Badania przeprowadzone przez Cisco w zakresie funkcjonowania strategii bezpieczeństwa danych

Firma Cisco przedstawiła drugą część wyników badań dotyczących wycieków danych w przedsiębiorstwach. Wyniki pokazują powszechność i skuteczność strategii bezpieczeństwa w przedsiębiorstwach oraz powody, dla których pracownicy stosują się do nich lub je przekraczają.

Badanie to pomoże działom informatycznym firm działających w różnych częściach świata uwzględnić czynnik ryzyka wiążący się z działaniami pracowników i skutecznie dostosować reguły do realnych potrzeb użytkowników wynikających z ich zakresów obowiązków.

Najnowsze ustalenia na temat bezpieczeństwa były poprzedzone badaniem opisującym zagrożenia spowodowane wyciekiem danych przez ryzykowne zachowania i błędy pracowników firm z całego świata (http://newsroom.cisco.com/dlls/2008/prod_102108.html). Wnioski na temat stosowanych
w przedsiębiorstwach strategii bezpieczeństwa zostały sformułowane na podstawie ankiet przeprowadzonych przez ponad 2000 pracowników i informatyków w 10 krajach: Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech, Włoszech, Japonii, Chinach, Indiach, Australii i Brazylii.

Ankieta na tematy związane z bezpieczeństwem została zrealizowana przez InsightExpress, amerykańską firmę zajmującą się badaniami rynku, na zlecenie Cisco. Inicjatywę tę podjęto w momencie, gdy utrata danych (www.cisco.com/go/dlp) stanowi jeden z najważniejszych problemów, przed którymi stają przedsiębiorstwa. W miarę, jak granice między pracą a życiem prywatnym zacierają się, a pracownicy używają aplikacji do pracy zespołowej i urządzeń mobilnych, w kontekście ochrony poufnych danych coraz istotniejszą rolę zaczynają odgrywać reguły bezpieczeństwa.

„Badanie wykazało, że konieczna jest ponowna analiza reguł bezpieczeństwa stosowanych w przedsiębiorstwach oraz sposobów informowania o tych regułach” — powiedział John N. Stewart, dyrektor ds. bezpieczeństwa w Cisco. „Przekonanie pracowników o tym, że strategia bezpieczeństwa nie jest właściwa, czyli brak wiedzy na temat celowości stosowania reguł podczas wykonywania zadań sprawia, że reguły szybko stają się nieefektywne. Zbyt często strategie tworzone są jako zbiory reguł bez podanych uzasadnień, gdy tymczasem wyższy poziom świadomości i wiedzy oraz lepsza komunikacja mogłyby sprawić, że potrzeba wprowadzenia reguł, ich istotność i przydatność stałyby się bardziej widoczne. Współpraca z pracownikami i wiedza o tym, czego potrzebują do wykonywania swoich obowiązków zawodowych, pozwala opracowywać bardziej spójne i skuteczne reguły zgodne
z ogólną strategią bezpieczeństwa przedsiębiorstwa, co ostatecznie zapewnia wyższy poziom bezpieczeństwa danego środowiska.”

Wyniki badań: Strategia

Badania wykazują, że większość przedsiębiorstw (77%) wdrożyła reguły bezpieczeństwa. Jednak dla tych firm, które tego nie zrobiły (jedna czwarta ogółu), tendencje do wykorzystywania rozwiązań mobilnych i umożliwiających współpracę oraz do zwiększania elastyczności warunków pracy stają się źródłem trudności wymagających szybkiego rozwiązania przez ustanowienie oficjalnych reguł, które określałyby, kiedy i w jaki sposób możliwy jest dostęp do danych, aplikacji i sieci firmy. Brak reguł bezpieczeństwa jest najczęstszy w Japonii (39%) oraz w Wielkiej Brytanii (29%).

Badanie ujawniło jednak, że nawet w przypadku firm posiadających własne reguły bezpieczeństwa są one często łamane przez pracowników. Ponad połowa ankietowanych pracowników przyznaje, że nie zawsze stosują się do reguł bezpieczeństwa obowiązujących w ich przedsiębiorstwach. Najwięcej (84%) pracowników przyznających się do łamania reguł pochodzi z Francji.
W Indiach jeden na dziesięciu pracowników (11%) twierdzi, że nigdy lub prawie nigdy nie stosuje się do reguł bezpieczeństwa swojej firmy. Na podejście pracowników do reguł bezpieczeństwa wpływa kilka czynników:

• Świadomość: Jednym z ciekawszych ustaleń jest różnica w liczbie pracowników i informatyków, którzy mają wiedzę na temat reguł. W zależności od kraju liczba informatyków, którzy znali reguły panujące w firmach, była o 20-30% wyższa niż odpowiednia liczba pracowników. Największa różnica (31%) wystąpiła w Stanach Zjednoczonych, Brazylii i we Włoszech. Te wyniki każą zadać pytanie, czy i w jaki sposób działy informatyczne przekazują pracownikom informacje o regułach.
• Komunikacja: 11% pracowników twierdzi, że działy informatyczne nigdy nie ogłaszają reguł bezpieczeństwa ani nie przeprowadzają dotyczących ich szkoleń. Jest to powszechne zwłaszcza w Europie: najwięcej pracowników zgadzających się z tą opinią znajduje się
  w Wielkiej Brytanii (25%) i Francji (20%). Informowanie pracowników o regułach bezpieczeństwa często odbywa się w sposób niewerbalny i pośredni — z użyciem poczty elektronicznej, komunikatów wyświetlanych podczas logowania lub poczty głosowej.
• Aktualizacje: Trzech na czterech informatyków (77%) uważa, że reguły należy częściej aktualizować. Opinię tę potwierdza tylko połowa (47%) pracowników. Najbardziej zdecydowane poglądy w tej sprawie wykazali informatycy z firm chińskich (91%) i indyjskich (89%). Porównanie z pierwszą częścią wyników badań na temat zachowań pracowników wskazuje, że potrzeba sformalizowanych strategii bezpieczeństwa jest wyraźnie wyższa
  w krajach o gospodarce rozwijającej się i wzrastającym poziomie zatrudnienia, w których sieci komputerowe oparte na Internecie są nowością.
• Uwzględnianie racji pracowników: Większość pracowników uważa, że reguły obowiązujące w ich przedsiębiorstwach są nieuzasadnione i nadmiernie restrykcyjne. Jest to regułą w ośmiu z dziesięciu krajów. Jedynie w Niemczech i w Stanach Zjednoczonych nie podzielają tej opinii. W miarę, jak firmy stawiają coraz bardziej na pracę zespołową, co zostało ułatwione przez wdrożenie interaktywnych aplikacji Web 2.0, wykorzystanie możliwości przekazu wideo i urządzeń mobilnych, działy informatyczne muszą działać w sposób dyplomatyczny, tak aby nadmiarem wymagań i reguł nie wywoływać negatywnych reakcji pracowników, którzy stają przed koniecznością opanowania nowych technologii, a jednocześnie zapewnić optymalny poziom bezpieczeństwa.
• Przyczyny łamania reguł: Jednym z ważniejszych wniosków z przeprowadzonych badań jest różnica poglądów na temat przyczyn łamania reguł pomiędzy informatykami a pracownikami. Według informatyków pracownicy nie przestrzegają reguł z wielu powodów, od braku wiedzy na temat powagi zagrożeń do zupełnej obojętności na te zagrożenia. Z kolei sami pracownicy twierdzą, że głównym powodem nieprzestrzegania reguł jest ich niedostosowanie — w opinii zainteresowanych — do rzeczywistych potrzeb wynikających z zakresu obowiązków i natury wykonywanych zadań. Uważa tak ponad dwie piąte wszystkich badanych pracowników (42%). W Niemczech, mimo że większość tamtejszych pracowników postrzega obowiązujące reguły jako uzasadnione, ponad połowa z ankietowanych (55%) deklaruje, że złamałaby je, gdyby było to konieczne do wypełnienia obowiązków zawodowych.

„Potrzeba wybierania między przestrzeganiem reguł a łamaniem ich w celu zrealizowania zadań, którą napotykają pracownicy, stawia przed działami informatycznymi poważne wyzwanie” — powiedziała Marie Hattar, wiceprezes działu systemów sieciowych i zabezpieczeń (Network Systems and Security Solutions) w Cisco. „Informatycy muszą dostosowywać reguły bezpieczeństwa tak, aby odpowiadały one rzeczywistym potrzebom firm i pracowników. W przeciwnym przypadku istnieje ryzyko całkowitego niepowodzenia w egzekwowaniu reguł i w konsekwencji wyższego zagrożenia utratą danych.”

Według badań negatywne skutki naruszania reguł dotyczą nie tylko firm. Jest to jedno z bardziej alarmujących ustaleń. Jeden na pięciu informatyków, którzy mieli do czynienia z łamaniem reguł przez pracowników, zgłasza, że przypadki takie prowadziły do utraty danych klientów firmy.

źródło: Cisco