Lidský faktor

O bezpečnosti se mluví. Je to nejen módní, ale také důležité. Svět není rájem, ve kterém jsou všichni k sobě slu...


O bezpečnosti se mluví. Je to nejen módní, ale také důležité. Svět není rájem,
ve kterém jsou všichni k sobě slušní a poctiví. Firmy vynakládají značné
prostředky na zabezpečení v podobě specializovaného softwaru, úprav
informačních systémů, oddělování vnitřních sítí od vnějších... Ale poměrně
často se zapomíná na to nejdůležitější. Na lidský faktor.
Mezi folklór bankovní sféry patří historky o tom, jak si mnozí střadatelé píši
hesla ke vkladním knížkám přímo do těchto knížek. Nejsou ničím zvláštním
případy, kdy jednotlivá písmena hesla jsou napsána na jednotlivých stránkách
vkladní knížky. V IT jsou obdobou hesla napsaná na monitorech, hesla shodná se
snadno odvoditelnými údaji a v neposlední řadě také běžné vyzrazování osobních
hesel. Minulý týden jsem zažil situaci, kdy vedoucí poměrně velkého státního
úřadu bez uzardění sdělil své přístupové údaje do důležité části systému asi
dvacítce lidí. Pochybuji, že vůbec někoho z přítomných znal osobně. Stejně tak
bych neřekl, že po našem odchodu si heslo měnil.
Nedostatečná ochrana autentizačních a autorizačních funkcí je ovšem pouze
třešinkou na dortu problému selhávání lidského faktoru. Jako další příklady lze
uvést nákup superbezpečných technologií a ponechání hardwaru volně přístupného
na chodbách, odnášení nezabezpečených záloh domů a jejich povalování v
šuplících IT manažerů či přidělování oprávnění podřízeným, kteří by vůbec
neměli přístup k podnikovému systému na dané úrovni mít.
Drtivá většina nedostatečného zabezpečení přitom mívá jednoho společného
jmenovatele již uvedený lidský faktor. Jinými slovy, bezpečnostní slabiny
většinou existují nikoli z důvodu nestanovení bezpečnostních pravidel, ale z
důvodu jejich nedodržování. Jistým způsobem je takový stav ještě horší, než
když nejsou dána pravidla žádná snadno lze totiž podlehnout falešnému pocitu
uspokojení. Proto jsou tak moc doporučovány pravidelné a náhodné kontroly
hraničící s provokacemi dodržování daných pravidel.
Neříkám, že kontroly nejsou oprávněné právě naopak. Důležitost prověřování je
vysoká i proto, že drtivá většina všech bezpečnostních incidentů pochází směrem
zevnitř. Je to zcela pochopitelné, zaměstnanci obvykle mají větší možnosti
průniku k datům na rozdíl od zájemců o cizí data působících mimo danou
organizaci.
Proč tedy ale dochází k selhání lidského faktoru? A navíc tak často? Příčin je
mnoho a na každé konferenci, v odborném tisku či prostě jen u piva se o nich
vedou sáhodlouhé diskuse. Za hlavní lze považovat nepochopení důležitosti
zabezpečení jednotlivými lidskými články. Zaměstnanec musí být na zabezpečení
aktivně zainteresován, alespoň do té míry, aby pochopil, jaké důsledky může mít
bezpečnostní incident. Současně mu ale musí být zcela jasné, jaké výhody
společnosti a také jemu osobně dodržování bezpečnostních pravidel přinese. Jen
tehdy, můžeme-li se na lidský faktor spolehnout, lze budovat zabezpečenou
podnikovou informační architekturu. Přitom ovšem i nadále musí platit důvěřuj,
ale prověřuj.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.