Czego nie robić w firmie, aby nie stracić danych? - cz. II

W październiku przedstawiliśmy badania firmy Cisco, z których wynika, że pracownicy często łamią zasady bezpieczeństwa dla własnej wygody. Teraz przyszedł czas na drugą część badań dotyczącą firmowych działów IT. Opracowano je na podstawie ankiet przeprowadzonych przez ponad 2000 pracowników i informatyków w 10 krajach.

Badania wykazały przede wszystkich, że brakuje współpracy między działem IT a innymi pracownikami. W efekcie pracownicy nie są przekonani o tym, że strategia bezpieczeństwa jest właściwa. Nie mają wiedzy na temat celu stosowania reguł bezpieczeństwa, a czasem nawet ich nie znają.

Badania wykazały, że 3/4 przedsiębiorstw wdrożyło reguły bezpieczeństwa. Brak reguł bezpieczeństwa jest najczęstszy w Japonii (39%) oraz w Wielkiej Brytanii (29%).

Jednym z ciekawszych ustaleń jest różnica w liczbie pracowników i informatyków, którzy mają wiedzę na temat reguł. W zależności od kraju liczba informatyków, którzy znali reguły panujące w firmach, była o 20-30% wyższa niż odpowiednia liczba pracowników. Największa różnica (31%) wystąpiła w Stanach Zjednoczonych, Brazylii i we Włoszech. Te wyniki każą zadać pytanie, czy i w jaki sposób działy informatyczne przekazują pracownikom informacje o regułach.

11% pracowników twierdzi, że działy informatyczne nigdy nie ogłaszają reguł bezpieczeństwa ani nie przeprowadzają dotyczących ich szkoleń. Jest to powszechne zwłaszcza w Europie. Najwięcej pracowników zgadzających się z tą opinią znajduje się w Wielkiej Brytanii (25%) i Francji (20%). Informowanie pracowników o regułach bezpieczeństwa często odbywa się w sposób niewerbalny i pośredni - z użyciem poczty elektronicznej, komunikatów wyświetlanych podczas logowania lub poczty głosowej.

Trzech na czterech informatyków (77%) uważa, że reguły należy częściej aktualizować. Opinię tę potwierdza tylko połowa (47%) pracowników.

Większość pracowników uważa, że reguły obowiązujące w ich przedsiębiorstwach są nieuzasadnione i nadmiernie restrykcyjne. Jedynie w Niemczech i w Stanach Zjednoczonych pracownicy nie podzielają tej opinii.

Jednym z ważniejszych wniosków z przeprowadzonych badań jest różnica poglądów na temat przyczyn łamania reguł pomiędzy informatykami a pracownikami. Według informatyków pracownicy nie przestrzegają reguł z wielu powodów, od braku wiedzy na temat powagi zagrożeń do zupełnej obojętności na te zagrożenia.

Z kolei sami pracownicy twierdzą, że głównym powodem nieprzestrzegania reguł jest ich niedostosowanie do rzeczywistych potrzeb wynikających z zakresu obowiązków i natury wykonywanych zadań (może ma to związek ze złośliwością informatyków?).

Specjaliści Cisco mówią, że informatycy powinni się zastanowić nad dostosowaniem reguł bezpieczeństwa do potrzeb pracowników. W przeciwnym przypadku istnieje ryzyko całkowitego niepowodzenia w egzekwowaniu reguł i w konsekwencji wyższego zagrożenia utratą danych.

Warto zwrócić uwagę na badania Cisco. Firma podkreśla, że nie przeprowadziła ich po to, aby tworzyć poczucie zagrożenia, ale w celach edukacyjnych. Bezpieczeństwo jest bezwzględnie zależne od ludzkich zachowań i pracownicy we wszystkich branżach muszą wiedzieć, w jaki sposób ich działania mogą zwiększać ryzyko.