18/06/2013

Zagrożenie wewnętrzne vs. zagrożenie zewnętrzne

Porady

Gdy myślimy o bezpieczeństwie naszych informacji, na myśl przychodzą nam hakerzy i cyberprzestępcy próbujący znaleźć sposób na wniknięcie do sieci firmowej w celu przejęcia informacji. Firma Clearswift zleciła badanie przedstawiające ogólny obraz bezpieczeństwa informacji. Badanie to wykazało, że w przeciągu ostatnich 12 miesięcy 83% z badanych organizacji stało się ofiarami naruszenia ochrony. Pomimo tego, że firmy przeznaczają ogromne kwoty na ochronę, w 58% wszystkich przypadków zagrożenia pochodziły z wnętrza firmy, a nie od podejrzanych i wrogo nastawionych intruzów. Firmy ucierpiały zatem z ręki pracowników, byłych pracowników oraz zaufanych partnerów: ludzi takich jak ty czy ja.

27_byod

Badanie pokazało, że 72% z ankietowanych firm usiłuje nadążyć za zmianami w rozplanowaniu ochrony oraz za polityką ochrony niezbędną do wsparcia zmian w sposobie komunikacji międzyludzkiej i nowoczesnego prowadzenia biznesu. Jedną ze znaczących zmian w praktykach biznesowych, mających wpływ na ochronę firmy, jest idea BYOD (Bring Your Own Device), czyli przez pracowników z własnych urządzeń (laptopy, smartfony, tablety) w miejscu pracy.

Nie można zrzucać całej winy za tego rodzaj zagrożenia tylko na pracowników, jeśli są oni zachęcani (a przynajmniej nie są zniechęcani) do wdrażania koncepcji BYOD. Około jedna trzecia (31%) firm aktywnie zarządza modelem BYOD, natomiast 11% odrzuca ten pomysł. Przedsiębiorstwa odrzucające wykorzystanie idei BYOD częściej spotykają się z wewnętrznymi zagrożeniami ochrony (37% vs. 18% firm, które aktywnie korzystają z BYOD). Spośród badanych firm 53% stwierdziło, że pracownicy korzystaliby z BYOD w sieci korporacyjnej niezależnie od tego, czy byłoby to dozwolone. Obowiązkiem firmy jest zarządzanie używaniem przez pracowników ich własnych urządzeń, a nie chowanie głowy w piasek i udawanie, że nie będzie to miało miejsca.

W takim razie, co dalej? Firmy muszą zdać sobie sprawę z tego, że wewnętrzne zagrożenia są istotne przynajmniej w takim samym stopniu, jak te pochodzące z zewnątrz. Konieczne jest równomierne rozplanowanie wydatków przeznaczonych na ochronę organizacji. Jeśli chodzi o BYOD, należy jak najszybciej wdrożyć politykę ochrony. Nie wolno zapominać o programach edukacyjnych podnoszących świadomość bezpieczeństwa dla użytkowników oraz pracowników, które dotyczą zagrożeń związanych z BYOD oraz sposobu ich minimalizowania. Umożliwi to bezpieczne korzystanie z prywatnych urządzeń w miejscu pracy.

Jeśli Twoja firma nadal nie stosuje polityki bezpieczeństwa dla modelu BYOD, jako pracownik możesz skorzystać z naszych zaleceń:

1. Nie narażaj swojej firmy (lub siebie) na niebezpieczeństwo poprzez korzystanie ze swoich urządzeń (nawet pamięci USB) do przetwarzania danych firmowych bez wcześniejszej konsultacji z administratorem systemu lub osobą odpowiedzialną za bezpieczeństwo informacji.

2. Jeśli już musisz skorzystać z urządzenia USB, użyj pamięci posiadającej szyfrowanie i najlepiej takiej, która jest zaaprobowana przez firmę. Na rynku dostępnych jest wiele urządzeń tego typu i najczęściej nie są one dużo droższe od rozwiązań, które nie oferują szyfrowania. Za cenę kilkudziesięciu złotych możesz ocalić reputację firmy.

3. Podobnie jest z prywatnymi kontami pocztowymi. Jeśli musisz skorzystać ze swojej prywatnej poczty (na przykład twoja poczta firmowa nie działa), skonfiguruj specjalne konto do tego celu z maksymalnym poziomem bezpieczeństwa (Gmail z włączoną podwójną autoryzacją to doby początek).

4. Wszystkie dokumenty wysyłaj w formie zaszyfrowanej. Istnieje na to kilka sposobów – począwszy od chronionych hasłem dokumentów MS Office, a kończąc na plikach ZIP z silnymi hasłami. Oczywiście nie wolno wysyłać zaszyfrowanych haseł w tej samej wiadomości e-mail ani też podawać odbiorcy hasła przez telefon.

5. Nie ustawiaj swojego firmowego konta pocztowego na prywatnym urządzeniu bez wcześniejszej konsultacji z administratorem systemu.