Pracownicy, szczególnie nowo zatrudnieni lub zatrudniani zaraz po zakończeniu edukacji, wciąż pozostają najsłabszym ogniwem w systemach bezpieczeństwa IT, a szczególnie trudnym przypadkiem jest pokolenie Millenialsów. Przedstawiam wyniki badań dotyczących bezpieczeństwa zasobów informacji i wiedzy w przedsiębiorstwach oraz znaczenia czynnika ludzkiego w jego zapewnieniu. Uwzględniam także aspekt nowo zatrudnionych pracowników oraz zatrudnienia pracowników młodych zaraz po zakończeniu edukacji
Podstawą badań była ankieta skierowana do 240 przedstawicieli różnych podmiotów w ramach szkoleń w zakresie bezpieczeństwa informacyjnego. Ponad dwie trzecie (71 proc.) badanych osób reprezentowało duże podmioty, zatrudniające powyżej 250 pracowników. Zdecydowana większość ankietowanych to pracownicy zatrudnieni na okres próbny (umowa na trzy miesiące – 195 osób), pozostałą część stanowiły osoby zatrudnione po zakończeniu nauki (42 osób) oraz pracownicy wracający do pracy po dłuższej przerwie, np. urlopie macierzyńskim (13 osób). Celem badania była identyfikacja świadomości w zakresie wartości informacji i roli bezpieczeństwa w systemie informacyjnym.
Pierwsze z badanych zagadnień dotyczyło świadomości pracowników przedsiębiorstwa w zakresie wartości, jaką reprezentują informacje i wiedza. Strukturę otrzymanych wskazań na pytanie: „W jakim stopniu przywiązuje się wagę do informacji, wiedzy ich bezpieczeństwa?”, przedstawia rysunek 1.
Na niski poziom świadomości wartości informacji wskazuje to, że zaledwie 1 proc. osób uznaje bezpieczeństwo informacji za jeden z priorytetów organizacji, w której pracują. Znaczna część ankietowanych stwierdza, że informacja w ogóle nie ma znaczenia, a jej ochrona w ogóle nie jest brana pod uwagę, natomiast 23 proc. osób uznało, że kwestia bezpieczeństwa informacji jest mało istotna. Pomimo problemów z dokładnym oszacowaniem wartości poszczególnych informacji respondenci nie zdają sobie sprawy z ich dużej wagi, w szczególności tych stanowiących tajemnice przedsiębiorstwa.
Z przeprowadzonego badania wynika, że pracownicy chronią własne dane, szczególnie osobowe, ale nie mają świadomości z dużej wartości informacji i wiedzy dotyczących technologii, handlu, księgowości przedsiębiorstw, w których pracują (rysunek 2).
Niska świadomość w zakresie wartości, jaką reprezentują informacje i wiedza dotyczące przedsiębiorstw, w których pracują ankietowani, wskazuje na konieczność podnoszenia świadomości, konieczność zabezpieczania i ochrony przedsiębiorstwa przed własnymi pracownikami. Wyniki badania dotyczące błędów popełnianych w przedsiębiorstwach w związku z ochroną informacji i wiedzy w badanych przedsiębiorstwach przedstawia rysunek 3.
Otrzymane wyniki badań wskazują na brak celowości postępowania z nowo zatrudnionymi pracownikami. Biorąc pod uwagę motywacje, jakimi kierują się przedsiębiorstwa w zakresie zabezpieczania posiadanych informacji i wiedzy, należy szczególną uwagę zwrócić na trzy kategorie pracowników: nowo zatrudnionych pracowników, którzy już wcześniej świadczyli prace na danym stanowisku, ale dla innego pracodawcy; absolwentów, którzy zaraz po zakończeniu edukacji zostali zatrudnieni oraz pracowników zatrudnionych po dłużej przerwie w pracy, np. po urlopie macierzyńskim. Przeprowadzone badania wskazują, że pracownicy wszystkich z wymienionych kategorii pozwalają sobie na przesyłanie na prywatne adresy mailowe oraz pendrive danych dotyczących badanych przedsiębiorstw.
Młodzi pracownicy, wychowani w epoce komputerów i zaznajomieni z technologią, powinni być świadomi cyfrowych
Zapisywanie prywatnych danych na firmowych komputerach czy zapisywanie firmowych plików w prywatnej chmurze lub odwiedzanie niebezpiecznych stron internetowych mogą zagrażać bezpieczeństwu firmy – to tylko niektóre złe nawyki pracowników, które mogą narazić firmę na utratę danych oraz mieć jeszcze poważniejsze konsekwencje.
Złe nawyki powodują, że drastycznie zwiększa się ryzyko utraty danych przez nieprzestrzeganie norm bezpieczeństwa czy nieograniczanie dostępu do sieci spoza firmy. Co ciekawe, pracownicy długoterminowi, ze stażem powyżej 7 lat, mają tendencję do wprowadzania większych ogólnych zagrożeń dla bezpieczeństwa ze względu na utrwalone złe nawyki, takie jak niewylogowywanie się z komputera czy łączenie z siecią firmową niezabezpieczonych urządzeń.
Nowe zagrożenia pojawiają się stosunkowo zbyt szybko w porównaniu do szkoleń dla pracowników w tym zakresie. Szczególnie młodzi pracownicy mają problem ze zrozumieniem zagrożeń, jakie niesie ze sobą poczta mailowa czy Internet. Przeprowadzone badania wykazały, iż najtrudniej dostosować się ludziom zatrudnionym zaraz po szkole. Popełniają oni najwięcej błędów i przedsiębiorstwa powinny się skupić na szkoleniu właśnie tej grupy pracowników. Lepiej sytuacja wygląda wśród nowo zatrudnionych, np. po urlopie macierzyńskim lub zatrudnionych, którzy wcześniej pracowali w innej firmie.
Dr inż. Justyna Żywiołek