Jakie konsekwencje mają dla pracowników wycieki danych? Aby odpowiedzieć na to pytanie, postanowiliśmy zbadać przyczyny większości takich incydentów. Z mojego doświadczenia wynikają one z niedbałego i nieodpowiedzialnego zachowania pracowników lub nieskutecznego zarządzania. Innymi słowy, źródłem problemu jest czynnik ludzki.
Gdy pracownicy nie biorą na siebie odpowiedzialności
Zapytaj pracowników, jakie zmiany w pracy pomogą im w zwiększeniu produktywności i poziomu satysfakcji. Ludzie na ogół chcą mieć wolność w sposobie pracy, nie lubią ingerencji z zewnątrz. Na przykład lubią zarządzać uprawnieniami na swoim komputerze, aby móc instalować dowolne oprogramowanie, udzielać dostępu do danych i systemów według własnego uznania. Chcą mieć możliwość zapraszania gości do biura.
Jednocześnie prawie nikt nie jest przygotowany na poniesienie odpowiedzialności za to, czego ludzie chcą lub uważają za wygodne. Wielu pracowników (a czasem ich menedżerów) zachowuje się beztrosko i uważa, że są przez jakiegoś niewidzialnego czarodzieja chronieni, że bez względu na to, co robią. Oczywiście my, eksperci od cyberbezpieczeństwa, zawsze staramy się chronić użytkowników, ale nie jesteśmy wszechmocni.
Niewłaściwe decyzje zarządu
Drugą przyczyną najpoważniejszych incydentów jest nieskuteczne zarządzanie procesami biznesowymi, do którego zalicza się również podejmowanie działań lub ich brak w zakresie bezpieczeństwa informacji i personelu informatycznego. Firma, która poważnie traktuje zagadnienia cyberbezpieczeństwa, nie ponosi poważnych szkód, gdy jeden pracownik użyje pendrive’a z zainfekowanym plikiem lub otworzy wiadomość e-mail zawierającą złośliwy załącznik lub adres. W każdym przypadku łańcuch błędów musi wystąpić w odpowiedniej kombinacji:
- Proces biznesowy został zorganizowany w taki sposób, aby tego typu błąd miał szansę się pojawić.
- Ktoś popełnił błąd lub złamał zasady bezpieczeństwa informacji.
- Systemy informatyczne lub usługi związane z infrastrukturą zawierały niewykryte lub niezałatane luki w zabezpieczeniach.
- Systemy były zbyt złożone, a w efekcie nie udało się zapewnić bezpiecznej konfiguracji, zarządzać poprawkami w odpowiednim czasie i wdrożyć środków bezpieczeństwa.
- Z powodu braku umiejętności lub możliwości dział bezpieczeństwa nie był w stanie zidentyfikować incydentu, zanim wyrządził on szkodę.
Każdy z tych czynników jest konsekwencją podjętej decyzji, jednak incydenty zwykle pojawiają się na skutek kombinacji tych czynników. Wpływ incydentu na motywację pracowników w dużej mierze zależy od reakcji kierownictwa, ale zdarza się, że środki, które firma wdrożyła, aby zapobiec ponownemu pojawieniu się takich incydentów, wyrządzają znacznie więcej szkód niż sam incydent.
Oto przykład z życia: bank wielokrotnie doświadczał incydentów wynikających zarówno z ataków zewnętrznych, jak i błędów pracowników. W rezultacie systemy banku przez jakiś czas nie działały. Kierownictwo, starając się motywować odpowiedzialny personel, a także karać winnych, kilkukrotnie zwolniło swoich pracowników z działu IT i bezpieczeństwa informacji. Jednocześnie, pomimo wiedzy, że zautomatyzowany system bankowy zawierał luki w architekturze, kierownictwo nie poświęciło odpowiedniej kwoty na stworzenie nowego lub naprawienie starego systemu. Doświadczeni pracownicy wiedzieli, że każdy może kiedyś popełnić błąd, a firma, zamiast rozwiązać podstawowy problem, zatrudniała nowych pracowników. Ci z kolei słabo rozumieli system firmy, który został opracowany przez nią wewnętrznie, w wyniku czego popełniali jeszcze więcej błędów i poświęcali więcej czasu na to, aby systemy działały. W związku z tym klienci zaczęli rezygnować z banku, a w efekcie spadł on w rankingu z pierwszej pięćdziesiątki do trzeciej setki.
Jak podejść do tego typu problemów
Moim zdaniem ważne jest, aby nie demotywować swoich pracowników. Zamiast tego warto pomóc im zrozumieć, za co są odpowiedzialni, co jest w firmie cenne i jakie znaczenie ma wkład wszystkich współpracowników. Można wykorzystać do tego celu wsparcie materialne, okazywać wzajemny szacunek i układać jasne zasady.
Zasady bezpieczeństwa informacji w firmie muszą w prosty i dokładny sposób wyjaśniać, co wolno, a co jest niedopuszczalne, a także co pracownicy muszą zrobić w przypadku wystąpienia cyberincydentu – zarówno dotyczącego obszaru prywatności, jak i poufności. Kierownik zespołu musi jasno przekazywać te informacje podwładnym, a w trakcie i po wystąpieniu cyberincidentu musi wyjaśnić problem i zastosować odpowiednie konsekwencje. Takie podejście pomaga w utrzymaniu zdrowej atmosfery, a także może pomóc firmie uniknąć powtarzania tych samych błędów.
Oto kilka wskazówek, które pozwalają skupić się na motywacji zespołu i zmniejszyć wpływ wystąpienia cyberincidentu:
- Prowadź szkolenia dla personelu, aby potrafili oni unikać błędów.
- Motywuj pracowników.
- Przygotuj jasne zasady bezpieczeństwa informacji w firmie oraz monitoruj ich przestrzeganie.
- Używaj narzędzi do wykrywania zdarzeń i reagowania.
- Wdróż systemy ochrony przed błędami, nieodpowiedzialnym zachowaniem i złośliwymi działaniami ze strony pracowników.
- Okresowo przeglądaj powyższe zalecenia, aby zmniejszyć prawdopodobieństwo, że ktoś popełni ten sam błąd dwukrotnie.