Pracovníci se přiznávají ke každodennímu rizikovému chování Společnost RSA, bezpečnostní divize EMC, zveřejnila závěry své poslední studie skrytých hrozeb. RSA zkoumala pracovníky typem person-on-the-street ohledně jejich bezpečnostního chování a jejich postojích v rámci práce. Výsledek studie zdůrazňuje, že rizika spojená s bezpečností dat ze strany personálu firem, i přes jejich dobré úmysly, musejí být řízená stejně důkladně jako u těch, kteří záměrně zneužívají důvěrná data za účelem finančního zisku nebo k dalším kriminálním motivům. Výše zmínění „nevinní“ zaměstnanci mohou bezděčně vytvářet neuvěřitelné hrozby pro data, které mohou stát velké peníze, a to prostřednictvím svého běžného každodenního chování. Může jít o nedbalost, obcházení bezpečnostních opatření nebo tím, že se řídí nedostatečnými bezpečnostními pravidly.

Výsledky studie ukazují, že důvěryhodní zaměstnanci obcházejí nepraktická bezpečnostní opatření, aby mohli svou práci odvést. Například ti zaměstnanci, kteří nemají vzdálený přístup, mohou dokument odeslat na svou soukromou e-mailovou adresu, aby na něm mohli pracovat doma – což porušuje bezpečnostní pravidla většiny firem. Studie zjistila, že:

• 35 % respondentů má pocit, že musejí obejít zavedená bezpečnostní pravidla a postupy, aby mohli svou práci vůbec dělat
• 63 % respondentů často nebo někdy posílá pracovní dokumenty na své soukromé e-mailové adresy, aby se k nim mohli dostat z domova.

Když důvěryhodní zaměstnanci obcházejí bezpečnostní pravidla, většinou nechtějí způsobit žádné problémy. Bez ohledu na jejich záměry mohou ale ohrozit důvěrná data, a tak vystavit organizaci - a případně i zákazníky - zbytečnému riziku.

Není překvapivé, že výsledky studie tvrdí, že zaměstnanci se spoléhají na vzdálený přístup k firemním informacím, když jsou na cestách, čekají na letištích nebo pracují v kavárně:

• 87 % respondentů často nebo někdy pracuje vzdáleně přes virtuální soukromou síť (VPN) nebo webový e-mail.
• 56 % respondentů často nebo někdy přistupuje ke svému pracovnímu e-mailu prostřednictvím veřejné bezdrátové sítě (například bezdrátové připojení k internetu v kavárně, na letišti nebo v hotelu)
• 52 % respondentů často nebo někdy přistupuje ke svému pracovnímu emailu pomocí veřejného počítače (například počítač v internetové kavárně, přístupu na letišti nebo v hotelu).

Vzdálený přístup k důvěrným datům vyžaduje silnější autentikaci než uživatelské jméno a heslo – které může být jednoduše a rychle prolomeno. Firmy mohou zachovat svou flexibilitu vzdáleného přístupu a zároveň ochránit důvěrné informace díky dvoufaktorové autentikaci VPN a webmailu. Firmy mohou navíc snížit riziko ztráty dat v mobilních prostředích, když vytvoří, budou monitorovat a prosazovat pravidla zaměřená na informace.

Závěry studie ilustrují, že k tomu, aby byli zaměstnanci co nejproduktivnější a informace měla co největší hodnotu, je třeba, aby bylo s informacemi možno volně nakládat a přesunovat je:

• 65 % respondentů často nebo někdy od svého stolu odchází a v ruce drží mobilní zařízení, jako je laptop, smartphone a/nebo USB flash disk, na kterých jsou uloženy důvěrné informace vztahující se k jejich práci.
• 8 % respondentů někdy ztratilo laptop, smartphone a/nebo USB flash disk s firemními nebo korporátními daty.

Pro celkovou bezpečnost je naprosto nezbytná fyzická bezpečnost, a přesto RSA v rámci studie zjistila, že lidé někdy otevírají doširoka dveře (a bezdrátové sítě). Studie odhalila, že:

• 34 % respondentů podrželo bezpečnostní dveře v práci pro někoho, koho neznali.
• 40 % respondentů, když si zapomnělo vstupní kartu nebo klíč, pustil do práce někdo, kdo je neznal.
• 66 % respondentů zaměstnaných ve velkých firmách (enterprise respondents) uvedlo, že jejich podnik nabízí interní bezdrátovou síť v konferenční místnosti a kancelářích pro hosty. 19 % respondentů z těch, kteří takovouto bezdrátovou síť mají, přiznalo, že přístup k síti je naprosto otevřený a není třeba žádné oprávnění.

Firmy se neustále mění. Každý den se transformují role v rámci podniku, konzultanti a dodavatelé přicházejí a zase odcházejí. Studie sděluje, že bezpečnost někdy s těmito změnami nedrží krok:

• 33 % respondentů změnilo práci v rámci podniku a stále měli přístup k účtům/zdrojům, které již nepotřebovali
• 72 % účastníků výzkumu uvedlo, že jejich firma/organizace zaměstnává brigádníky a/nebo dodavatele, kteří potřebují přístup k zásadním firemním organizacím a systémům. Necelá čtvrtina (23 %) respondentů se dostala do takové oblasti firemní sítě, do které by podle svého názoru neměla mít přístup.

Přístup k vysoce důvěrným datům nebo jedinečným identifikačním údajům by měl být omezen jen na ty osoby, které je skutečně potřebují znát. Firma může takto snížit rizika zneužití, když ke kritickým informacím umožní přístup založený na pracovní zařazení zaměstnanců. Firmy by měly zajistit, že změna pracovní pozice – včetně dodavatelů a konzultantů – se neprodleně odrazí ve změně přístupových práv.