Na podstawie wyników badań, analitycy Cisco zdefiniowali cztery podstawowe profile zachowań polskich pracowników, które mogą mieć wpływ na bezpieczeństwo firmowych danych.
- Aż 83% ankietowanych nie zdaje sobie sprawy z istnienia nowych, poważnych zagrożeń dla bezpieczeństwa (takich jak luka Heartbleed).
- 55% uważa, że sposób zachowania się pracowników jest jednym z dwóch największych zagrożeń dla bezpieczeństwa danych i ustępuje tylko zagrożeniom ze strony zorganizowanych grup cyberprzestępczych (62%).
- 55% sądzi, że w ich firmie funkcjonuje polityka bezpieczeństwa, ale aż 30% przyznaje, że nic nie wie na ten temat.
- 57% deklaruje przestrzeganie firmowych reguł polityki bezpieczeństwa na niskim lub umiarkowanym poziomie, ale jeden na ośmiu ankietowanych przyznaje się do ich aktywnego omijania.
- 34% uważa, że system bezpieczeństwa IT w ich firmie hamuje innowacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy jest trudniejsze.
Warszawa, 9 października 2014r. – Ryzyko utraty danych o krytycznym znaczeniu dla działania firm jest w Polsce coraz wyższe – to główny wniosek płynący z raportu opublikowanego przez Cisco na zakończonej wczoraj konferencji Cisco Secure. Wynika to z faktu, iż polskie firmy i organizacje opracowując polityki bezpieczeństwa i budując systemy zabezpieczeń koncentrują się głównie na zewnętrznych zagrożeniach związanych z działaniem hakerów i cyberprzestępców, nie poświęcając dostatecznej uwagi zagrożeniom wewnętrznym.
Raport został opracowany na podstawie badań, które objęły ponad 1000 pracowników firm w Polsce. Ich wyniki ujawniają dwa ważne problemy związane z bezpieczeństwem.
Po pierwsze, szczególnie słabym ogniwem w systemach bezpieczeństwa są pracownicy i sposób ich zachowania się, który powoduje zwiększenie poziomu ryzyka. Przy czym ryzyko to wynika bardziej z samozadowolenia lub ignorancji niż ze złej woli – większość firm tak starannie odizolowała swoich pracowników od bieżących informacji o pojawiających się codziennie zagrożeniach, że nabrali oni przekonania, iż firmowy system bezpieczeństwa sam zajmuje się wszystkim, zwalniając ich z jakiejkolwiek odpowiedzialności.
Po drugie, rośnie liczba pracowników, którzy uważają, że polityka bezpieczeństwa hamuje innowacyjność i przeszkadza we współpracy. Co więcej, rosnące przekonanie, że utrudnia ona efektywną pracę powoduje, iż przynajmniej niektórzy pracownicy próbują ominąć reguły firmowej polityki bezpieczeństwa.
Nowe podejście do bezpieczeństwa IT musi uwzględniać realne zachowania pracowników
Z badania Cisco wynika, że istnieje pilna konieczność modyfikacji stosowanych w firmach polityk bezpieczeństwa tak, by w dalszym ciągu zapewniały najlepszą możliwą ochronę przed zewnętrznymi atakami, ale jednocześnie zostały przystosowane do realnych zachowań pracowników.
Gdy ankietowani zostali poproszeni o określenie jakie są dwa największe zagrożenia dla bezpieczeństwa danych, 62% odpowiedziało, że zorganizowana cyberprzestępczość, ale aż 55% wymieniło zachowanie pracowników. Jednocześnie wszyscy objęci badaniem przyznali, że wykorzystują firmową sieć również do celów prywatnych: 82% korzysta w pracy z systemów osobistej bankowości, 63% robi zakupy w internecie, a 43% łączy się z sieciami społecznościowymi.
– Badanie Cisco EMEAR Security Report pokazuje, jak złożone problemy dotyczące bezpieczeństwa IT stają przed polskimi firmami. Większość pracowników zdaje sobie sprawę, że zagrożenie ze strony cyberprzestępców jest realne i należy mu przeciwdziałać, ale jednocześnie wykazują oni zbyt duży poziom samozadowolenia, który powoduje zwiększenie ryzyka. Pracownik, który ma ślepe zaufanie do firmowego systemu bezpieczeństwa staje się niejako jednym z jego głównych słabych punktów – mówi Gaweł Mikołajczyk, ekspert ds. bezpieczeństwa, Cisco Poland.
Z badania wynika też, że stosowane obecnie strategie bezpieczeństwa IT nie uwzględniają preferowanych sposobów efektywnej pracy. Zdaniem ankietowanych pracowników, istniejące polityki bezpieczeństwa muszą ulec modyfikacji jeśli dotychczasowe wsparcie dla innowacyjności i efektywnej współpracy ma w przedsiębiorstwach zostać utrzymane przy jednoczesnym zapewnieniu odpowiedniej ochrony firmowej sieci, urządzeń i systemów chmurowych przed zewnętrznymi zagrożeniami.
– Zrównoważenie wymagań związanych z efektywnym działaniem biznesowym i ochroną przed zagrożeniami będzie wymagało fundamentalnej zmiany podejścia do bezpieczeństwa systemów IT.
To w jaki sposób zachowują się użytkownicy powinno wpływać na modyfikację mechanizmów bezpieczeństwa i być ważnym elementem nowoczesnego systemu ochrony, który z kolei musi zapewniać pełną, bieżącą widoczność wszystkich zagrożeń i koncentrować się na ich eliminacji, co jest możliwe tylko przy wykorzystaniu zintegrowanej platformy dostarczającej pełny obraz stanu bezpieczeństwa w czasie rzeczywistym – tłumaczy Gaweł Mikołajczyk. – Firmy, które wciąż wykorzystują zestaw niezintegrowanych, punktowych rozwiązań zapewniających ochronę różnych elementów systemu, same zwiększają poziom ryzyka. Tego typu klasyczne podejście do zabezpieczania IT w nieunikniony sposób prowadzi bowiem do pojawienia się luk, które mogą zostać wykorzystane do ataku – ostrzega ekspert Cisco.
Szczególnie ryzykowne mogą być działania tych pracowników, którzy mając dużą wiedzę o działaniu oprogramowania i systemów IT, potrafią ominąć zasady narzucone przez politykę bezpieczeństwa. Jak wynika z badania Cisco, aż jeden na ośmiu ankietowanych pracowników polskich firm przyznaje, że aktywnie omija te zasady, gdy tylko ma taką potrzebę.
Kultura samozadowolenia i ignorancji
Według najnowszego badania Cisco, obejmującego szeroki zakres użytkowników systemów IT w polskich firmach, największe wewnętrzne zagrożenia wynikają z pewnego rodzaju samozadowolenia pracowników, którzy zakładają, że firmowy system bezpieczeństwa będzie ich efektywnie chronił podczas przeglądania internetu i innych aktywności online.
Z badania wynika, że 29% pracowników spodziewa się, iż firmowy system zabezpieczeń ochroni ich przed każdym zagrożeniem, zaś 56% uważa, że są dobrze odizolowani od potencjalnych, zewnętrznych zagrożeń, a ich zachowania mają mały lub co najwyżej umiarkowany wpływ na bezpieczeństwo firmowego systemu IT.
Jak pokazuje badanie, 55% ankietowanych sądzi, że firma w której pracują ma wdrożoną politykę bezpieczeństwa, z kolei 30% tego nie wie. Blisko jedna trzecia (32%) mówi, że firmowa polityka bezpieczeństwa nigdy nie wywołała problemu, który miałby wpływ na ich pracę, a 49% zauważa jej istnienie tylko wtedy, gdy jakieś ich działanie zostanie zablokowane przez mechanizmy chroniące system.
Aż 57% ankietowanych przyznaje, że przestrzega zasad firmowej polityki zaledwie w stopniu małym lub umiarkowanym. Jednocześnie warto zauważyć, iż więcej pracowników deklaruje bardziej rygorystyczne podejście do reguł bezpieczeństwa w domu (25%) niż w pracy (19%). Co więcej, zaskakująca liczba ankietowanych, bo aż 83% nie zdaje sobie sprawy z istnienia takich poważnych, nowych zagrożeń jak Heartbleed. W efekcie 27% respondentów w ogóle nie zmieniło swoich zachowań dotyczących bezpieczeństwa, a 60% wciąż nie wprowadziło zasady definiowania różnych haseł dla każdego z wykorzystywanych serwisów lub aplikacji.
– Efektywna strategia bezpieczeństwa to taka, która pozwala chronić firmowy system przed, w trakcie i po ataku. Niestety, wyniki badania pokazują, że większość pracowników czuje się tak odporna na zagrożenia, że nie zmienia swoich zachowań i przyzwyczajeń niezależnie od bieżącej sytuacji – mówi Gaweł Mikołajczyk z Cisco.
Przestarzałe podejście do bezpieczeństwa hamuje efektywną współpracę i krępuje innowacyjność
Pracownicy polskich firm w coraz większym stopniu zaczynają postrzegać mechanizmy bezpieczeństwa IT jako barierę hamującą działania biznesowe. 34% uważa, że system bezpieczeństwa IT w ich firmie hamuje innowacyjność, przeszkadza we współpracy i powoduje, iż wykonywanie pracy jest trudniejsze. Natomiast 22% jest przekonanych, iż wartość utraconych zysków powodowana przez rygorystyczny system zabezpieczeń przewyższa koszty związane z potencjalnymi skutkami udanego ataku na firmowy system IT.
Polityki bezpieczeństwa koncentrujące się na użytkownikach
W ramach badania, analitycy Cisco określili też cztery główne profile zachowań polskich pracowników w kontekście bezpieczeństwa IT. Mogą one być dobrą podstawą do opracowania praktycznych strategii biorących pod uwagę różne typy zachowań pracowników. Każdy profil prezentuje inny poziom zagrożenia dla bezpieczeństwa firmowych danych i wymaga innego rozwiązania, które z jednej strony ograniczy ryzyko, ale z drugiej zapewni możliwość uzyskania optymalnej wydajności i efektywności pracy.
- Pracownicy „świadomi zagrożeń” – wiedzą jakie jest ryzyko i starają się ściśle przestrzegać zasad bezpieczeństwa IT podczas pracy.
- Pracownicy „mający dobre intencje” – starają się przestrzegać reguł polityki bezpieczeństwa, ale w rzeczywistości stosują je na zasadzie „chybił – trafił”.
- Pracownicy „zadowoleni z siebie” – są przekonani, że firmowy system bezpieczeństwa zrobi wszystko za nich. Uważają, że nie są indywidualnie odpowiedzialni za bezpieczeństwo firmowych danych, a jego zapewnienie nie wymaga od nich żadnej aktywności.
- Pracownicy „znudzeni i cyniczni
Kaizo LimitedA company registered in England and WalesRegistered office: 1 Quality Court, Chancery Lane, London, WC2A 1HR Registered Number: 07631425
” – uważają, że opinie o wysokim poziomie zagrożeń są przesadzone, a firmowy system zabezpieczeń ogranicza ich wydajność, więc są gotowi do omijania reguł firmowej polityki bezpieczeństwa.
Rozwój nowej generacji polityk bezpieczeństwa skoncentrowanych na użytkownikach spowoduje, że w przyszłości CISO (Chief Information Security Officers – dyrektorzy ds. bezpieczeństwa informacji) będą korzystali z centralnie zarządzanej aplikacji umożliwiającej automatyczne monitorowanie i wymuszanie przestrzegania zasad polityki bezpieczeństwa. Nastąpi więc odejście od tradycyjnych rozwiązań, które zapewniają kontrolę różnych pojedynczych elementów systemu. Trend ten wynika z upowszechniania systemów mobilnych i rosnących wymagań pracowników dotyczących możliwości korzystania z systemów pracy grupowej oraz zdalnego dostępu do firmowych zasobów informacji.
W przyszłości menedżerowie IT będą mieli możliwość określenia protokołów specyficznych dla indywidualnych pracowników. Będą one obsługiwały wszystkie wykorzystywane przez nich urządzenia niezależnie od ich bieżącej lokalizacji. Tego typu polityki bezpieczeństwa pozwolą firmom na jednoczesne obniżenie podatności na zagrożenia i zwiększenie elastyczności biznesu.
– Choć edukacja i lepsza komunikacja mogą pomóc, to z pewnością nie rozwiążą problemu z postawą „samozadowolenia” prezentowaną przez wielu pracowników, którą ujawnia najnowszy raport Cisco. Liderzy IT będą zmuszeni do opracowywania bardziej przyjaznych użytkownikom polityk bezpieczeństwa, które będą wykorzystywały indywidualne wzorce zachowań, aby zmniejszyć ryzyko jego naruszenia w skali całej firmy – mówi Gaweł Mikołajczyk. – Jeśli pracownicy będą w dalszym ciągu przekonani, że system bezpieczeństwa IT utrudnia im pracę lub też nie będą zdawać sobie sprawy z tego jakie zagrożenia dla biznesu mogą wynikać z ich niewłaściwego zachowania, firmy będą kontynuowały ryzykowną grę, która może doprowadzić do bardzo kosztownych przypadków naruszenia bezpieczeństwa danych – dodaje ekspert Cisco.
Zapraszamy do zapoznania się infografiką jaką przygotowała firma Cisco:
Cisco EMEAR Security Report 2014, czyli o bezpieczeństwie IT w polskich firmach – infografika