standard Beztroska pracowników zagraża firmom

Ryzyko utraty danych o krytycznym znaczeniu dla działania firm jest w Polsce coraz wyższe. Przedsiębiorstwa potrzebują nowych strategii i polityki bezpieczeństwa, które skoncentrują się na wszystkich źródłach zagrożeń, a jednocześnie zapewnią możliwość efektywnego i elastycznego działania biznesu.

Z doniesień Cisco wynika, że aż 55% przedsiębiorców za kluczowe zagrożenie dla bezpieczeństwa firmowych danych uznaje dość „beztroski” sposób zachowania się pracowników. Związane z nim ryzyko ustępuje jedynie zagrożeniom ze strony zorganizowanych grup cyberprzestępczych, które na pierwszym miejscu stawia 62% badanych.

Zatrważające statystyki

Na podstawie wyników badań, analitycy Cisco zdefiniowali cztery podstawowe profile zachowań polskich pracowników, które mogą mieć wpływ na bezpieczeństwo firmowych danych (o czym dalej w tekście). Generalnie kluczowe wnioski analiz są alarmujące:

  • 57% pracowników deklaruje przestrzeganie firmowych reguł polityki bezpieczeństwa na niskim lub umiarkowanym poziomie, ale jeden na ośmiu ankietowanych przyznaje się do ich aktywnego omijania.
  • Aż 83% ankietowanych nie zdaje sobie sprawy z istnienia nowych, poważnych zagrożeń dla bezpieczeństwa (takich jak np. luka Heartbleed).
  • 55% sądzi, że w ich firmie funkcjonuje polityka bezpieczeństwa, ale aż 30% przyznaje, że nic nie wie na ten temat.
  • 34% badanych uważa, że system bezpieczeństwa IT w ich firmie hamuje innowacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy jest trudniejsze.

Dwa kluczowe wyzwania

Raport został opracowany na podstawie badań, które objęły ponad 1000 pracowników firm w Polsce. Ich wyniki ujawniają dwa ważne problemy związane z bezpieczeństwem.
Po pierwsze, szczególnie słabym ogniwem w systemach bezpieczeństwa są pracownicy i sposób ich zachowania się, który powoduje zwiększenie poziomu ryzyka. Przy czym ryzyko to wynika bardziej z samozadowolenia lub ignorancji, niż ze złej woli zatrudnionych. Większość firm tak starannie odizolowała swoich pracowników od bieżących informacji o pojawiających się codziennie zagrożeniach, że nabrali przekonania, iż firmowy system bezpieczeństwa sam zajmuje się wszystkim, zwalniając ich z jakiejkolwiek odpowiedzialności.
Po drugie, rośnie liczba pracowników, którzy uważają, że polityka bezpieczeństwa hamuje innowacyjność i przeszkadza we współpracy. Co więcej, rosnące przekonanie, że utrudnia ona efektywną pracę powoduje, iż przynajmniej niektórzy próbują ominąć reguły firmowej polityki bezpieczeństwa.

Konieczna rewizja podejścia

Z badania Cisco wynika, że istnieje pilna konieczność modyfikacji stosowanych w firmach polityk bezpieczeństwa tak, by w dalszym ciągu zapewniały najlepszą możliwą ochronę przed zewnętrznymi atakami, ale jednocześnie zostały przystosowane do realnych zachowań pracowników.
Gdy ankietowani zostali poproszeni o określenie jakie są dwa największe zagrożenia dla bezpieczeństwa danych, 62% odpowiedziało, że zorganizowana cyberprzestępczość, ale aż 55% wymieniło zachowanie pracowników. Jednocześnie wszyscy objęci badaniem przyznali, że wykorzystują firmową sieć również do celów prywatnych: 82% korzysta w pracy z systemów osobistej bankowości, 63% robi zakupy w internecie, a 43% łączy się z sieciami społecznościowymi.

– Badanie Cisco EMEAR Security Report pokazuje, jak złożone problemy dotyczące bezpieczeństwa IT stają przed polskimi firmami. Większość pracowników zdaje sobie sprawę, że zagrożenie ze strony cyberprzestępców jest realne i należy mu przeciwdziałać, ale jednocześnie wykazuje zbyt duży poziom samozadowolenia, który powoduje zwiększenie ryzyka. Pracownik, który ma ślepe zaufanie do firmowego systemu bezpieczeństwa staje się niejako jednym z jego głównych słabych punktów – mówi Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa Cisco Poland.

Potrzeby użytkowników

Z badania wynika też, że stosowane obecnie strategie bezpieczeństwa IT nie uwzględniają preferowanych sposobów efektywnej pracy. Zdaniem ankietowanych pracowników, istniejące polityki bezpieczeństwa muszą ulec modyfikacji, jeśli dotychczasowe wsparcie dla innowacyjności i efektywnej współpracy ma w przedsiębiorstwach zostać utrzymane, przy jednoczesnym zapewnieniu odpowiedniej ochrony firmowej sieci, urządzeń i systemów chmurowych przed zewnętrznymi zagrożeniami.

Nowa strategia

Zrównoważenie wymagań związanych z efektywnym działaniem biznesowym i ochroną przed zagrożeniami będzie wymagało fundamentalnej zmiany podejścia do bezpieczeństwa systemów IT. To, w jaki sposób zachowują się użytkownicy, powinno wpływać na modyfikację mechanizmów bezpieczeństwa i być ważnym elementem nowoczesnego systemu ochrony, który z kolei musi zapewniać pełną, bieżącą widoczność wszystkich zagrożeń i koncentrować się na ich eliminacji, co jest możliwe tylko przy wykorzystaniu zintegrowanej platformy dostarczającej pełnego obrazu stanu bezpieczeństwa w czasie rzeczywistym. – Firmy, które wciąż wykorzystują zestaw niezintegrowanych, punktowych rozwiązań zapewniających ochronę różnych elementów systemu, same zwiększają poziom ryzyka. Tego typu klasyczne podejście do zabezpieczania IT w nieunikniony sposób prowadzi bowiem do pojawienia się luk, które mogą zostać wykorzystane do ataku – ostrzega Gaweł Mikołajczyk.
Szczególnie ryzykowne mogą być działania tych pracowników, którzy mając dużą wiedzę o działaniu oprogramowania i systemów IT, potrafią ominąć zasady narzucone przez politykę bezpieczeństwa. Z badania wynika, że jeden na ośmiu ankietowanych pracowników polskich firm przyznaje, że aktywnie omija te zasady, gdy tylko ma taką potrzebę.

Kultura samozadowolenia i ignorancji

Największe wewnętrzne zagrożenia wynikają z pewnego rodzaju samozadowolenia pracowników, którzy zakładają, że firmowy system bezpieczeństwa będzie ich efektywnie chronił podczas przeglądania internetu i innych aktywności online. 29% pracowników spodziewa się, iż firmowy system zabezpieczeń ochroni ich przed każdym zagrożeniem, zaś 56% uważa, że są dobrze odizolowani od potencjalnych, zewnętrznych zagrożeń, a ich zachowania mają mały lub co najwyżej umiarkowany wpływ na bezpieczeństwo firmowego systemu IT. 55% ankietowanych sądzi, że firma w której pracują ma wdrożoną politykę bezpieczeństwa, z kolei 30% tego nie wie. Blisko jedna trzecia (32%) mówi, że firmowa polityka bezpieczeństwa nigdy nie wywołała problemu, który miałby wpływ na ich pracę, a 49% zauważa jej istnienie tylko wtedy, gdy jakieś ich działanie zostanie zablokowane przez mechanizmy chroniące system.
Aż 57% ankietowanych przyznaje, że przestrzega zasad firmowej polityki zaledwie w stopniu małym lub umiarkowanym. Jednocześnie warto zauważyć, iż więcej pracowników deklaruje bardziej rygorystyczne podejście do reguł bezpieczeństwa w domu (25%), niż w pracy (19%). Co więcej, zaskakująca liczba ankietowanych – bo aż 83% – nie zdaje sobie sprawy z istnienia poważnych, nowych zagrożeń, takich jak Heartbleed. W efekcie 27% respondentów w ogóle nie zmieniło swoich zachowań dotyczących bezpieczeństwa, a 60% wciąż nie wprowadziło zasady definiowania różnych haseł dla każdego z wykorzystywanych serwisów lub aplikacji.

Przestarzałe podejście to hamulec

Pracownicy polskich firm w coraz większym stopniu zaczynają postrzegać mechanizmy bezpieczeństwa IT jako barierę hamującą działania biznesowe. 34% uważa, że system bezpieczeństwa IT w ich firmie hamuje innowacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy jest trudniejsze. Natomiast 22% jest przekonanych, iż wartość utraconych zysków powodowana przez rygorystyczny system zabezpieczeń przewyższa koszty związane z potencjalnymi skutkami udanego ataku na firmowy system IT.

Koncentracja na użytkownikach

W ramach badania, analitycy Cisco określili cztery główne profile zachowań polskich pracowników, w kontekście bezpieczeństwa IT. Mogą one być dobrą podstawą do opracowania praktycznych strategii biorących pod uwagę różne typy zachowań pracowników. Każdy profil prezentuje inny poziom zagrożenia dla bezpieczeństwa firmowych danych i wymaga innego rozwiązania, które z jednej strony ograniczy ryzyko, ale z drugiej zapewni możliwość uzyskania optymalnej wydajności i efektywności pracy. Owe profile są następujące:

  • Pracownicy „świadomi zagrożeń” – wiedzą jakie jest ryzyko i starają się ściśle przestrzegać zasad bezpieczeństwa IT podczas pracy.
  • Pracownicy „mający dobre intencje” – starają się przestrzegać reguł polityki bezpieczeństwa, ale w rzeczywistości stosują je na zasadzie „chybił – trafił”.
  • Pracownicy „zadowoleni z siebie” –  są przekonani, że firmowy system bezpieczeństwa zrobi wszystko za nich. Uważają, że nie są indywidualnie odpowiedzialni za bezpieczeństwo firmowych danych, a jego zapewnienie nie wymaga od nich żadnej aktywności.
  • Pracownicy „znudzeni i cyniczni” – uważają, że opinie o wysokim poziomie zagrożeń są przesadzone, a firmowy system zabezpieczeń ogranicza ich wydajność, więc są gotowi do omijania reguł firmowej polityki bezpieczeństwa.

Bezpieczeństwo na siłę

Rozwój nowej generacji polityk bezpieczeństwa skoncentrowanych na użytkownikach spowoduje, że w przyszłości CISO (Chief Information Security Officers – dyrektorzy ds. bezpieczeństwa informacji) będą korzystali z centralnie zarządzanej aplikacji umożliwiającej automatyczne monitorowanie i wymuszanie przestrzegania zasad polityki bezpieczeństwa. Nastąpi więc odejście od tradycyjnych rozwiązań, które zapewniają kontrolę różnych pojedynczych elementów systemu. Trend ten wynika z upowszechniania systemów mobilnych i rosnących wymagań pracowników, dotyczących możliwości korzystania z systemów pracy grupowej oraz zdalnego dostępu do firmowych zasobów informacji.

Wizja przyszłości

Należy się spodziewać, że przyszłości menedżerowie IT będą mieli możliwość określenia protokołów specyficznych dla indywidualnych pracowników. Będą one obsługiwały wszystkie wykorzystywane przez nich urządzenia niezależnie od ich bieżącej lokalizacji. Tego typu polityki bezpieczeństwa pozwolą firmom na jednoczesne obniżenie podatności na zagrożenia i zwiększenie elastyczności biznesu. – Choć edukacja i lepsza komunikacja mogą pomóc, to z pewnością nie rozwiążą problemu z postawą „samozadowolenia” prezentowaną przez wielu pracowników, którą ujawnia najnowszy raport Cisco. Liderzy IT będą zmuszeni do opracowywania bardziej przyjaznych użytkownikom polityk bezpieczeństwa, które będą wykorzystywały indywidualne wzorce zachowań, aby zmniejszyć ryzyko jego naruszenia w skali całej firmy – mówi Gaweł Mikołajczyk. – Jeśli pracownicy będą w dalszym ciągu przekonani, że system bezpieczeństwa IT utrudnia im pracę lub też nie będą zdawać sobie sprawy z tego jakie zagrożenia dla biznesu mogą wynikać z ich niewłaściwego zachowania, firmy będą kontynuowały ryzykowną grę, która może doprowadzić do bardzo kosztownych przypadków naruszenia bezpieczeństwa danych – podsumowuje Mikołajczyk.

oprac.: jn

źródło: Cisco