Wg RSA, zagrożenia dla danych ze strony zaufanych pracowników należy monitorować równie – a może nawet bardziej - uważnie jak zagrożenia stwarzane przez pracowników nieuczciwych, którzy z premedytacjÄ… ujawniajÄ… poufne dane. Osoby takie mogÄ… nawet bezwiednie powodować niezwykle poważne i kosztowne ujawnienia danych – czy to przez nieuwagÄ™, poprzez obchodzenie istniejÄ…cych zabezpieczeÅ„, czy też za sprawÄ… nieodpowiednich procedur bezpieczeÅ„stwa.

Ignorantia iuris nocet

O tym, że nieznajomość prawa szkodzi wiedzieli już starożytni. Szkodzi też niestety brak świadomości zagrożenia. Szkodzi często bardziej niż świadoma działalność na szkodę firmy. Zaufani pracownicy, którzy ignorują politykę bezpieczeństwa, najczęściej czynią to bez złych zamiarów. Jednak niezależnie od intencji, stwarzają zagrożenie ujawnienia poufnych danych, a tym samym powodują narażenie całej organizacji, jak i jej klientów, na niepotrzebne ryzyko.

Szkodzi też ignorowanie zagrożeń

Wyniki sondażu wskazujÄ…, że upoważnione osoby czÄ™sto ignorujÄ… niepraktyczne – ich zdaniem – zasady polityki bezpieczeÅ„stwa, jeÅ›li wymaga tego wykonanie zadania. Na przykÅ‚ad pracownicy pozbawieni zdalnego dostÄ™pu do sÅ‚użbowej poczty elektronicznej mogÄ… wysyÅ‚ać dokument sÅ‚użbowy na prywatne konto pocztowe, by móc kontynuować pracÄ™ w domu (robi tak blisko 2/3 badanych), choć w wiÄ™kszoÅ›ci organizacji takie dziaÅ‚anie jest niezgodne z zasadami bezpieczeÅ„stwa. Ryzyko można zatem ograniczać poprzez takie przygotowanie procedur zabezpieczeÅ„, które nie bÄ™dÄ… zmuszaÅ‚y pracowników do ich obchodzenia, oraz informowanie o wymogach zwiÄ…zanych z bezpieczeÅ„stwem.

Audyt niezbędny

Pierwszym krokiem do przygotowania procedury bezpiecznego korzystania z danych jest audyt potrzeb. Nie jest to specjalnie odkrywcze stwierdzenie, ale żeby chronić skutecznie firmowe informacje, trzeba wiedzieć, jakie informacje sÄ… pracownikom niezbÄ™dne i w jakim wymiarze. Korzystanie z gotowych wzorów może prowadzić wÅ‚aÅ›nie do nadmiernej ochrony i w rezultacie – do wypÅ‚ywu danych.

„Organizacje muszÄ… okreÅ›lić, jakiego rodzaju informacje sÄ… niezbÄ™dne pracownikom i współpracownikom, ustalić poziom poufnoÅ›ci danych i wprowadzić zabezpieczenia dostosowane do stwierdzonego ryzyka” – ocenia Sam Curry, wiceprezes ds. zarzÄ…dzania i marketingu produktów w firmie RSA.

Blokada to nie rozwiÄ…zanie

Zdarza się, że w następstwie kolejnego artykułu na temat tego, jakim to słabym ogniwem bezpieczeństwa jest człowiek, przedsiębiorcy blokują dostęp do danych poza siedzibą firmy, Jest to niestety broń nieskuteczna. Wyniki sondażu pokazują, że zapewnienie efektywności pracowników i maksymalizacja wartości zasobów informacyjnych firmy wymagają swobody przenoszenia danych. Prawie dwie trzecie  respondentów często lub sporadycznie wychodzi z miejsca pracy z urządzeniem mobilnym (laptopem, telefonem i/lub pamięcią flash USB) zawierającym poufne dane (np. dane klientów, dane osobowe, dane finansowe). Badania wykazały także, że pracownicy potrzebują zdalnego dostępu do służbowych danych podczas podróży lub zdalnej pracy.

Mobilny, ale bezpieczny

Bezpieczeństwo, ale tylko w miejscu pracy lub mobilność za cenę utraty poczucia bezpieczeństwa? Okazuje, że jest alternatywa. Można mieć załogę mobilną i bezpieczne dane, pod warunkiem, że włożymy trochę chęci w zabezpieczenia. Organizacje mogą połączyć elastyczność dostępu zdalnego z zapewnieniem ochrony poufnych danych poprzez wprowadzenie silnego dwuskładnikowego uwierzytelniania: przy dostępie do sieci VPN i korzystaniu z poczty przez przeglądarkę WWW. Ryzyko utraty danych w środowiskach z dostępem mobilnym można dodatkowo ograniczyć poprzez tworzenie, monitorowanie i egzekwowanie polityki zabezpieczeń zorientowanych na informację.

Ochrona danych w miejscu pracy

Co jednak zrobić z danymi, które pracownik wysyła na prywatną skrzynkę pocztową? Tu pole manewru jest mniejsze, ale ryzyko można minimalizować poprzez ograniczenie dostępu do danych poufnych i osobistych do przypadków rzeczywiście niezbędnych i ograniczyć możliwość ich przesyłania. Przedsiębiorstwa mogą na przykład wprowadzić rozwiązania z zakresu automatycznej kontroli, które w zależności od poziomu poufności danych pozwalają akceptować, śledzić, zawieszać, blokować transmisję danych lub szyfrować dane.

Nie tylko kobieta jest zmienna

Zmiany zachodzą także w firmach. Jedni pracownicy odchodzą, inni zmieniają zakres obowiązków, a zatem i powinny zmieniać się ich prawa dostępu do zasobów firmowych informacji. Badania pokazuję jednak, że aktualizacje zabezpieczeń często nie dotrzymują kroku zmianom. Jedna trzecia respondentów przyznaje, że po zmianach w firmie nadal miała dostęp do nieużywanych już kont lub zasobów. Prawie trzy czwarte potwierdza, że w ich firmie zatrudniani są pracownicy tymczasowi lub podwykonawcy, których obowiązki wymagają dostępu do kluczowych danych i systemów organizacji. Skoro zatem sami nie dbamy o bezpieczeństwo danych, trudno wymagać, aby pracownicy dbali za nas. Nawet jeżeli są lojalni czy cieszą się naszym zaufaniem.

Bezpieczeństwo = wiedza, technologia i człowiek

Jak twierdzą eksperci, całościowa strategia bezpieczeństwa firmy powinna uwzględniać wszystkie elementy. Dotyczy to zarówno specyfiki działania firmy i jej zasobów, jak i zabezpieczeń technicznych, które powinny podlegać stałemu monitoringowi.

Równie ważny jest  czynnik ludzki, czyli uświadamianie pracownikom, jak istotna jest dbałość o bezpieczeństwo danych i zarazem tworzenie warunków, aby mogli efektywnie korzystać z zasobów, nie wystawiając ich na zagrożenia.