Plan bezpieczeństwa korporacyjnego jest tworzony po to, by chronić zasoby firmy bez szkody dla wydajności.
Jednak firmy często nie potrafią znaleźć właściwej równowagi między bezpieczeństwem a działaniami pracowników. W rezultacie bezpieczeństwo staje się irytujące dla użytkownika, przez co zmniejsza się jego entuzjazm i wydajność w pracy zdalnej.
Około 87% pracowników z USA, Wielkiej Brytanii i Niemiec twierdzi, że ich korporacja przedkłada bezpieczeństwo korporacyjne ponad wygody pracowników, co oznacza, że praca zdalna z domu lub przynoszenie do pracy własnych urządzeń może przynieść tyle samo szkód, co korzyści. Początkowo, używanie więcej niż jednego narzędzia w pracy (smartfon, laptop) wydawało się bardziej kuszące dla kandydatów do pracy, ale w tej chwili liczy się także możliwość korzystania z własnych urządzeń w miejscu pracy, czy też większa elastyczność dotycząca miejsca i czasu, kiedy mogą pracować. Teraz pracownicy zastanawiają się, jak chronić swoje prywatne dane i działania od tego, co robią dla swojego pracodawcy zachowując procedury bezpieczeństwa.
Ostatnie badania przeprowadzone przez Dimensional Research pokazują, że 91% firm wie, iż wprowadzone środki bezpieczeństwa mają negatywny wpływ na wydajność, a 92% pracowników jest negatywnie nastawionych do wymaganych dodatkowych zabezpieczeń dla pracy zdalnej.
Oddzielne hasła – wielowarstwowe z uwierzytelnianiem wieloskładnikowym – plus oddzielne środki bezpieczeństwa dla pracowników zdalnych pracujących na własnych urządzeniach i ochrona przed zagrożeniami z zewnątrz może spowodować złe wdrażanie zabezpieczeń, które zmniejszają wydajność i sprawiają, że pracownicy szukają możliwości ich obejścia.
Prawie dziewięciu na dziesięciu pracowników musi zapamiętać wiele haseł w pracy, a 56% dwóch do pięciu różnych kombinacji login/hasło do plików i aplikacji niezbędnych w pracy.
Patrząc na rozwój bezpieczeństwa środowiska korporacyjnego w ciągu ostatnich 18 miesięcy, ponad połowa respondentów twierdzi, że z dnia na dzień zabezpieczenia mają większy wpływ na ich pracę. Więcej niż 60% specjalistów IT wskazuje, że brak świadomości (lub po prostu brak doświadczonych ludzi) jest największą przeszkodą w ujednoliceniu zabezpieczeń w ich organizacji.
Z drugiej strony, prawie 70% specjalistów IT zdradziło pracownikom, jak obejść zabezpieczenia, co stanowi największe zagrożenie dla przedsiębiorstwa. Według badań przeprowadzonych na pracownikach, cytowanych przez blog Bitdefender, około 35% pracowników może sprzedawać informacje na temat swojej firmy, dokumenty finansowe i dane kart kredytowych klientów. Jeden na czterech pracowników może sprzedawać dane firmy, narażając zarówno swoją posadę, jak i siebie na karę finansową lub prawną. Około 61% respondentów przyznało, że ma dostęp do prywatnych danych klienta, podczas, gdy 51% respondentów miało dostęp do danych finansowych, takich jak sprawozdanie finansowe, informacje dla akcjonariuszy. 49% miało dostęp do poufnych informacji o produktach, takich jak planowane wdrożenia, patenty i inne.
Ponieważ to pracownicy są najsłabszym ogniwem w łańcuchu bezpieczeństwa firmy, należy zacząć od edukacji zatrudnionych o ryzyku, sposobie ochrony danych osobowych i innych praktykach bezpieczeństwa.
„Sprawa przynoszenia do pracy własnych urządzeń i praca z domu należy do często poruszanych kwestii bezpieczeństwa, zarówno dla dużych, jak i średnich firm, więc procedury postępowania z nieuczciwym sprzętem IT, kanałami komunikacji i przetwarzaniem danych wrażliwych to nie tylko instalacja odpowiedniego oprogramowania, ale również obowiązkowa edukacja dla wszystkich pracowników” mówi starszy analityk e‑zagrożeń Liviu Arsene z firmy Bitdefender. „Podczas, gdy niektórzy mogą twierdzić, że program pracy z dala od domu ma istotny wpływ na wydajność i zadowolenie pracowników, to powinien mieć on miejsce jedynie w przypadku pracowników, którzy nie wymagają bezpośredniego podłączenia do najbardziej wrażliwych składników infrastruktury i danych.”
Oczywiście pracownicy nie są w pełni ograniczeni, gdy pracują spoza siedziby firmy, ale muszą mieć świadomość, że dostęp do zasobów firmowych będzie ograniczony. To ochrona zarówno dla pracowników, jak i firmy.
Właściwie wdrożone zabezpieczenia nie powinny stać się ciężarem dla pracowników, ale powinni mieć oni świadomość, że ich zachowanie ma na nie wpływ. Zabezpieczenia kontekstowe analizują ruch w sieci i działania pracowników, by wykrywać podejrzane zdarzenia i zachowania. Analizy te mogą być także wykorzystywane do przewidywania i zapobiegania włamaniom do sieci. Prawie wszyscy specjaliści IT (93%) zgadzają się, że brak bezpieczeństwa kontekstowego powoduje komplikacje, które utrudniają rozwiązywanie problemów ochrony związanych z niestandardowymi potrzebami dostępu z zewnątrz firmy.
Chociaż bezpieczeństwo kontekstowe wydaje się racjonalnym wyborem, to może ono wymagać przebudowy polityk dostępu do danych lub nawet całej infrastruktury. Zaostrzenie bezpieczeństwa powoduje, że pracownicy muszą zapamiętywać większą ilość haseł dostępu do różnych zasobów sieciowych.
„Jednym ze sposobów uniknięcia tych problemów byłoby ustalenie tożsamości poprzez lokalizację (np. w firmie). Należałoby ustalić, czy pracownik jest połączony za pomocą połączenia fizycznego (najlepiej gniazdko sieciowe LAN przypisane do konkretnego adresu MAC), a następnie wykorzystać te informacje, żeby upewnić się, że jest on podłączony do sieci z autoryzowanego urządzenia i umożliwić mu dostęp do zasobów, które w innym wypadku wymagają różnych mechanizmów uwierzytelniania.”, starszy analityk e-zagrożeń Liviu Arsene z firmy Bitdefender.
Korzystanie z bezpieczeństwa kontekstowego nie tylko zwiększa wydajność, ale będzie również pomocne w szybkiej identyfikacji personelu w przypadku ewentualnych włamań sieciowych lub anomalii. Bezpieczeństwo kontekstowe oznacza również eliminację nieuczciwych pracowników wynoszących dane.
„Bezpieczeństwo kontekstowe nie tylko poprawia ogólną wydajność pracowników, ale także minimalizuje potencjalne zagrożenia dla wrażliwych informacji firmowych” - dodaje Arsene.
Pracownicy powinni mieć dostęp tylko do podstawowych zasobów potrzebnych do pracy. Natomiast byli pracownicy powinni mieć całkowicie odcięty dostęp, gdyż generują znaczące ryzyko związane z lukami (sposobami obejścia zabezpieczeń). Firmy muszą ograniczać ryzyko dostępu do poufnych danych, dlatego również hasła do najważniejszych i najbardziej wrażliwych infrastruktur firmowych powinny być cyklicznie zmieniane.
dodane przez MARKEN