A munkavállalók többsége nem érzi saját felelősségének a vállalati IT biztonság kérdését, a nagyvállalatok negyedénél pedig nincs biztonsági szabályzat. Többek között erre derült fény a Cisco 13 országban, több mint 12 000 munkavállaló megkérdezésével végzett biztonsági kutatásából.

A Cisco az Európa, Közel-Kelet, Afrikai és Oroszország (EMEAR) régióban végezte el azt a felmérést, amely alapján kijelenthető, hogy a nagyvállalatok és kkv-k IT biztonsági szabályozásai és erőforrásai főként a külső fenyegetések ellen védenek, a vállalaton belüli fenyegetésekre azonban kevés figyelem irányul.

A kutatás főbb eredményei az alábbi tendenciákra világítottak rá:

• A válaszadók 69%-a nincs tisztában a jelentősebb biztonsági résekkel, fenyegetésekkel (mint például a Heartbleed, vagy a nemrégiben napvilágot látott Shellshock)

• A válaszadók a legfőbb rizikónak a kiberbűnözést tartották (60%), ugyanakkor második helyre rangsorolták a felhasználói viselkedést, mint kockázati tényezőt. A megkérdezettek 58%-a úgy tudja, hogy vállalata rendelkezik IT biztonsági szabályzattal, 23% azonban egyáltalán nem tud ilyesmiről.

• A válaszadók 44%-a csak mérsékelten, vagy alig tartja be a szabályokat, minden 14. ember pedig aktívan megkerüli az IT-biztonsági előírásokat.

• A felmérésben résztvevő munkavállalók 31%-a szerint az IT biztonság gátolja az innovációt és a közös munkát, illetve szimplán megnehezíti a munkavégzést.

Amint a fentiekből is látszik, a munkavállalók magatartása, illetve a tudatosság hiánya a vállalati IT-biztonság Achilles-sarka, amely egyre nagyobb kockázati tényezővé válik. Mivel a vállalatok elszigetelik a felhasználókat a naponta jelentkező IT fenyegetésektől, ezért többségük elvárja, hogy a vállalati biztonsági rendszerek minden lehetséges kockázatot kiszűrjenek.

A felhasználói viselkedéssel is számolni kell

A kutatás részeként a Cisco négy jellegzetes viselkedési mintát azonosított az IT biztonsággal kapcsolatban. Ezek alapján lehetségessé válik olyan biztonsági stratégiák létrehozása, amelyek számolnak a felhasználók eltérő viselkedésével. Mindegyik esetben más a fenyegetettség szintje és mindegyik felhasználótípus eltérő megközelítést igényel annak érdekében, hogy a vállalatok a lehető legalacsonyabbra csökkentsék a kockázatokat, miközben nem korlátozzák a munkavállalók szabadságát, lehetővé téve, hogy optimális hatékonysággal végezzék a munkájukat.

A négy felhasználótípus

• A tudatos – aki tisztában van a biztonsági fenyegetésekkel és veszélyekkel, és mindent megtesz saját online biztonsága érdekében.

• A jó szándékú – aki megpróbálja betartani a biztonsági szabályokat, de rendszertelenül, mindenféle cél nélkül.

• A felelőtlen – aki elvárja, hogy a vállalat tegyen meg minden szükséges biztonsági intézkedést, ő maga semmilyen felelősséget nem vállal az adatok biztonságáért.

• Az unott és cinikus – akik szerint a biztonsági fenyegetésekről szóló figyelmeztetések túlzóak, sőt a biztonsági intézkedések visszafogják a hatékony munkavégzést, így a saját eredményességük érdekében inkább megkerülik a szabályokat.

„A kutatás rámutat, hogy szükség van a biztonsági szabályozások újragondolására, annak érdekében, hogy azok a külső támadások ellen továbbra is megfelelő védelmet nyújtsanak, ugyanakkor alkalmazkodjanak a munkavállalók viselkedésmódjához és elvárásaihoz is. A felhasználó-központú szabályozás fejlesztése azt jelenti, hogy a korábbi, pontbiztonsági megoldásokat felváltják a központilag irányított, automatikus szabályozók és alkalmazások. A vállalati mobilitással kapcsolatos trendek és a munkavállalói elvárások arra kényszerítik az IT-vezetőket, hogy felhasználó-specifikus protokollokat alkalmazzanak a munkavállalók által használt eszközökön. Ez a rugalmas biztonsági szabályozás gyors reagálást tesz lehetővé a vállalatnál, miközben csökkenti a felhasználók és a vállalat sebezhetőségét” – mondta Ács György, a Cisco regionális IT biztonsági szakértője.

Forrás: Cisco

Teljes cikk