A tudatos, a jó szándékú, a felelőtlen és a cinikus

LinkedInGoogle+
Megosztás:

Cisco kutatás: a munkavállalók és az IT biztonság

A munkavállalók többsége nem érzi saját felelősségének a vállalati IT biztonság kérdését, a nagyvállalatok negyedénél pedig nincs biztonsági szabályzat. Többek között erre derült fény a Cisco 13 országban, több mint 12 000 munkavállaló megkérdezésével végzett biztonsági kutatásából.

A Cisco az Európa, Közel-Kelet, Afrikai és Oroszország (EMEAR) régióban végezte el azt a felmérést, amely alapján kijelenthető, hogy a nagyvállalatok és kkv-k IT biztonsági szabályozásai és erőforrásai főként a külső fenyegetések ellen védenek, a vállalaton belüli fenyegetésekre azonban kevés figyelem irányul.

A kutatás főbb eredményei az alábbi tendenciákra világítottak rá:

  • A válaszadók 69%-a nincs tisztában a jelentősebb biztonsági résekkel, fenyegetésekkel (mint például a Heartbleed, vagy a nemrégiben napvilágot látott Shellshock)
  • A válaszadók a legfőbb rizikónak a kiberbűnözést tartották (60%), ugyanakkor második helyre rangsorolták a felhasználói viselkedést, mint kockázati tényezőt. A megkérdezettek 58%-a úgy tudja, hogy vállalata rendelkezik IT biztonsági szabályzattal, 23% azonban egyáltalán nem tud ilyesmiről.
  • A válaszadók 44%-a csak mérsékelten, vagy alig tartja be a szabályokat, minden 14. ember pedig aktívan megkerüli az IT-biztonsági előírásokat.
  • A felmérésben résztvevő munkavállalók 31%-a szerint az IT biztonság gátolja az innovációt és a közös munkát, illetve szimplán megnehezíti a munkavégzést.

Amint a fentiekből is látszik, a munkavállalók magatartása, illetve a tudatosság hiánya a vállalati IT-biztonság Achilles-sarka, amely egyre nagyobb kockázati tényezővé válik. Mivel a vállalatok elszigetelik a felhasználókat a naponta jelentkező IT fenyegetésektől, ezért többségük elvárja, hogy a vállalati biztonsági rendszerek minden lehetséges kockázatot kiszűrjenek.

A felhasználói viselkedéssel is számolni kell

A kutatás részeként a Cisco négy jellegzetes viselkedési mintát azonosított az IT biztonsággal kapcsolatban. Ezek alapján lehetségessé válik olyan biztonsági stratégiák létrehozása, amelyek számolnak a felhasználók eltérő viselkedésével. Mindegyik esetben más a fenyegetettség szintje és mindegyik felhasználótípus eltérő megközelítést igényel annak érdekében, hogy a vállalatok a lehető legalacsonyabbra csökkentsék a kockázatokat, miközben nem korlátozzák a munkavállalók szabadságát, lehetővé téve, hogy optimális hatékonysággal végezzék a munkájukat.

A négy felhasználótípus

  • A tudatos – aki tisztában van a biztonsági fenyegetésekkel és veszélyekkel, és mindent megtesz saját online biztonsága érdekében.
  • A jó szándékú – aki megpróbálja betartani a biztonsági szabályokat, de rendszertelenül, mindenféle cél nélkül.
  • A felelőtlen – aki elvárja, hogy a vállalat tegyen meg minden szükséges biztonsági intézkedést, ő maga semmilyen felelősséget nem vállal az adatok biztonságáért.
  • Az unott és cinikus – akik szerint a biztonsági fenyegetésekről szóló figyelmeztetések túlzóak, sőt a biztonsági intézkedések visszafogják a hatékony munkavégzést, így a saját eredményességük érdekében inkább megkerülik a szabályokat.

„A kutatás rámutat, hogy szükség van a biztonsági szabályozások újragondolására, annak érdekében, hogy azok a külső támadások ellen továbbra is megfelelő védelmet nyújtsanak, ugyanakkor alkalmazkodjanak a munkavállalók viselkedésmódjához és elvárásaihoz is. A felhasználó-központú szabályozás fejlesztése azt jelenti, hogy a korábbi, pontbiztonsági megoldásokat felváltják a központilag irányított, automatikus szabályozók és alkalmazások. A vállalati mobilitással kapcsolatos trendek és a munkavállalói elvárások arra kényszerítik az IT-vezetőket, hogy felhasználó-specifikus protokollokat alkalmazzanak a munkavállalók által használt eszközökön. Ez a rugalmas biztonsági szabályozás gyors reagálást tesz lehetővé a vállalatnál, miközben csökkenti a felhasználók és a vállalat sebezhetőségét” – mondta Ács György, a Cisco regionális IT biztonsági szakértője.

A tudatosság hiánya a legnagyobb gond

A kutatás szerint a legjelentősebb belső kockázati tényezőt az a hamis biztonságérzet jelenti, amelynek eredményeként a munkavállalók úgy gondolják, a cégük minden lehetséges fenyegetéstől megvédi őket. A megkérdezettek 35%-a elvárja, hogy a vállalat biztonsági beállításai mindenféle veszélytől védelmet nyújtsanak, közel felük (42%) szerint a cég felelőssége, hogy biztonságban tartsák az adataikat, míg a válaszadók 62%-a gondolja úgy, hogy viselkedésének csupán mérsékelt hatása van a vállalati biztonságra.

Ez a hozzáállás azt eredményezi, hogy csökken a biztonsági szabályok hatékonysága. Miközben a munkavállalók 59%-a gondolja azt, hogy a vállalatnak van érvényes biztonsági szabályzata, a válaszadók közel negyede (23%) nem tudja, hogy létezik-e valamiféle szabályozás vagy sem.

A felmérésben résztvevők több mint fele (46%) úgy gondolja, hogy a szabályzók nincsenek hatással a tevékenységükre, 38% pedig csak akkor szembesül ezzel, amikor a biztonsági beállítások megakadályozzák valamiben. Ugyanakkor egy másik kérdésre válaszolva a dolgozók 17%-a nyilatkozott úgy, hogy az IT biztonság gátolja az vállalaton belüli innovációt és az együttműködést, és 14% akadályoztatva érzi magát a mindennapi munkafolyamatok során. A válaszadók 17%-a úgy látja, hogy az elmulasztott üzleti lehetőségekkel többet veszít a vállalat, mint egy adatszivárgási eset jelentette kiesés.

Mivel a munkavállalók közel háromnegyede (69%) nincs tisztában a Heartbleedhez, vagy a közelmúltban napvilágot látott Shellshock biztonsági résekhez hasonló, sok felhasználót érintő problémákkal, ezért közel egyharmadukban (32%) fel sem merül, hogy változtassanak a biztonsággal kapcsolatos szokásaikon. A felhasználók több mint fele (55%) ugyanazt a jelszót használja minden alkalmazáshoz és weboldalhoz, 60% pedig nem cseréli rendszeresen a jelszavait.

A kutatás további érdekes megállapításai:

  • Nagyvállalat vs. kkv – Az EMEAR régióban a nagyvállalatok védettebbek, mint a kis- és középvállalatok. A nagyvállalatok 76%-a rendelkezik biztonsági szabályozással, ez a szám a kkv-k esetében csak 39%.
  • Felelőtlenség – A nagyvállalatok esetében a dolgozók 42%-a várja el, hogy a szervezet teljes körű védelmet biztosítson számukra, a kkv-knál csak 28% gondolkozik hasonlóan.
  • Otthoni vs munkahelyi biztonság – A válaszadók megközelítőleg azonos arányban érzik adataikat biztonságban otthon (54%), illetve a munkahelyükön (46%), és közel 60% kezeli azonos módon a biztonságot otthoni illetve munkahelyi eszközein.

A Cisco-ról

A Cisco (NASDAQ: CSCO) az internetes hálózati piac vezetője. A Ciscóval kapcsolatos hírek és információk a weben a http://www.cisco.com illetve a http://newsroom.cisco.com oldalon olvashatók.

További információk:

Sinkó Judit
Cisco Magyarország, PR manager

Kérdése van? Válaszolunk!