Ten artykuł jest drugą częścią cyklu „Świadomy pracownik – bezpieczna organizacja”. Kontynuujemy temat zależności bezpieczeństwa informacji w organizacji od pracowników. Będzie trochę statystyki z ubiegłego roku. Rozpatrzymy Również przyczyny niezamierzonych potencjalnie niebezpiecznych działań pracowników. Zastanowimy się również co możemy z tym zrobić.
W roku 2018 r. ponad połowa wycieków danych (54,7%) była spowodowana przez pracowników. Jest to raport analitycznego centrum firmy InfoWatch.
Według raportu ataki zewnętrzne spowodowały wycieki w 35,5% przypadków. W ich wyniku mogły być ujawnione wszelkie dane, w tym tajemnica przedsiębiorstwa, know-how, dane finansowe, dane osobowe i inne.
Również w roku 2018 znana na skalę światową firma analityczna Ernst & Young opublikowała komunikat prasowy, stwierdzający że: „Brak świadomości pracowników w zakresie bezpieczeństwa informacji zajmuje pierwsze miejsce na liście głównych podatności, które mogą być wykorzystane”.
Potwierdzają to badania. Udowodniono, że większość pracowników jest przekonana, że nie ma nic wspólnego z bezpieczeństwem informacji.
Mamy tu przełożenie na niezamierzone potencjalnie niebezpieczne działania pracownika/użytkownika, które najczęściej są spowodowane następującymi przyczynami:
- brak znajomości i niedocenianie potencjalnych zagrożeń, a także brak zrozumienia ich związku z wykonywanymi działaniami;
- nieznajomość zasad i wymogów bezpieczeństwa informacji;
- brak zrozumienia potrzeby przestrzegania zasad i wymagań;
- niechęć do spełnienia wymagań stawianych przez organizację;
- nieuwaga pracowników wobec zasad i wymogów bezpieczeństwa informacji.
Niestety, ale średnia liczba dni potrzebnych do wykrycia incydentu informacyjnego wzrosła i wynosi 49,6 dni. Mimo, iż w zakresie danych osobowych został określony ustawowo maksymalny czas na zidentyfikowanie, zgłoszenie i wyeliminowanie zagrożenia na zaledwie 72 godziny (zgodnie z RODO). Dlatego jest bardzo ważnym jest, żeby oprócz stosowania systemów bezpieczeństwa mających na celu monitorowanie i analizowanie działań pracowników organizacji, wszystkie zdarzenia, podejrzane sytuacje, które mogą być związane z bezpieczeństwem informacji były zgłaszane do osób odpowiedzialnych.
Jak widać statystyki mówią wyraźnie, że właśnie człowiek jest najsłabszym ogniwem w systemie bezpieczeństwa informacji.
Podnoszenie świadomości pracowników jest kluczowym czynnikiem sukcesu w osiągnięciu należytego poziomu bezpieczeństwa informacji. Dla skutecznego zarządzania świadomością w zakresie bezpieczeństwa informacji należy stosować kompleksowe podejście, które będzie polegać na opracowaniu i dostosowaniu programu kształtowania kultury organizacyjnej w zakresie bezpieczeństwa informacji.
Nasi specjaliści chętnie pomogą rozwiązać problem świadomości pracowników w Państwa organizacji.
Stosujemy indywidualne podejście do klientów i kształcenia, które jest oparte o wieloletnie doświadczenie we wdrażaniu, utrzymaniu i doskonaleniu Systemów zarządzania bezpieczeństwem informacji, zarządzanie ryzykiem, ciągłością działania, compliance itp.
Autor: Maryna Kuczyńska (2747)
| Wróć do części 1 | Przejdź do części 3 |