Materia³y dla prasy

Wyniki badañ wskazuj± na braki w ¶wiadomo¶ci pracowników w zakresie regu³ oraz na brak regu³ bezpieczeñstwa w jednej na cztery firmy

Warszawa, 19 listopada 2008 roku, Firma Cisco przedstawi³a drug± czê¶æ wyników badañ dotycz±cych wycieków danych w przedsiêbiorstwach. Wyniki pokazuj± powszechno¶æ i skuteczno¶æ strategii bezpieczeñstwa w przedsiêbiorstwach oraz powody, dla których pracownicy stosuj± siê do nich lub je przekraczaj±. Badanie to pomo¿e dzia³om informatycznym firm dzia³aj±cych w ró¿nych czê¶ciach ¶wiata uwzglêdniæ czynnik ryzyka wi±¿±cy siê z dzia³aniami pracowników i skutecznie dostosowaæ regu³y do realnych potrzeb u¿ytkowników wynikaj±cych z ich zakresów obowi±zków.

Najnowsze ustalenia na temat bezpieczeñstwa by³y poprzedzone badaniem opisuj±cym zagro¿enia spowodowane wyciekiem danych przez ryzykowne zachowania i b³êdy pracowników firm z ca³ego ¶wiata (http://newsroom.cisco.com/dlls/2008/prod_102108.html). Wnioski na temat stosowanych w przedsiêbiorstwach strategii bezpieczeñstwa zosta³y sformu³owane na podstawie ankiet przeprowadzonych przez ponad 2000 pracowników i informatyków w 10 krajach: Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech, W³oszech, Japonii, Chinach, Indiach, Australii i Brazylii. Ankieta na tematy zwi±zane z bezpieczeñstwem zosta³a zrealizowana przez InsightExpress, amerykañsk± firmê zajmuj±c± siê badaniami rynku, na zlecenie Cisco. Inicjatywê tê podjêto w momencie, gdy utrata danych (www.cisco.com/go/dlp) stanowi jeden z najwa¿niejszych problemów, przed którymi staj± przedsiêbiorstwa. W miarê, jak granice miêdzy prac± a ¿yciem prywatnym zacieraj± siê, a pracownicy u¿ywaj± aplikacji do pracy zespo³owej i urz±dzeñ mobilnych, w kontek¶cie ochrony poufnych danych coraz istotniejsz± rolê zaczynaj± odgrywaæ regu³y bezpieczeñstwa.

„Badanie wykaza³o, ¿e konieczna jest ponowna analiza regu³ bezpieczeñstwa stosowanych w przedsiêbiorstwach oraz sposobów informowania o tych regu³ach" - powiedzia³ John N. Stewart, dyrektor ds. bezpieczeñstwa w Cisco. „Przekonanie pracowników o tym, ¿e strategia bezpieczeñstwa nie jest w³a¶ciwa, czyli brak wiedzy na temat celowo¶ci stosowania regu³ podczas wykonywania zadañ sprawia, ¿e regu³y szybko staj± siê nieefektywne. Zbyt czêsto strategie tworzone s± jako zbiory regu³ bez podanych uzasadnieñ, gdy tymczasem wy¿szy poziom ¶wiadomo¶ci i wiedzy oraz lepsza komunikacja mog³yby sprawiæ, ¿e potrzeba wprowadzenia regu³, ich istotno¶æ i przydatno¶æ sta³yby siê bardziej widoczne. Wspó³praca z pracownikami i wiedza o tym, czego potrzebuj± do wykonywania swoich obowi±zków zawodowych, pozwala opracowywaæ bardziej spójne i skuteczne regu³y zgodne z ogóln± strategi± bezpieczeñstwa przedsiêbiorstwa, co ostatecznie zapewnia wy¿szy poziom bezpieczeñstwa danego ¶rodowiska."

Wyniki badañ: Strategia

Badania wykazuj±, ¿e wiêkszo¶æ przedsiêbiorstw (77%) wdro¿y³a regu³y bezpieczeñstwa. Jednak dla tych firm, które tego nie zrobi³y (jedna czwarta ogó³u), tendencje do wykorzystywania rozwi±zañ mobilnych i umo¿liwiaj±cych wspó³pracê oraz do zwiêkszania elastyczno¶ci warunków pracy staj± siê ¼ród³em trudno¶ci wymagaj±cych szybkiego rozwi±zania przez ustanowienie oficjalnych regu³, które okre¶la³yby, kiedy i w jaki sposób mo¿liwy jest dostêp do danych, aplikacji i sieci firmy. Brak regu³ bezpieczeñstwa jest najczêstszy w Japonii (39%) oraz w Wielkiej Brytanii (29%).

Badanie ujawni³o jednak, ¿e nawet w przypadku firm posiadaj±cych w³asne regu³y bezpieczeñstwa s± one czêsto ³amane przez pracowników. Ponad po³owa ankietowanych pracowników przyznaje, ¿e nie zawsze stosuj± siê do regu³ bezpieczeñstwa obowi±zuj±cych w ich przedsiêbiorstwach. Najwiêcej (84%) pracowników przyznaj±cych siê do ³amania regu³ pochodzi z Francji. W Indiach jeden na dziesiêciu pracowników (11%) twierdzi, ¿e nigdy lub prawie nigdy nie stosuje siê do regu³ bezpieczeñstwa swojej firmy. Na podej¶cie pracowników do regu³ bezpieczeñstwa wp³ywa kilka czynników:

• ¦wiadomo¶æ: Jednym z ciekawszych ustaleñ jest ró¿nica w liczbie pracowników i informatyków, którzy maj± wiedzê na temat regu³. W zale¿no¶ci od kraju liczba informatyków, którzy znali regu³y panuj±ce w firmach, by³a o 20-30% wy¿sza ni¿ odpowiednia liczba pracowników. Najwiêksza ró¿nica (31%) wyst±pi³a w Stanach Zjednoczonych, Brazylii i we W³oszech. Te wyniki ka¿± zadaæ pytanie, czy i w jaki sposób dzia³y informatyczne przekazuj± pracownikom informacje o regu³ach..
• Komunikacja: 11% pracowników twierdzi, ¿e dzia³y informatyczne nigdy nie og³aszaj± regu³ bezpieczeñstwa ani nie przeprowadzaj± dotycz±cych ich szkoleñ. Jest to powszechne zw³aszcza w Europie: najwiêcej pracowników zgadzaj±cych siê z t± opini± znajduje siê w Wielkiej Brytanii (25%) i Francji (20%). Informowanie pracowników o regu³ach bezpieczeñstwa czêsto odbywa siê w sposób niewerbalny i po¶redni - z u¿yciem poczty elektronicznej, komunikatów wy¶wietlanych podczas logowania lub poczty g³osowej.
• Aktualizacje: Trzech na czterech informatyków (77%) uwa¿a, ¿e regu³y nale¿y czê¶ciej aktualizowaæ. Opiniê tê potwierdza tylko po³owa (47%) pracowników. Najbardziej zdecydowane pogl±dy w tej sprawie wykazali informatycy z firm chiñskich (91%) i indyjskich (89%). Porównanie z pierwsz± czê¶ci± wyników badañ na temat zachowañ pracowników wskazuje, ¿e potrzeba sformalizowanych strategii bezpieczeñstwa jest wyra¼nie wy¿sza w krajach o gospodarce rozwijaj±cej siê i wzrastaj±cym poziomie zatrudnienia, w których sieci komputerowe oparte na Internecie s± nowo¶ci±.
• Uwzglêdnianie racji pracowników: Wiêkszo¶æ pracowników uwa¿a, ¿e regu³y obowi±zuj±ce w ich przedsiêbiorstwach s± nieuzasadnione i nadmiernie restrykcyjne. Jest to regu³± w o¶miu z dziesiêciu krajów. Jedynie w Niemczech i w Stanach Zjednoczonych nie podzielaj± tej opinii. W miarê, jak firmy stawiaj± coraz bardziej na pracê zespo³ow±, co zosta³o u³atwione przez wdro¿enie interaktywnych aplikacji Web 2.0, wykorzystanie mo¿liwo¶ci przekazu wideo i urz±dzeñ mobilnych, dzia³y informatyczne musz± dzia³aæ w sposób dyplomatyczny, tak aby nadmiarem wymagañ i regu³ nie wywo³ywaæ negatywnych reakcji pracowników, którzy staj± przed konieczno¶ci± opanowania nowych technologii, a jednocze¶nie zapewniæ optymalny poziom bezpieczeñstwa.
• Przyczyny ³amania regu³: Jednym z wa¿niejszych wniosków z przeprowadzonych badañ jest ró¿nica pogl±dów na temat przyczyn ³amania regu³ pomiêdzy informatykami a pracownikami. Wed³ug informatyków pracownicy nie przestrzegaj± regu³ z wielu powodów, od braku wiedzy na temat powagi zagro¿eñ do zupe³nej obojêtno¶ci na te zagro¿enia. Z kolei sami pracownicy twierdz±, ¿e g³ównym powodem nieprzestrzegania regu³ jest ich niedostosowanie - w opinii zainteresowanych - do rzeczywistych potrzeb wynikaj±cych z zakresu obowi±zków i natury wykonywanych zadañ. Uwa¿a tak ponad dwie pi±te wszystkich badanych pracowników (42%). W Niemczech, mimo ¿e wiêkszo¶æ tamtejszych pracowników postrzega obowi±zuj±ce regu³y jako uzasadnione, ponad po³owa z ankietowanych (55%) deklaruje, ¿e z³ama³aby je, gdyby by³o to konieczne do wype³nienia obowi±zków zawodowych.

„Potrzeba wybierania miêdzy przestrzeganiem regu³ a ³amaniem ich w celu zrealizowania zadañ, któr± napotykaj± pracownicy, stawia przed dzia³ami informatycznymi powa¿ne wyzwanie" - powiedzia³a Marie Hattar, wiceprezes dzia³u systemów sieciowych i zabezpieczeñ (Network Systems and Security Solutions) w Cisco. "Informatycy musz± dostosowywaæ regu³y bezpieczeñstwa tak, aby odpowiada³y one rzeczywistym potrzebom firm i pracowników. W przeciwnym przypadku istnieje ryzyko ca³kowitego niepowodzenia w egzekwowaniu regu³ i w konsekwencji wy¿szego zagro¿enia utrat± danych."

Wed³ug badañ negatywne skutki naruszania regu³ dotycz± nie tylko firm. Jest to jedno z bardziej alarmuj±cych ustaleñ. Jeden na piêciu informatyków, którzy mieli do czynienia z ³amaniem regu³ przez pracowników, zg³asza, ¿e przypadki takie prowadzi³y do utraty danych klientów firmy.

Dodatkowych informacji udziela:

Joanna Dunin-Kêplicz
Senior Account Manager
Solski Burson-Marsteller
UI. Krakowskie Przedmie¶cie 47/51
00-071 Warszawa
Tel. +48 501 132 395
Email: jdunin-keplicz@solskibm.pl
Web: www.solskibm.pl