Zaměstnanci ignorují firemní IT bezpečnostní politiky

15. 9. 2020

Sdílet

Řada firem byla nucena na jaře poslat své zaměstnance domů. Ti, co mohli, tak pracovali z domova. Kvůli této změně byla firemní IT bezpečnost vystavena vyššímu počtu internetových útoků, phishingu souvisejícího s koronavirem a nadměrnému používání stínového IT. Aby firmám v této složité situaci pomohly, vydaly na začátku dubna společnosti Kaspersky a Area9 Lyceum kurz adaptivního učení pro ty, kteří přecházeli na práci z domova. Kurz pokrýval základy bezpečného používání IT v rámci vzdáleného pracoviště.

Účastníci školení, kteří se vzdělávali v oblasti bezpečného používání IT v rámci vzdáleného výkonu práce, zvolili správnou odpověď v 66 % případů. I když se v rámci školení mýlili, většinou si byli jisti svými schopnostmi. Během školení od společnosti Kaspersky a Area9 Lyceum jim největší problémy dělaly oblasti jako virtuální stroje, aktualizace nebo důvody, proč by zaměstnanci měli používat firemní IT zdroje, i když pracují mimo kancelář.

Analýza anonymizovaných výsledků testů, jimiž si účastníci ověřovali své znalosti, ukázala, že zaměstnanci velmi často přeceňují úroveň svých znalostí IT bezpečnosti. V 90 % případů, kdy studenti označili špatnou odpověď, hodnotili míru sebejistoty vůči dané odpovědi jako „vím to“ nebo „myslím, že to vím“. Tento fakt se podařilo odhalit díky metodě adaptivního učení, která od studentů požaduje, aby posoudili úroveň své důvěry v udávané odpovědi.

Report také poukazuje na oblasti, se kterými měli účastníci školení největší problémy – nejvíce obtíží jim činily důvody, proč by měli používat virtuální stroje. Až 60 % odpovědí na tuto otázku bylo špatných, přičemž 90 % respondentů spadalo do kategorie „nevědomá nekompetentnost“. Ta označuje situaci, kdy si studenti navzdory své chybné odpovědi stále myslí, že označili správnou možnost.

Více než polovina odpovědí (52 %) na otázku týkající se důvodů, proč by zaměstnanci měli pří práci z domova používat firemní IT zdroje (například pracovní e-mail, komunikační platformy nebo cloudové úložiště), nebyla správná. V 88 % případů si navíc mysleli, že jsou jejich odpovědi správné. Téměř stejně chyb (50 %) udělali zaměstnanci v otázce týkající se provedení instalace aktualizací softwaru. Drtivá většina nesprávně odpovídajících (92 %) se navíc domnívala, že tuto dovednost ovládají.

„Pokud zaměstnanci nespatřují ve svém riskantním chování žádné nebezpečí, například při ukládání citlivých dokumentů na osobní cloudové úložiště, nebudou velmi pravděpodobně žádat firemní IT oddělení o žádnou radu. Z tohoto pohledu je těžké takové chování změnit, protože zaměstnanec má tuto činnost již zažitou a není schopen rozpoznat rizika. Hlavním úkolem školení o kybernetické bezpečnosti by mělo být tento problém u zaměstnanců identifikovat a vyřešit ho,“ říká Denis Barinov, Head of Kaspersky Academy.

Našli jste v článku chybu?