Шест причини, които карат служителите да заобикалят политиките за информационна сигурност
Липса на знания, любопитство, желание за помощ - това са само част от факторите, които застрашават данните във вашата фирма
Дори и най-съвестните служители във фирмата са склонни да нарушават правилата за информационна сигурност. На какво се дължи това?
Ерика Чиковски, автор в Darkreading, дава 6 възможни причини за умишлено или неумишлено неспазване на процедурите за сигурност.
Липса на знания
Фишингът е в основата на около 91% от атаките срещу организации. Въпреки че някои фишинг кампании са майсторски замислени, повечето от тях са елементарни за разпознаване. Но служителите нямат необходимите знания да разпознават зловредни имейли и именно това е основният фактор за високата ефективност на фишинга.
Липсата на знания е и причината, поради която служителите не защитават добре своите лаптопи и смартфони. Те свалят опасни приложения, качват незащитени чувствителни данни в облака и по този начин нарушават фирмената политика за информационна сигурност.
Удобство
Често служителите знаят много добре процедурите за сигурност, но не ги следват, защото… им е по-лесно да не го правят. Възможно е например предоставянето на достъп до информационна система да е толкова трудно, че служителят предпочита да даде на колегата си собствената си парола. Или пък споделянето на файлове е твърде сложно и служителят предпочита да ги качи в някоя незащитена облачна услуга: просто защото така е по-лесно и бързо.
Това може да се предотврати като се създадат бързи и лесни процедури за предоставяне на достъп. Използването на сигурни решения за споделяне на файлове също помага за намаляване на рисковете.
Стрес
Дори и технически грамотен служител може да забрави за използването на VPN, ако гони крайни срокове, а интернет връзката му едва крета. Когато са поставени под стрес, и най-запознатите с политиките за сигурност служители могат да спрат да следват правилата.
Ето защо е важно да обясните на екипа си необходимостта от това да се спазват установените правила. Служителите трябва да разберат, че политиките за сигурност не могат да се нарушават и ако това се случи, ще има негативни последствия.
Амбиция
Едно проучване на Gartner прогнозира, че около 40% от покупките на технологични решения се правят, за да се обезпечи бизнес развитието, без това да е съобразено с ИТ нуждите. Това означава, че мениджърите вземат решения на база тяхното желание за успех и по този начин пренебрегват заобиколят информационната сигурност на фирмата.
Това може да се промени, ако купуването на технологични решения е съобразено с изискванията за сигурност.
Любопитство
Някои служители не могат да устоят на изкушението да разглеждат файловете на колегите си: дали за да разберат какви са заплатите на останалите или за да проверят с какви клиенти работи компанията. Около 92% от експертите по информационна сигурност съобщават, че служители са опитвали да достъпят фирмена информация, която не им трябва за изпълнение на служебните им задължения.
Проблемът с любопитството се решава с известна доза контрол. Необходимо е да въведете политика за достъп до информацията: с различни роли и привилегии, както и мониторинг на служителите.
Желание за помощ
Измамите със служебен имейл са един от основните проблеми за бизнеса. Те продължават да се случват, защото служителите във фирмата просто искат да помогнат. Понякога измамниците се представят за партньори на фирмата и искат информация, която добросъвестните служители услужливо им дават. Същото важи за случаите, в които измамниците се представят за управителя на фирмата и нареждат парични преводи към контролирани от тях банкови сметки.
Ефективността на тези атаки показва, че трябва да се използва защита срещу спиър фишинг и фалшифициране на имейли. Необходимо е да има и ясни процедури за нареждане на парични преводи.