Každá čtvrtá firma nemá žádná bezpečnostní pravidla

22. 11. 2008

Sdílet

Čtvrtina firem nemá podle průzkumu společnosti Cisco dosud vytvořena žádná bezpečnostní pravidla v oblasti IT. Firmy jsou přitom v době rozšířené mobility a týmové spolupráce na dálku vystaveny mnohem větším bezpečnostním rizikům, například ztrátě firemních dat. Navíc se ukázalo, že i ve firmách se zavedenými pravidly je zaměstnanci porušují.

Čtvrtina firem nemá podle průzkumu společnosti Cisco dosud vytvořena žádná bezpečnostní pravidla v oblasti IT. Firmy jsou přitom v době rozšířené mobility a týmové spolupráce na dálku vystaveny mnohem větším bezpečnostním rizikům, například ztrátě firemních dat. Navíc se ukázalo, že i ve firmách se zavedenými pravidly je zaměstnanci porušují.
Výzkum ukázal, že přestože má 77 procent firem stanovena vlastní bezpečnostní pravidla, existuje stále necelá čtvrtina společností, které žádná bezpečnostní pravidla v oblasti IT doposud nevytvořily. Absence bezpečnostních pravidel je nejvíce rozšířena v Japonsku (39 procent) a ve Velké Británii (29 procent). Absence těchto pravidel přitom může vést například ke ztrátě citlivých firemních dat.
I v případě, že firmy disponují bezpečnostními pravidly, je však podle studie zaměstnanci často porušují nebo ignorují. Více než polovina dotázaných zaměstnanců například připustila, že ne vždy se firemních bezpečnostních pravidel drží. Zpravidla za to mohou chyby v informovanosti a komunikaci, nedostatečná aktualizace pravidel, ale i jejich nedodržování z důvodů nepochopení jejich závažnosti nebo čisté apatie.
Studie také identifikovala základní chyby zaměstnanců, které napomáhají únikům dat. Ty se podle zjištění liší v rámci jednotlivých zemí a kultur. Například jeden z pěti zaměstnanců si mění bezpečnostní nastavení pracovního počítače, aby obešel bezpečnostní pravidla a mohl vstupovat na nepovolené webové stránky. Nejčastěji se takové chování vyskytuje v rozvíjejících se ekonomikách Číny a Indie. Na otázku, proč to dělají, odpověděla více než polovina respondentů (52 procent), že si prostě takové stránky chce prohlédnout.
Sedm z deseti oslovených IT odborníků uvedlo, že vstup zaměstnanců na nepovolené stránky a užívání nepovolených aplikací (sociální služby, software pro stahování hudby, internetové obchody) je příčinou více než poloviny úniků dat v jejich firmách. Toto přesvědčení bylo nejrozšířenější ve Spojených státech (74 procent) a v Indii (79 procent).
Dva z pěti IT odborníků zaznamenali v posledních dvou letech neautorizované použití aplikace nebo zařízení. Nejčastěji se tak dělo v Číně, kde takový případ zaznamenaly téměř dvě třetiny respondentů. Ze všech případů se jich dvě třetiny staly během posledního roku, 14 procent dotazovaných zaznamenává podobné incidenty každý měsíc.
Každý čtvrtý respondent (24 %) někdy ústně sdělil nějakou citlivou firemní informaci někomu mimo firmu, ať již příteli, členovi rodiny nebo dokonce neznámému člověku. Na dotaz, proč to udělali, nejčastější odpovědí bylo: „Chtěl/a jsem se před někým blýsknout”, “Potřeboval/a jsem si ulevit” nebo “Nevidím na tom nic špatného”.
Téměř polovina dotazovaných zaměstnanců (44 procent) půjčuje své pracovní zařízení někomu mimo firmu bez dozoru. Téměř dvě třetiny zaměstnanců také používají pracovní počítače k osobním účelům, ať už jde o stahování hudby, online bankovnictví, blogování, chatování a jiné. Polovina zaměstnanců užívá svůj osobní e-mail ke kontaktování zákazníků a kolegů, ale jen 40 procent z nich to má povoleno IT oddělením.
Nejméně jeden ze tří zaměstnanců ponechává počítač přihlášený do sítě a nezamčený na stole, když opouští své pracovní místo. Tito zaměstnanci mají také tendenci nechávat notebooky na stolech přes noc, někdy i bez odhlášení, což zvyšuje riziko krádeže a ztráty firemních a osobních dat.
Každý pátý zaměstnanec si ukládá svoje vstupní hesla do systémů ve svém počítači nebo si je napíše na papírek, který pak leží na jeho stole, v neuzavřených skříňkách nebo nalepený na počítači. V Čině bylo zaznamenáno mezi respondenty 28 procent případů, kdy zaměstnanci ukládají loginy a přístupová hesla ke svým bankovním účtům ve svých pracovních zařízeních a vystavují tak riziku svoji identitu a peníze.
Téměř jedna čtvrtina zaměstnanců (22 procent) nosí firemní data na přenosných zařízeních ven z pracoviště. To je nejvíce rozšířené v Číně (41 procent) a představuje riziko v případě ztráty nebo krádeže zařízení. Více než pětina (22 procent) německých zaměstnanců umožnila neznámým lidem pohyb po firemních prostorách bez dozoru, přitom průměr činil 13 procent. Okolo 18 procent zaměstnanců umožnilo neznámému člověku vstoupit za nimi dveřmi do firemních prostor.


Deset nejčastějších rizik v chování zaměstnanců

1. Změny bezpečnostních nastavení počítačů
2. Používání nepovolených aplikací
3. Neautorizované používání aplikací nebo zařízení
4. Sdílení citlivých firemních informací
5. Sdílení firemních zařízení
6. Nejasná hranice mezi pracovním a osobním zařízením a prostředky komunikace
7. Nechráněná zařízení
8. Ukládání uživatelských jmen a hesel
9. Ztráty stolních zařízení pro ukládání dat
10. Umožnění vstupu cizích lidí do firmy



***
Výzkumu se zúčastnily více než dvě tisícovky zaměstnanců a IT odborníků z deseti zemí světa: Spojených států, Velké Británie, Francie, Německa, Itálie, Japonska, Číny, Indie, Austrálie a Brazílie.

 

Autor článku