Pracownicy a bezpieczeństwo danych

Przeczytaj także: Utrata danych często z winy pracownika

Zapewnienie odpowiednim użytkownikom dostępu do właściwych informacji

Przedsiębiorstwa działają dynamiczne, a role poszczególnych pracowników często się zmieniają — może to być przeniesienie pracownika na inne stanowisko wewnątrz firmy lub przydzielenie kolejnego zadania konsultantowi zewnętrznemu, który zakończył pracę nad bieżącym projektem. Jednakże, wg RSA, możliwości zarządzania siecią przedsiębiorstwa nie zawsze nadążają za tymi ruchami.

Wśród respondentów:

• 43% zmieniło stanowisko wewnątrz firmy, a w dalszym ciągu ma dostęp do kont/zasobów, które nie są im już potrzebne.
  • W Meksyku zanotowano najwyższy wynik wynoszący 30%, następnie 42% w Brazylii. Jednakże w USA co drugi ankietowany (50%) posiada w dalszym ciągu dostęp do niepotrzebnych funkcji systemów firmowych.
  • 79% przyznało, że ich przedsiębiorstwo zatrudnia pracowników tymczasowych lub podwykonawców, którzy wymagają dostępu do systemów i danych firmowych o znaczeniu krytycznym.
• 37% natknęło się na obszary sieci przedsiębiorstwa, do których ich zdaniem nie powinni mieć dostępu.

Zdaniem RSA dostęp do tajnych danych powinien być przyznawany wyłącznie osobom, które tego potrzebują. W przypadku niektórych stanowisk potrzebny jest dostęp jedynie do ściśle określonych obszarów wewnątrz infrastruktury informacyjnej. Organizacje mogą zarządzać dużą liczbą użytkowników, a jednocześnie egzekwować scentralizowane, oparte na rolach reguły zabezpieczeń, które zapewniają zgodność z przepisami, chronią zasoby przedsiębiorstwa przed nieautoryzowanym dostępem oraz ułatwiają wykonywanie zadań uprawnionym użytkownikom.

„Badanie ujawnia, że równie ważnym czynnikiem dla przedsiębiorstw jest skrupulatne egzekwowanie reguł oraz środków kontroli zabezpieczeń informacji, których celem jest ochrona codziennych czynności wykonywanych w dobrej wierze przez niewinnych użytkowników, jak egzekwowanie przestrzegania zasad ustanowionych w celu ochrony przed osobami działającymi w złym zamiarze” — powiedział Christopher Young, wiceprezes działu RSA. „Niewątpliwie firmy muszą przyjąć warstwowe podejście do zabezpieczeń w celu ograniczenia zagrożeń wewnętrznych oraz zapewnienia bezpieczeństwa danych. W związku z tym ważne jest, aby każda organizacja wiedziała, jakie osoby mają dostęp do danych; kontrolowała dostęp do nich z użyciem reguł; monitorowała podejrzane działania w celu weryfikacji tożsamości użytkowników; tworzyła i egzekwowała środki kontroli oraz reguły bezpieczeństwa danych; a także zmieniała możliwość obsługi danych w czasie rzeczywistym w praktyczną zgodność z przepisami oraz inteligentne zabezpieczenia.”

Informacje o badaniu
Badanie „2008 Insider Threat Survey” przeprowadzone przez RSA, dział zabezpieczeń firmy EMC, objęło 417 osób podczas trzech wydarzeń branżowych, które odbyły się w trzech krajach na terenie Ameryki Północnej i Ameryki Łacińskiej:

• Wystawa RSA Conference, USA (7-11 kwietnia; 134 respondentów)
• Konferencja „Demystifying the Payment Card Industry Standard: Routes to PCI Compliance,” miasto Meksyk (28 maja; 44 respondentów)
• Konferencja CIAB 2008, Brazylia (11-13 czerwca; 239 respondentów)