Złe nawyki online pracowników narażają firmy na straty

29 października, 2015

Według ankiety przeprowadzonej przez Intermedia około 93% pracowników biurowych posiada różne ryzykowne zwyczaje online, które mogłyby zagrozić pracodawcy lub klientom.

Milennialsi to pokolenie urodzone między 1980 a 1995 rokiem, którego przedstawicieli określa się, jako pewnych siebie, niecierpliwych, przedsiębiorczych i świetnie radzących sobie z nowymi technologiami. To oni właśnie najczęściej naruszają podział między tym, co osobiste a zawodowe, poprzez instalowanie aplikacji bez zgody firmy, zapisywanie plików firmowych w swojej prywatnej chmurze bez zgody przełożonego lub angażowanie się w inne niebezpieczne praktyki.

Badania pokazują, że pracownicy z dostępem do firmowych danych, którzy mają za zadanie utrzymać firmę bezpieczną, np. pracownicy działu IT są znacznie bardziej skłonni do ryzykownych zachowań niż pozostali pracownicy.

Jeden na trzech specjalistów IT podał swój login i hasło uwierzytelniające innym pracownikom, a prawie 30% twierdzi, że systemy należące do poprzednich pracodawców są dalej dostępne dla byłych pracowników.

Praktyki te powodują, że zwiększa się ryzyko utraty danych przez nieprzestrzeganie norm bezpieczeństwa, nie blokowanie kont byłych pracowników lub nie ograniczanie dostępu do sieci spoza firmy. Może to być źródłem sabotażu przeprowadzonego przez niezadowolonego obecnego lub byłego pracownika.

Pracownicy długoterminowi (ze stażem powyżej 7 lat) mają tendencję do wprowadzania większych ogólnych zagrożeń dla bezpieczeństwa ze względu na utarte złe nawyki (nie wylogowywanie się z komputera, łączenie się z siecią firmową z niezabezpieczonych komputerów itp.)

Badanie przeprowadzone przez Intermedia pokazuje nieodpowiednie nawyki ponad 2000 pracowników biurowych w USA i Wielkiej Brytanii.

Ostatnie badania pokazują, że 91% pracowników czuje nacisk pracodawców na zwiększenie wydajności, a 92% negatywnie podchodzi do dodatkowych zabezpieczeń dla pracy zdalnej.

Gdyby zapytać każdego kierownika działu IT o wytypowanie jednego czynnika mającego wpływ na każdy incydent bezpieczeństwa odpowiedź byłaby prosta: błąd człowieka. Oczywiście nie każda organizacja jest narażona na te same rodzaje zagrożeń bezpieczeństwa, ale wszystkie łączy ten sam czynnik ludzki. W rzeczywistości 24% organizacji dotkniętych w zeszłym roku utratą danych twierdzi, że było to wynikiem błędu pracownika.

Aby zmniejszyć ryzyko utraty danych i naruszeń przypominamy o trzech najlepszych środkach, które małe i średnie firmy powinny mieć na uwadze.

1. Ogranicz dostęp do wrażliwych danych.Jednym z najczęstszych błędów pracowników jest wysyłanie ważnych dokumentów do niezamierzonych odbiorców. Ludzie przenoszą także dokumenty robocze na osobistego e-maila, umieszczają je na stronach do wymiany plików lub kopiują na nośniki wymienne, takie jak pamięci USB. I podczas gdy dyski flash mogą wydawać się nieszkodliwe, to złośliwe oprogramowanie przeniesione w ten sposób do sieci firmowej może zrobić wiele szkód.

W celu ograniczenia błędów ludzkich organizacja powinna rozpocząć wdrażanie kontroli bezpieczeństwa od monitorowania pracowników, którzy mają dostęp do zastrzeżonych danych. Inne środki ochrony danych i bezpieczeństwa obejmują:

  • Zarządzanie i kontrolę uprawnień użytkowników końcowych,
  • Przeprowadzenie weryfikacji działalności online pracownika przed udzieleniem uprzywilejowanego dostępu,
  • Segregację sieci dla lepszej kontroli i bezpieczeństwa.

Nie tylko pracownicy powinni być monitorowani. Wszyscy czasem popełniamy błędy. Przeprowadzane badania pokazują, że równie często administratorzy doprowadzają do błędów systemów, zbyt rzadko robiąc aktualizacje oraz pozostawiając domyślne loginy i hasła na używanym sprzęcie.

2. Ucz o bezpieczeństwieLudzkie zaniedbania lub nieostrożność wynika w dużej mierze z wiedzy wykorzystywanej przez cyberprzestępców. Przechwytywanie informacji od nieświadomego pracownika jest prostsze niż włamanie się do sieci firmowej.

Najprostszym sposobem, aby uzyskać dostęp do ważnych informacji jest np. wysłanie e-maila ze złośliwym załącznikiem, która wzywa np. do zapłacenia nieopłaconej faktury. Załącznik, który jest „fakturą” instaluje oprogramowanie, które śledzi i czyta informacje oraz przechwytuje poświadczenia użytkownika.

Innymi ryzykownymi praktykami jest podłączanie: komputera do internetu za pośrednictwem niezabezpieczonej sieci bezprzewodowej, przynoszenie do pracy prywatnych urządzeń i praca na nich lub strata urządzenia firmowego przez pracowników znajdujących się w podróży.

Dlatego nauka jak rozpoznać i uniknąć e-zagrożeń jest bardzo ważna zarówno dla pracowników, jak i pracodawców.

3. Ale jeśli pierwsza linia obrony zawiedzie…Najsilniejszą warstwą ochrony zaraz po człowieku jest nadal technologia. Należy zadbać, aby oprogramowanie ochronne miało opcję raportowania działań użytkowników i możliwość ograniczenia im działań w Internecie. Dzięki temu nie tylko można kontrolować to, czy na pewno zachowują wszystkie zasady bezpieczeństwa, ale również zapobiec zarażeniu, w razi gdyby przypadkiem otworzyli szkodliwy załącznik do e-maila.

źródło: BItdefender

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]