Návod na stažení a spuštění
Snad každý manažer či pracovník bezpečnostního oddělení firmy ví, čím zaměstnanci rádi a opakovaně porušují bezpečnostní pravidla firmy. Z části jedné se jedná o porušení pravidel "fyzické bezpečnosti" a z části druhé samozřejmě porušují "počítačovou bezpečnost".
John Stewar, ředitel bezpečnosti společnosti Cisco situaci shrnuje do pouhých čtyř základních bodů a zároveň radí, jak tyto "díry" nejlépe zalepit.
1. Umožnění pohybu cizích lidí po firmě - tato chyba je rázu fyzického a je poměrně hojně rozšířená. Podle průzkumu se zhruba 20% zaměstnanců dopouští porušení bezpečnostních pravidel tím, že umožní cizí osobě volný pohyb po firmě. Podle Stewarta je to způsobeno zejména tím, že se lidé jen neradi dopouštějí konfrontačních rozhovorů a než aby zjistitli, co má "návštěvník" za lubem a zavedli ho třeba za navštíveným zaměstnancem či ho předali do péče ostraze firmy, raději zvolí jednodušší řešení a buď se o návštěvníka nijak nezajímají, nebo mu jen maximálně ukážou cestu.
Řešením je například vytvoření takového prostředí, ve kterém bude jasné, že tam a tam nemají návštěvy přístup vůbec nebo jen v doprovodu. Použít lze například různé značky či piktogramy.
2. Používání a vytváření nepovolených bezdrátových přístupových bodů. Nejčastěji se samozřejmě jedná o WiFi Acces Pointy, které se porůznu vyskytují snad v každé firmě. Důvodem jejich výskytu jsou nejčastěji různé vnitrofiremní pokusy či nutnost poskytnout bezdrátové připojení nečekané návštěvě. Jenže místo toho, aby se po ukončení testů či odchodu návštěvy tento "černý přístupový bod" odpojil, prostě se nechá vesele na místě a samozřejmě plně funkční. Tyto přístupové body navíc nebývají nijak zabezpečeny kvalitním heslem pro přístup (přece nebudu při testování zadávat pořád nějaké názvy sítí nebo hesla a návštěvu přece také nebudeme obtěžovat) a také názvy přístupových bodů bývají "otevřené", lze je tedy bez problému najít a přistoupit k nim.
Řešením jsou opět jasná pravidla a jejich důrazné dodržování nebo technologie, která přidávání černých acesspointů znemožní nebo alespoň sníží. Oblíbené jsou například systémy, které integrují kontrolu nad bezdrátovými sítěmi do firemní infrastruktury.
3. Vyzrazení citlivých firemních informací cizí osobě. Nejméně čtvrtina dotázaných respondentů připouští, že prozradila citlivé firemní údaje třetí osobě. Nejčastěji se jedná o vyzrazení rodině a známým, nicméně se objevily i výpovědi svědčící o vyzrazení naprosto cizí osobě - třeba "sousedovi u baru". Jedná se o dost velký problém, zejména proto, že si lidé mnohokrát naprosto neuvědomují možné dopady svého jednání. Protože se jedná o skrytou hrozbu, zaměstnancům mnohdy ani nedochází, že se dopustili chyby - "jen jsem chtěl, aby někdo nezávisle posoudil můj nápad", "ale my jsme si jen tak povídali" nebo "netušil jsem, že dělám něco špatného" jsou snad nejčastější odpovědi na otázku PROČ zaměstnanec vyzradil údaje cizí osobě.
Cesta k řešení tohoto problému je sice jednoduchá, ale rozhodně ne snadná v pravém slova smyslu. Je nutná osvěta a vzdělávání zaměstnanců, zkrátka je třeba jim opakovaně tlouct do hlavy, že se jedná ů "firemní údaje" a ty již z podstaty svého názvu nejsou určeny pro osoby mimo firmu. Pomůže zdůraznit, že tak jako má zaměstnanec určité tajemství, které nehodlá sdílet se svým okolím, je na tom naprosto stejně i firma - ta zkrátka také nechce, aby se některé věci vytrubovaly do světa.
4. Citlivá data uložená tam, kde být nemají. Nevhodné místo v tomto případě představuje například nakopírování citlivých dat v nezašifrované podobě na chytrý telefon nebo tablet, nakopírováním na USB flešdisk (nejlépe nezašifrovaný :)) ) nebo jejich odeslání emailem bez předchozího výslovného souhlasu. Ať už je cesta úniku jakákoliv, vždy může znamenat ohrožení firmy. Podle Stewarta se takto bez uvážení chová přes 20% zaměstnanců.
Řešením je, kromě osvěty a vzdělávání uživatelů, také bezpečnostní systém pod souhrnným názvem Data Loss Prevention. Jedná se o systémy, které dokážou na základě sofistikovaných algoritmů sledovat firemní data a rozhodovat o tom, jak se s citlivými daty ve firmě má zacházet a zabrání například neoprávněnému odeslání informací emailem nebo kopírování dat na USB zařízení.
