Złe nawyki online pracowników narażają firmy na straty
Milennialsi to pokolenie urodzone między 1980 a 1995 rokiem, którego przedstawicieli określa się, jako pewnych siebie, niecierpliwych, przedsiębiorczych i świetnie radzących sobie z nowymi technologiami. To oni właśnie najczęściej naruszają podział między tym, co osobiste a zawodowe, poprzez instalowanie aplikacji bez zgody firmy, zapisywanie plików firmowych w swojej prywatnej chmurze bez zgody przełożonego lub angażowanie się w inne niebezpieczne praktyki.
Badania pokazują, że pracownicy z dostępem do firmowych danych, którzy mają za zadanie utrzymać firmę bezpieczną, np. pracownicy działu IT są znacznie bardziej skłonni do ryzykownych zachowań niż pozostali pracownicy.
Jeden na trzech specjalistów IT podał swój login i hasło uwierzytelniające innym pracownikom, a prawie 30% twierdzi, że systemy należące do poprzednich pracodawców są dalej dostępne dla byłych pracowników.
Praktyki te powodują, że zwiększa się ryzyko utraty danych przez nieprzestrzeganie norm bezpieczeństwa, nie blokowanie kont byłych pracowników lub nie ograniczanie dostępu do sieci spoza firmy. Może to być źródłem sabotażu przeprowadzonego przez niezadowolonego obecnego lub byłego pracownika.
Pracownicy długoterminowi (ze stażem powyżej 7 lat) mają tendencję do wprowadzania większych ogólnych zagrożeń dla bezpieczeństwa ze względu na utarte złe nawyki (nie wylogowywanie się z komputera, łączenie się z siecią firmową z niezabezpieczonych komputerów itp.)
Badanie przeprowadzone przez Intermedia pokazuje nieodpowiednie nawyki ponad 2000 pracowników biurowych w USA i Wielkiej Brytanii.
Ostatnie badania pokazują, że 91% pracowników czuje nacisk pracodawców na zwiększenie wydajności, a 92% negatywnie podchodzi do dodatkowych zabezpieczeń dla pracy zdalnej.
Gdyby zapytać każdego kierownika działu IT o wytypowanie jednego czynnika mającego wpływ na każdy incydent bezpieczeństwa odpowiedź byłaby prosta: błąd człowieka. Oczywiście nie każda organizacja jest narażona na te same rodzaje zagrożeń bezpieczeństwa, ale wszystkie łączy ten sam czynnik ludzki. W rzeczywistości 24% organizacji dotkniętych w zeszłym roku utratą danych twierdzi, że było to wynikiem błędu pracownika.
Aby zmniejszyć ryzyko utraty danych i naruszeń przypominamy o trzech najlepszych środkach, które małe i średnie firmy powinny mieć na uwadze.
- Ogranicz dostęp do wrażliwych danych.
Jednym z najczęstszych błędów pracowników jest wysyłanie ważnych dokumentów do niezamierzonych odbiorców. Ludzie przenoszą także dokumenty robocze na osobistego e-maila, umieszczają je na stronach do wymiany plików lub kopiują na nośniki wymienne, takie jak pamięci USB. I podczas gdy dyski flash mogą wydawać się nieszkodliwe, to złośliwe oprogramowanie przeniesione w ten sposób do sieci firmowej może zrobić wiele szkód.
W celu ograniczenia błędów ludzkich organizacja powinna rozpocząć wdrażanie kontroli bezpieczeństwa od monitorowania pracowników, którzy mają dostęp do zastrzeżonych danych. Inne środki ochrony danych i bezpieczeństwa obejmują:
- Zarządzanie i kontrolę uprawnień użytkowników końcowych,
- Przeprowadzenie weryfikacji działalności online pracownika przed udzieleniem uprzywilejowanego dostępu,
- Segregację sieci dla lepszej kontroli i bezpieczeństwa.
Nie tylko pracownicy powinni być monitorowani. Wszyscy czasem popełniamy błędy. Przeprowadzane badania pokazują, że równie często administratorzy doprowadzają do błędów systemów, zbyt rzadko robiąc aktualizacje oraz pozostawiając domyślne loginy i hasła na używanym sprzęcie.
- Ucz o bezpieczeństwie
Ludzkie zaniedbania lub nieostrożność wynika w dużej mierze z wiedzy wykorzystywanej przez cyberprzestępców. Przechwytywanie informacji od nieświadomego pracownika jest prostsze niż włamanie się do sieci firmowej.
Najprostszym sposobem, aby uzyskać dostęp do ważnych informacji jest np. wysłanie e-maila ze złośliwym załącznikiem, która wzywa np. do zapłacenia nieopłaconej faktury. Załącznik, który jest „fakturą" instaluje oprogramowanie, które śledzi i czyta informacje oraz przechwytuje poświadczenia użytkownika.
Innymi ryzykownymi praktykami jest podłączanie: komputera do internetu za pośrednictwem niezabezpieczonej sieci bezprzewodowej, przynoszenie do pracy prywatnych urządzeń i praca na nich lub strata urządzenia firmowego przez pracowników znajdujących się w podróży.
Dlatego nauka jak rozpoznać i uniknąć e-zagrożeń jest bardzo ważna zarówno dla pracowników, jak i pracodawców.
- Ale jeśli pierwsza linia obrony zawiedzie...
Najsilniejszą warstwą ochrony zaraz po człowieku jest nadal technologia. Należy zadbać, aby oprogramowanie ochronne miało opcję raportowania działań użytkowników i możliwość ograniczenia im działań w Internecie. Dzięki temu nie tylko można kontrolować to, czy na pewno zachowują wszystkie zasady bezpieczeństwa, ale również zapobiec zarażeniu, w razi gdyby przypadkiem otworzyli szkodliwy załącznik do e-maila.