A munkavállalók többsége nem érzi, hogy felelős volna a cége IT-biztonságáért, a nagyvállalatok negyedénél pedig még biztonsági szabályzat sincs. Többek között ez derült ki a Cisco 13 országban lefolytatott biztonsági kutatásból, amelynek során több mint 12 000 munkavállalót kérdeztek meg.

A Cisco az IT-biztonság és a munkavállalók hozzáállása, viselkedése közötti összefüggésekre volt kíváncsi az Európát, a Közel-Keletet, Afrikát és Oroszországot magában foglaló (EMEAR) régióban. Kiderítették, hogy a vállalatok IT-biztonsági szabályozásai és erőforrásai főként a külső fenyegetések ellen védenek, a vállalaton belüli veszélyekre azonban kevés figyelem irányul.

A feltárt főbb tendenciák:
▪ A válaszadók 69 százaléka nincs tisztában a jelentősebb biztonsági résekkel, fenyegetésekkel.
▪ A válaszadók a legfőbb rizikónak a kiberbűnözést tartották (60 százalék), ugyanakkor második kockázati tényezőként már a felhasználói viselkedést jelölték meg.
▪ A megkérdezettek 58 százaléka úgy tudja, hogy vállalatának van IT-biztonsági szabályzata, de 23 százalék egyáltalán nem tud ilyesmiről.
▪ A válaszadók 44 százaléka csak mérsékelten, vagy alig tartja be a szabályokat, és átlagban minden 14 ember között akad egy, aki aktívan megkerüli az IT-biztonsági előírásokat.
▪ A felmérésben résztvevő munkavállalók 31 százaléka szerint az IT-biztonság gátolja az innovációt és a közös munkát, illetve szimplán megnehezíti a munkavégzést.

Ebből nyilvánvaló, hogy a munkavállalók magatartása, és a tudatosságuk hiánya a vállalati IT-biztonság Achilles-sarka, amely egyre fontosabb kockázati tényezővé válik. Mivel a vállalatok elszigetelik a felhasználókat a naponta jelentkező IT-fenyegetésektől, ezért többségük elvárja, hogy a vállalati biztonsági rendszerek minden lehetséges kockázatot kiszűrjenek.

A négy felhasználótípus

cisco biztonsagA kutatás részeként a Cisco négy jellegzetes viselkedési mintát azonosított az IT-biztonsággal kapcsolatban. Ezek alapján lehetségessé válik olyan biztonsági stratégiák kidolgozása, amelyek számolnak a felhasználók eltérő viselkedésével. Mindegyik esetben más a fenyegetettség szintje és mindegyik felhasználótípus eltérő megközelítést kíván annak érdekében, hogy a vállalatok a lehető legalacsonyabbra csökkentsék a kockázatokat, miközben nem korlátozzák a munkavállalók szabadságát, s lehetővé teszik, hogy optimális hatékonysággal végezzék a munkájukat.

A típusok:
▪ A tudatos, aki tisztában van a biztonsági fenyegetésekkel és veszélyekkel, és mindent megtesz saját IT-biztonsága érdekében.
▪ A jó szándékú, aki megpróbálja betartani a biztonsági szabályokat, de rendszertelenül, mindenféle cél nélkül.
▪ A felelőtlen, aki elvárja, hogy a vállalat tegyen meg minden szükséges biztonsági intézkedést, ő maga viszont semmilyen felelősséget nem vállal az adatok biztonságáért.
▪ Az unott és cinikus, aki szerint a biztonsági fenyegetésekről szóló figyelmeztetések túlzóak, sőt a biztonsági intézkedések visszafogják a hatékony munkát, így a saját eredményessége érdekében inkább megkerüli a szabályokat.

„A kutatás rámutat, hogy szükség van a biztonsági szabályozások újragondolására, annak érdekében, hogy azok a külső támadások ellen továbbra is megfelelő védelmet nyújtsanak, ugyanakkor alkalmazkodjanak a munkavállalók viselkedésmódjához és elvárásaihoz is. A felhasználó-központú szabályozás fejlesztése azt jelenti, hogy a korábbi, pontbiztonsági megoldásokat felváltják a központilag irányított, automatikus szabályozók és alkalmazások. A vállalati mobilitással kapcsolatos trendek és a munkavállalói elvárások arra kényszerítik az IT-vezetőket, hogy felhasználó-specifikus protokollokat alkalmazzanak a munkavállalók által használt eszközökön. Ez a rugalmas biztonsági szabályozás gyors reagálást tesz lehetővé a vállalatnál, miközben csökkenti a felhasználók és a vállalat sebezhetőségét” – mondta Ács György, a Cisco regionális IT biztonsági szakértője.

A tudatosság hiányzik leginkább

A kutatás szerint a legjelentősebb belső kockázati tényezőt az a hamis biztonságérzet jelenti, amelynek eredményeként a munkavállalók úgy gondolják, hogy a cégük minden lehetséges fenyegetéstől megvédi őket. A megkérdezettek 35 százaléka elvárja, hogy a vállalat biztonsági beállításai mindenféle veszély ellen védelmet nyújtsanak, és még többen (42 százalék) szerint a cég felelőssége, hogy biztonságban tartsák az adataikat, míg a válaszadók 62 százaléka szerint a viselkedésének csupán mérsékelt hatása van a vállalati biztonságra.

Ez hozzáállás miatt aztán csökken a biztonsági szabályok hatékonysága. Miközben a munkavállalók 59 százaléka gondolja, hogy a vállalatnak van érvényes biztonsági szabályzata, a válaszadók közel negyede (23 százalék) nem tudja, hogy létezik-e valamiféle szabályozás vagy sem.

A felmérésben résztvevők közel fele (46 százalék) úgy gondolja, hogy a szabályzók nincsenek hatással a tevékenységükre, 38 százalék pedig csak akkor szembesül ezzel, amikor a biztonsági beállítások megakadályozzák valamiben. Ugyanakkor egy másik kérdésre válaszolva a dolgozók 17 százaléka nyilatkozta, hogy az IT-biztonság gátolja az vállalaton belüli innovációt és az együttműködést, illetve 14 százalék egyenesen akadályoztatva érzi magát a mindennapi munkafolyamatok során. A válaszadók 17 százaléka pedig úgy látja, hogy az elmulasztott üzleti lehetőségekkel többet veszít a vállalat, mint egy adatszivárgási eset miatt keletkező kiesés.

Mivel a munkavállalók több mint kétharmada (69 százalék) nincs tisztában a biztonsági résekkel, és a többi sok felhasználót érintő biztonsági problémákkal, ezért közel egyharmadukban (32 százalék) fel sem merül, hogy változtassanak a biztonsággal kapcsolatos szokásaikon. A felhasználók több mint fele (55 százalék ugyanazt a jelszót használja minden alkalmazáshoz és weboldalhoz, 60 százalékuk pedig nem cseréli rendszeresen a jelszavait.

Nagy cégnél, kis cégnél, otthon

▪ Nagyvállalatok a kkv-k ellen. Az EMEAR régióban a nagyvállalatok védettebbek, mint a kis- és középvállalatok. A nagyvállalatok 76 százalékának van biztonsági szabályozása, ez a szám a kkv-k esetében sokkal alacsonyabb, csak 39 százalék.
▪ Felelőtlenség. A nagyvállalatoknál a dolgozók 42 százaléka várja el, hogy a szervezet teljes körű védelmet nyújtson a számukra, a kkv-knál csak 28 százalék gondolkozik hasonlóan.
▪ Otthoni és munkahelyi biztonság. A válaszadók megközelítőleg azonos arányban érzik adataikat biztonságban otthon (54 százalék), illetve a munkahelyükön (46 százalék), és közel 60 százalék kezeli azonos módon a biztonságot otthoni illetve munkahelyi eszközein.