, że po zmianach w firmie nadal miała dostęp do nieużywanych już kont lub zasobów. Prawie trzy czwarte potwierdza, że w ich firmie zatrudniani są pracownicy tymczasowi lub podwykonawcy, których obowiązki wymagają dostępu do kluczowych danych i systemów organizacji. Skoro zatem sami nie dbamy o bezpieczeństwo danych, trudno wymagać, aby pracownicy dbali za nas. Nawet jeżeli są lojalni czy cieszą się naszym zaufaniem.

Bezpieczeństwo = wiedza, technologia i człowiek

Jak twierdzą eksperci, całościowa strategia bezpieczeństwa firmy powinna uwzględniać wszystkie elementy. Dotyczy to zarówno specyfiki działania firmy i jej zasobów, jak i zabezpieczeń technicznych, które powinny podlegać stałemu monitoringowi.

Równie ważny jest  czynnik ludzki, czyli uświadamianie pracownikom, jak istotna jest dbałość o bezpieczeństwo danych i zarazem tworzenie warunków, aby mogli efektywnie korzystać z zasobów, nie wystawiając ich na zagrożenia.

Podobne artykuły
zobacz więcej
Video
więcej
Video"
więcej
Facebook
więcej