Více než třetina zaměstnanců bezpečnost v práci neřeší

Téměř dvě třetiny lidí ve firmách neví nic o aktuálních bezpečnostních problémech, jakým byl Heartbleed. Ukázal to aktuální výzkum společnosti Cisco mezi více 12 tisíci zaměstnanci ve 13 zemích regionu EMEAR (Evropa, Střední východ, Afrika a Rusko). Ukazuje se, že zaměstnanci spoléhají na nastavené bezpečnostní politiky v podnicích, a často se chovají méně opatrně, než na svém domácím počítači. Přitom 52 procent dotázaných je přesvědčeno, že právě chování zaměstnanců je druhou největší hrozbou pro bezpečnost firemních dat, hned po útocích hackerů (60 procent). Pro 31 procent zaměstnanců jsou bezpečnostní politiky dokonce brzdou inovací a komplikací v jejich práci.

Výsledky výzkumu ukazují, že zaměstnanci jsou v řadě případů ukolébáni falešným pocitem bezpečí při používání informačních technologií v rámci firem. Pouhých 16 procent respondentů věnuje bezpečnému nakládání s daty v práci větší pozornost než doma. Chování zaměstnanců může být v konečném důsledku skutečně slabým článkem v bezpečnostních politikách společností. Bezpečností politiky ale nepočítají s novými trendy. Firmy by je proto měly upravit, aby odpovídaly různým typům chování zaměstnanců. Výzkum totiž ukázal, že ve všech firmách používají zaměstnanci firemní síť i pro osobní věci – nejčastěji jde o elektronické bankovnictví (73 procent) následované on-line nákupy (61 procent) a využíváním sociálních sítí (48 procent). Dosud se bezpečnostní politiky zaměřovaly spíše na ochranu vůči útokům zvenčí.

„Většina útoků se chová tiše a nenápadně. To v nás může posilovat pocit falešného bezpečí. Takový pocit ale není na místě,“ upozorňuje Ivo Němeček, generální ředitel společnosti Cisco ČR a varuje: „Bezpečnostní prostředí se mění, s rostoucím počtem zařízení, jejich zranitelností, mobilitou a propracovaností útoků se pravděpodobnost napadení zvyšuje. Tomu musíme přizpůsobovatt chování, technologie i bezpečnostní pravidla.“

Nyní by se bezpečnostní politiky měly rozšířit i na obranu vůči vnitřním hrozbám. Uživatelé jsou totiž přesvědčeni, že oni sami mají na celkovou bezpečnostní integritu firemních politik nulový nebo jen malý vliv. Pro 38 procent uživatelů je jediným povědomím o bezpečnostní politice jen občasné varování, že některá činnost je zakázána. Téměř polovina zaměstnanců (43 procent) se přiznala k tomu, že firemní bezpečnostní politiky a pravidla dodržuje jen velmi vlažně.

Přispívá k tomu i to, že jeden ze šesti uživatelů (17 procent) je přesvědčen, že bezpečnostní politiky potlačují inovace, místo aby napomáhali fungování firmy. Stejné množství respondentů se navíc domnívá, že náklady na ztracené obchodní příležitosti jsou vyšší, než náklady na možné porušení bezpečnosti. Kromě toho 14 procent vidí bezpečnostní politiky jako věc ztěžující jim práci. Toto přesvědčení může některé zaměstnance vést k obcházení či dokonce vědomému porušování pravidel.

Zaměření na uživatele

Výzkum naznačuje, že v budoucnu se CIO budou muset odklonit od tradičních postupů. Měnící se požadavky uživatelů na mobilitu, spolupráci a přístup k informacím totiž proměňují stávající bezpečnostní prostředí. Zaměstnanci už dávno nepoužívají jen jedno zařízení. Kromě počítače mají chytrý telefon či tablet, které také připojují do firemní sítě. Nové bezpečnostní politiky se tak již nemohou zaměřovat na konkrétní zařízení, ale musí pokrývat všechna zařízení konkrétního uživatele. Zároveň musí být nastaveny tak, aby jej ochraňovali nejen uvnitř firemní sítě, ale všude, kde pracuje.

Výzkum napříč regionem EMEAR ukázal, že existují čtyři základní bezpečnostní profily zaměstnanců, které by nově nastavené politiky měly zohledňovat.

• Uvědomělý uživatel – dobře chápe kybernetická rizika a snaží se dodržovat bezpečnostní pravidla, aby ochránil soukromá i firemní data
• Snaživý uživatel – snaží se respektovat bezpečnostní pravidla, ale nemá o nich větší povědomí a tak se orientuje metodou „pokus – omyl“
• Bezstarostný uživatel – nepovažuje bezpečnostní politiku za svou odpovědnost a spoléhá, že ji za něj zajistí firma či IT oddělení
• Cynický uživatel – bezpečnostní politiky považuje za zbytečnou komplikaci, která mu neumožňuje dobře dělat svou práci. Proto se snaží pravidla obcházet

Shrnutí hlavních výsledků výzkumu

• Velikost organizace
  • 76 procent velkých firem v regionu EMEAR (nad 250 zaměstnanců) má nastavenu bezpečnostní politiku. Stejně je na tom jen 36 procent malých firem (pod 50 zaměstnanců)
  • 42 procent zaměstnanců velkých firem očekává, že se o bezpečnost postará někdo jiný. V malých firmách je to jen 28 procent
• Nakládání s hesly
  • 55 procent respondentů má jedno heslo pro více stránek či aplikací
  • Tři z pěti respondentů si hesla pravidelně mění
• Největší rizika pro firemní data
  • 60 procent zaměstnanců považuje za největší riziko profesionální kybernetické útoky
  • 52 procent vidí největší hrozbu v chování samotných zaměstnanců
• Práce vs. domov
  • 54 procent účastníku výzkumu si myslí, že jejich osobní data jsou lépe chráněna v práci než doma
  • 25 procent uživatelů nakládá s daty v domácím prostředí opatrněji než ve firemním