W wielu firmach pracownicy nie respektują polityki bezpieczeństwa IT. Niektórzy wychodzą z założenia, że surowe sankcje zdyscyplinują personel, ale są też alternatywne metody.
Dostawcy systemów bezpieczeństwa IT przyznają, że są bezradni wobec niefrasobliwości użytkowników. Nawet najbardziej solidne zabezpieczenia nie pomogą, jeśli użytkownicy będą nabierać się na stosowane od lat przez hakerów sztuczki, a warto zaznaczyć, że na horyzoncie pojawiają się nowe, bardziej wysublimowane metody ataków.
Ignorujemy wytyczne
Jak wynika z badania Gartnera aż 69 proc. pracowników ominęło politykę bezpieczeństwa swojej firmy w ciągu 12 miesięcy, natomiast 79 proc. przyznało, że byłoby skłonnych to zrobić, aby osiągnąć cel biznesowy. Taka obojętność rodzi pytanie - dlaczego ludzie ignorują wytyczne bezpieczeństwo danych, sieci czy urządzeń końcowych? W pewnym stopniu wynika to z techniki neutralizacji. Autorami tej koncepcji są dwaj amerykańscy kryminolodzy Greshama Sykes i David Matza. Opracowanie powstało w latach 50. XX wieku w celu wyjaśnienia zdolności młodocianych przestępców do "neutralizacji" winy związanej z niewłaściwym zachowaniem.
Neutralizacja
Neutralizacja może w przypadku bezpieczeństwa IT przyjmować różne postacie. Przykładowo pracownicy często uzasadniają pobranie nieautoryzowanego oprogramowania z Internetu koniecznością dotrzymania napiętych terminów. Inną ciekawą techniką jest bilans zysków i strat. Pracownicy wyliczają wszystkie pozytywne rzeczy, które robią dla firmy (praca w nadgodzinach, zdobycie cennych kontraktów, realizacja planów sprzedażowych) i porównują je z negatywnymi zachowaniami.
Jeśli pozytywne działania przewyższają liczebnie negatywne, wmawiają sobie, że mogą czasami bez poczucia winy złamać zasady bezpieczeństwa IT. Niejednokrotnie zdarza się, że pomiędzy działami biznesowymi, a komórkami zajmującymi się bezpieczeństwem brakuje porozumienia. W związku z tym ignorują one zasady wprowadzone przez swoich kolegów z IT i zarzucają im niezrozumienie potrzeb biznesowych firmy.
Dyscyplinowanie pracownika
Menedżerowie poszukują różnych sposobów na okiełznanie swobody pracowników. Jednym z nich jest nakładanie kar finansowych. To może być skuteczny środek, ale istnieje ryzyko utraty cennego pracownika. Poza tym, jeśli ktoś nie zdaje sobie nawet sprawy z tego, że działa niezgodnie z zasadami polityki bezpieczeństwa, sankcje mogą nie zadziałać.
Alternatywą dla kar jest wnikliwa kontrola personelu, lecz do realizacji tego zadania potrzebne są specjalne narzędzia do monitorowania pracowników, które służą do zarządzania tożsamością i dostępem (IAM).
- Takie rozwiązania dzięki nieprzerwanej kontroli aktywności pracowników, umożliwiają wychwycenie ryzykownych zachowań oraz działają prewencyjnie, uniemożliwiając np. podpięcie nieautoryzowanego nośnika danych - tłumaczy Marcin Świątek, ekspert ds. wdrożeń systemów informatycznych.
Część właścicieli firm stawia na edukację personelu. W czasie kursów na temat cyberbezpieczeństwa pracownicy poznają techniki stosowane przez hakerów, uczestniczą w testach itp. To także doskonała okazja, aby uzmysłowić im skutki wprowadzenia do organizacji niebezpiecznego oprogramowania oraz wycieku danych.
Szacuje się, że średni koszt usunięcia skutków cyberataków sięga nawet 200 tysięcy dolarów. Duże obciążenia finansowe mogą skutkować zamknięciem nawet 60 proc. dotkniętych atakiem firm w ciągu pół roku od incydentu. Prawdopodobnie takie argumenty bardziej zadziałają na wyobraźnię pracowników niż pozbawienie premii.
- Nie ma złotej recepty na ograniczenie błędów czy bezmyślność pracowników. Menedżerowie muszą sięgać po różne metody i sprawdzać, jak działają. Niektóre firmy wychodzą z założenia, że inwestycja w antywirusa nowej generacji czy firewalla rozwiąże problem. Tak jednak nie jest, potrzebna jest również kontrola pracowników i ich edukacja w zakresie cyberbezpieczeństwa - podsumowuje Marcin Świątek, ekspert ds. wdrożeń systemów informatycznych.
Choć nie ma już z nami Kevina Mitnicka, który zmarł w lipcu bieżącego roku, jego motto „łamałem ludzi, a nie hasła" wciąż żyje.
Pobierz ebook "Jak otworzyć sklep internetowy - ebook z poradami dla firm"
Zaloguj się, a jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo zalogować przez Facebooka.
1stplace.pl to profesjonalna agencja SEO/SEM, specjalizująca się w szeroko pojętym marketingu internetowym. Firma oferuje …
Zobacz profil w katalogu firm
»
Pozycjonujemy się jako alternatywa dla agencji sieciowych, oferując konkurencyjną jakość, niższe koszty i większą …
Zobacz profil w katalogu firm
»
Pomagamy markom odnosić sukces w Internecie. Specjalizujemy się w pozycjonowaniu stron, performance marketingu, social …
Zobacz profil w katalogu firm
»
W 1999 roku stworzyliśmy jedną z pierwszych firm hostingowych w Polsce. Od tego czasu …
Zobacz profil w katalogu firm
»
Projektujemy i wdrażamy strony internetowe - m.in. sklepy, landing page, firmowe. Świadczymy usługi związane …
Zobacz profil w katalogu firm
»