10-01-2012
Bezpieczeństwo IT jest wymieniana jako jedna z największych barier rozwoju pracy zdalnej. Coraz więcej raportów alarmuje o lekkomyślności pracowników, jeśli chodzi zarządzanie danymi firmowymi. Tym razem Cisco przygotowało infografikę na temat przestrzegania polityki bezpieczeństwa na podstawie raportu Cisco Connected World Technology Report 2011 (infografiki podsumowujące raport już wcześniej prezentowaliśmy na łamach Zdalniej.pl).
Oto infografika:
Widzimy z niej, że :
- aż 70% pracowników przyznaje się do łamania zasad obowiązującej polityki bezpieczeństwa,
- 61% nie poczuwa się do odpowiedzialności za dane firmowe przechowywanych na komputerach służbowych,
- 4 na 5 uznaje politykę bezpieczeństwa dotyczącą portali społecznościowych za przestarzałą.
W szczególności młodzi pracownicy, u których potrzeba natychmiastowego dostępu do danych jest tak silna, że są skłonni korzystać z niepewnych źródeł dostępu do Internetu, jak sieć bezprzewodowa sąsiada lub niedalekiej firmy, są skłonni narażać na niebezpieczeństwo dane firmowe.
Łamanie zasad polityki bezpieczeństwa ma różne podłoża. 20% pracowników mówi, że musi łamać zasady, by mieć dostęp do aplikacji niezbędnych do wykonywania pracy. Taka motywacja świadczyłaby o złej polityce bezpieczeństwa. Jednak 19% pracowników łamie przepisy bezpieczeństwa, ponieważ nie są one w żaden sposób egzekwowane. Ponadto 36% zatrudnionych nie szanuje przedstawicieli działu IT.
Źródło: Computerworld
Z czego to wynika i jak to zmienić?
Są różne typy łamania przepisów polityki bezpieczeństwa IT. Nie wszystkie opisane zasady mają sens z punktu widzenia pracownika. Część z nich jest uciążliwa do stosowania. Trzeba umieć rozróżnić przepisy istotne od tych nieistotnych.
Media społecznościowe
Jeśli przepisy zakazują korzystania z mediów społecznościowych takich jak Facebook czy NK, to pracownicy łamiąc je nie będą czuli, że w jakikolwiek sposób narażają bezpieczeństwo IT firmy. Szczerze mówiąc ciężko się z takim twierdzeniem nie zgodzić (chyba że ktoś publikuje hasła i login na „wallu”, ale to skrajny przypadek). Dlatego zawieranie takich przepisów w polityce bezpieczeństwa sprawia, że również pozostałe zasady (które już mogą być naprawdę ważne) tracą na wiarygodności. Z tego powodu w przepisach bezpieczeństwa IT należy umieścić jedynie takie przepisy, których nieprzestrzeganie faktycznie naraża firmę na zagrożenie (czyli np. polityka dotycząca haseł). Przepisy nt. korzystania z mediów społecznościowych powinny być w każdym razie zawarte w osobnym dokumencie.
Bezpieczeństwo a możliwość wykonywania pracy
Po drugie przepisy nie mogą kolidować z możliwością wykonywania pracy. Jeśli co piąty pracownik łamie przepisy, ponieważ w przeciwnym wypadku nie wykonałby swoich zadań służbowych, to jest to błąd strukturalny i należy zapewnić pracownikowi, by mógł bezpiecznie wykonywać pracę bez potrzeby nieprzestrzegania zasad.
Realizm
Dla każdej firmy byłoby idealnie, gdyby wszystkie hasła pracowników składały z kilkunastu znaków zawierających losowy ciąg dużych i małych liter, cyfr i znaków specjalnych, pracownicy je pamiętali i jeszcze zmieniali raz na miesiąc. Niestety tak nie jest. Trzeba się liczyć, że dla wielu pracowników obowiązek posiadania skomplikowanych haseł jest równoznaczny z napisaniem login i haseł na kartce, często jeszcze przyklejonej do komputera.
Egzekwowanie przepisów
Jeśli nie ponosi się konsekwencji wobec pracowników łamiących przepisy, demoralizuje się tych, którzy je przestrzegają. Aż 3 na 5 pracowników nie poczuwa żadnej odpowiedzialności za dane. Należy na to uczulać i karać za narażenie firmy na ataki. Kary powinny być opisane w takiej polityce bezpieczeństwa.