W wielu firmach pracownicy nie respektują polityki bezpieczeństwa IT. Niektórzy wychodzą z założenia, że surowe sankcje zdyscyplinują personel, ale są też alternatywne metody.
Dostawcy systemów bezpieczeństwa IT przyznają, że są bezradni wobec niefrasobliwości użytkowników. Nawet najbardziej solidne zabezpieczenia nie pomogą, jeśli użytkownicy będą nabierać się na stosowane od lat przez hakerów sztuczki, a warto zaznaczyć, że na horyzoncie pojawiają się nowe, bardziej wysublimowane metody ataków.
Jak wynika z badania Gartnera aż 69 proc. pracowników ominęło politykę bezpieczeństwa swojej firmy w ciągu 12 miesięcy, natomiast 79 proc. przyznało, że byłoby skłonnych to zrobić, aby osiągnąć cel biznesowy. Taka obojętność rodzi pytanie – dlaczego ludzie ignorują wytyczne bezpieczeństwo danych, sieci czy urządzeń końcowych? W pewnym stopniu wynika to z techniki neutralizacji. Autorami tej koncepcji są dwaj amerykańscy kryminolodzy Greshama Sykes i David Matza. Opracowanie powstało w latach 50. XX wieku w celu wyjaśnienia zdolności młodocianych przestępców do „neutralizacji” winy związanej z niewłaściwym zachowaniem.
Neutralizacja może w przypadku bezpieczeństwa IT przyjmować różne postacie. Przykładowo pracownicy często uzasadniają pobranie nieautoryzowanego oprogramowania z Internetu koniecznością dotrzymania napiętych terminów. Inną ciekawą techniką jest bilans zysków i strat. Pracownicy wyliczają wszystkie pozytywne rzeczy, które robią dla firmy (praca w nadgodzinach, zdobycie cennych kontraktów, realizacja planów sprzedażowych) i porównują je z negatywnymi zachowaniami. Jeśli pozytywne działania przewyższają liczebnie negatywne, wmawiają sobie, że mogą czasami bez poczucia winy złamać zasady bezpieczeństwa IT. Niejednokrotnie zdarza się, że pomiędzy działami biznesowymi, a komórkami zajmującymi się bezpieczeństwem brakuje porozumienia. W związku z tym ignorują one zasady wprowadzone przez swoich kolegów z IT i zarzucają im niezrozumienie potrzeb biznesowych firmy.
Menedżerowie poszukują różnych sposobów na okiełznanie swobody pracowników. Jednym z nich jest nakładanie kar finansowych. To może być skuteczny środek, ale istnieje ryzyko utraty cennego pracownika. Poza tym, jeśli ktoś nie zdaje sobie nawet sprawy z tego, że działa niezgodnie z zasadami polityki bezpieczeństwa, sankcje mogą nie zadziałać.
Alternatywą dla kar jest wnikliwa kontrola personelu, lecz do realizacji tego zadania potrzebne są specjalne narzędzia do monitorowania pracowników, które służą do zarządzania tożsamością i dostępem (IAM).
– Takie rozwiązania dzięki nieprzerwanej kontroli aktywności pracowników, umożliwiają wychwycenie ryzykownych zachowań oraz działają prewencyjnie, uniemożliwiając np. podpięcie nieautoryzowanego nośnika danych. IAM to zestaw funkcjonalności, które łatwo i szybko pozwalają określić, kto ma wgląd do konkretnych zasobów firmy i kto jest uprawniony do wprowadzania zmian. Umożliwia to wdrożenie dodatkowych zabezpieczeń, które niwelują ryzyko uzyskania dostępu do danych przez osoby niepowołane. Zalicza się do nich m.in. dodatkowe zabezpieczenie logowania w postaci weryfikacji tożsamości, np. przy pomocy biometrii lub numeru telefonu – tłumaczy Marcin Świątek, ekspert ds. wdrożeń systemów informatycznych.
Część właścicieli firm stawia na edukację personelu. W czasie kursów na temat cyberbezpieczeństwa pracownicy poznają techniki stosowane przez hakerów, uczestniczą w testach itp. To także doskonała okazja, aby uzmysłowić im skutki wprowadzenia do organizacji niebezpiecznego oprogramowania oraz wycieku danych. Szacuje się, że średni koszt usunięcia skutków cyberataków sięga nawet 200 tysięcy dolarów. Duże obciążenia finansowe mogą skutkować zamknięciem nawet 60 proc. dotkniętych atakiem firm w ciągu pół roku od incydentu. Prawdopodobnie takie argumenty bardziej zadziałają na wyobraźnię pracowników niż pozbawienie premii.
– Nie ma złotej recepty na ograniczenie błędów czy bezmyślność pracowników. Menedżerowie muszą sięgać po różne metody i sprawdzać, jak działają. Niektóre firmy wychodzą z założenia, że inwestycja w antywirusa nowej generacji czy firewalla rozwiąże problem. Tak jednak nie jest, potrzebna jest również kontrola pracowników i ich edukacja w zakresie cyberbezpieczeństwa – podsumowuje Marcin Świątek, ekspert ds. wdrożeń systemów informatycznych.
Choć nie ma już z nami Kevina Mitnicka, który zmarł w lipcu bieżącego roku, jego motto „łamałem ludzi, a nie hasła” wciąż żyje.
źródło: informacje prasowe