Prejšnji mesec je bil objavljen prvi del raziskave o pogostih vrstah tveganj in napak pri uhajanju podatkov, ki jih povzročijo zaposleni (http://newsroom.cisco.com/dlls/2008/prod_102108.html). Ključne ugotovitve so bile, da veliko zaposlenih priznava, da se ne vedejo odgovorno, in sicer:

• Spreminjajo varnostne nastavitve, da se izognejo varnostnim pravilnikom v podjetju, ali pa dostopajo do mest, za katera nimajo pooblastila.
• Dostopajo do območij v omrežjih in objektih, za katere nimajo pooblastila.
• Občutljive podatke podjetja zaupajo nezaposlenim.
• Naprave podjetja ponujajo v uporabo nezaposlenim.
• Izgubljajo prenosne naprave za shranjevanje.
• Drugim omogočajo vstop v prostore podjetja.
• Naprave z gesli za dostop do osebnih finančnih računov in sistemov podjetja puščajo brez nadzora in odklenjene.

Ugotovitve so plod anket, ki so zajele več kot 2.000 uslužbencev in strokovnjakov za informacijske tehnologije v desetih državah: ZDA, Veliki Britaniji, Franciji, Nemčiji, Italiji, na Japonskem, Kitajskem, v Indiji, Avstraliji in Braziliji. Cisco je raziskavo naročil pri ameriškem podjetju za tržne raziskave InsightExpress v času, ko je izguba podatkov (www.cisco.com/go/dlp) ena od največjih skrbi podjetij. Meje med službo in prostim časom izginjajo, zaposleni pri delu vedno bolj uporabljajo aplikacije za sodelovanje in mobilne naprave, zato je vloga varnostnih pravilnikov pri varovanju občutljivih podatkov postala ključnega pomena.

Ključne ugotovitve:

Raziskava je pokazala, da ima varnostni pravilnik 77 % podjetij. Vsakemu četrtemu podjetju, ki ga nima in ki želi določiti uradna pravila o dostopu do podatkov, aplikacij in omrežij podjetja, pa predstavljajo sodobne smernice, kot so mobilnost, sodelovanje in delovna sila brez meja, toliko večjo skrb. Največji delež podjetij brez varnostnih pravilnikov imata Japonska (39 %) in Velika Britanija (29 %).

Raziskava razkriva, da zaposleni pravilnike pogosto ignorirajo ali kršijo. Več kot polovica anketiranih je povedala, da jih ne upošteva vedno. Največji delež zaposlenih, ki so priznali, da jih redno ali občasno kršijo, je v Franciji (84 %), v Indiji pa je vsak deseti (11 %) povedal, da jih nikoli ali skoraj nikoli ne upošteva. Na upoštevanje ali neupoštevanje varnostnih pravilnikov podjetja vpliva več dejavnikov:

• Zavedanje: ena najpomembnejših ugotovitev raziskave je, da je bilo število IT strokovnjakov, ki so varnostni pravilnik poznali, od 20 do 30 odstotkov višje od števila zaposlenih. Največje razlike (31 %) so bile v ZDA, Braziliji in Italiji.
• Komunikacija: enajst odstotkov zaposlenih je povedalo, da jim oddelek za tehnično podporo varnostnega pravilnika ni nikoli predstavil ali jih izobrazil o njem. Ta ugotovitev je še posebej pogosta v Evropi, predvsem v Veliki Britaniji in Franciji, ki sta s 25 oziroma 20 odstotki na vrhu lestvice. Oddelek za tehnično podporo pogosto predstavlja varnostni pravilnik zaposlenim na neverbalne in posredne načine: npr. po elektronski ali glasovni pošti oziroma s sporočili, ki se pojavijo ob prijavi v računalnik.
• Posodobitve: tri četrtine IT strokovnjakov (77 %) in polovica zaposlenih (47 %) meni, da je treba varnostne pravilnike pogosteje posodabljati. Največji delež IT strokovnjakov, ki so takega mnenja, je na Kitajskem (91 %) in v Indiji (89 %). Kot kažejo rezultati, je potreba po sistemu varnosti v podjetju večja na hitro rastočih trgih, kjer se vedno več zaposlenih prvič povezuje v internetna omrežja.
• Poštenost: večina zaposlenih pravi, da varnostni pravilniki njihovega podjetja niso pošteni. Takega mnenja so v osmih državah od desetih, le v Nemčiji in ZDA se ne strinjajo. Podjetja vedno bolj vzpodbujajo sodelovanje med zaposlenimi in v ta namen uporabljajo aplikacije Web 2.0 ter video in mobilne naprave. Oddelki za tehnično podporo morajo zaposlene zaščititi, obenem pa jih ne smejo omejevati s togimi pravilniki, kar zahteva tudi veliko diplomatskih sposobnosti.
• Neustreznost: ena najpomembnejših ugotovitev je bila, da se pogled zaposlenih na neupoštevanje pravilnikov razlikuje od pogleda IT strokovnjakov. Slednji menijo, da zaposleni varnostnih pravilnikov ne upoštevajo iz več razlogov, od nerazumevanja nevarnosti tveganja do nezainteresiranosti. 42 odstotkov zaposlenih pravi, da jih največkrat ne upoštevajo, ker jih omejujejo pri delu. V Nemčiji večina zaposlenih meni, da so varnostni pravilniki njihovega podjetja pošteni, vendar bi jih več kot polovica (55 %) kršila, če zaradi njih ne bi mogli opraviti svojih nalog.
Raziskava je pokazala, da vdori ne prizadenejo samo podjetij. Ena bolj zaskrbljujočih ugotovitev je, da je ena petina IT strokovnjakov, ki so obravnavali kršitve varnostnih pravilnikov uslužbencev, že imela primere, ko so se zaradi kršitve izgubili podatki o strankah.