Czy to głupota użytkowników skutkuje lukami w bezpieczeństwie?
Temat niebotycznej głupoty pracowników nie będących informatykami powraca jak bumerang od początku komputeryzacji firm i urzędów. Informatyków drażni używanie nieautoryzowanych aplikacji, beztroskie instalowanie wirusów i używanie słabych haseł.
Legenda tępego "luzera" została wypromowana przez serię zabawnych historyjek o administratorze-BOFHu (Bastard Operator from Hell) napisanych w latach 90-tych przez, a jakże by inaczej, informatyka.
Przed popadnięciem w samouwielbienie, do którego informatycy mają szczególne predyspozycje, każdy z nas powinien sobie jednak zadać pytanie kto nam płaci pensję? Mam wrażenie, że szermowanie argumentem "głupiego pracownika" jest niekiedy formą usprawiedliwienia dla własnych braków w zakresie kompetencji społecznych (soft skills).
Otóż w przypadku wszystkich firm zadaniem informatyka jest ułatwianie życia działom biznesowym, bo to oni zarabiają na pensje całej firmy - w tym także informatyków. Pracownicy mają obowiązek znać się na tym, co robią i do poduszki czytać raczej żółte strony "Rzeczpospolitej" niż książki Bruce Schneiera.
Jeśli zatem w naszej firmie pracownicy nagminnie stosują złe hasła, instalują głupawe gry, które beztrosko pobierają z Internetu to jest to przede wszystkim wina działu bezpieczeństwa, który im na to pozwala. Kolejna teza może się wydać kontrowersyjna, ale dział bezpieczeństwa ponosi również częściową odpowiedzialność wtedy, gdy niektórzy pracownicy naruszają zasady z premedytacją - bo mogą.
Zadaniem osoby odpowiedzialnej za bezpieczeństwo IT w firmie jest
bowiem nie tylko rekonfiguracja firewalli czy wyłączanie LMHash w rejestrze Windows, ale także - a być może przede wszystkim - edukacja użytkowników i określanie zasad tego co można, a czego nie można robić ("acceptable use policy").
Istotnie, stereotypowy informatyk, o inteligencji emocjonalnejna poziomie Golluma, może mieć z tym problemy. Ale z drugiej strony to właśnie informatycy są osobami najczęściej chodzącymi po firmie i kontaktującymi się z różnymi działami. To świetne warunki do prowadzenia działań uświadamiajacych ("security awareness").
Edukacja - aby była skuteczna - musi obejmować obrazowe przykłady, co się stanie, jeśli firma straci kontrolę nad niedostatecznie chronionymi danymi osobowymi, informacją niejawną czy znalezione zostanie pirackie oprogramowanie. Użytkownicy, którzy mają pełną świadomość, że np. kontrola GIODO może mieć bezpośrednie przełożenie na ich pensje (a ściślej ich brak) będą o wiele bardziej skłonni do samokontroli.
Częstym argumentem jest brak jakiejkolwiek realnej władzy, który
powoduje, że wszelkie zalecenia działu IT są natychmiast ignorowane. No i nie przypadkiem jednym z pierwszych zaleceń normy ISO 27002 jest "zaangażuj kierownictwo w bezpieczeństwo informacji". To znaczy: przekonaj dyrekcję, że bezpieczeństwo informacji nie jest fanaberią tylko chroni firmę przed stratami. I regularnie mu o tym przypominaj.
Bez wsparcia kierownictwa aktywność działu IT będzie wołaniem na puszczy. Jest to jednak o tyle łatwiejsze, że do osób na stanowiskach menedżerskich znacznie szybciej trafiają argumenty o możliwych konsekwencjach finansowych i prawnych - zwłaszcza, że dotkną one zwykle w pierwszej kolejności zarząd.
Podsumowując, zanim informatycy zaczną zaczną znowu żalić się na głupotę pracowników "biznesowych" powinni najpierw przypomnieć sobie kto im płaci pensję. Następnie powinno zrobić wszystko by przekonać zarząd, że on z kolei powinien zrobić wszystko aby tej pensji nie stracić i nie pójść siedzieć. Wtedy stosunkowo łatwe będzie uświadomienie szeregowym pracownikom jak należy postępować, by nie stracić pensji i pracy.
- Zaloguj się lub zarejestruj by odpowiadać
- Generate PDF file
- Wersja do wydruku
Nawigacja
Popularne strony
Logowanie
Odpowiedzi
Cóż, w niektórych przypadkach sytuacja jest jeszcze bardziej skomplikowana. Biznes doskonale sobie zdaje sprawę, że to właśnie on zarabia pieniądze. Próby uregulowania sposobu ich pracy, zmiana bardzo ryzykownych zachowań zderzają się z murem "my tu zarabiamy, a wy przeszkadzacie". Tłumaczenie potencjalnych konsekwencji incydentu nie spotyka się ze zrozumieniem, bo prawdopodobieństwo jego zaistnienia wydaje się znikome, przecież "kiedy ostatnio coś takiego się stało". Na końcu wygrywa "decybel management", w którym biznes ma zdecydowanie lepsze argumenty (głośniej tupie i krzyczy).
Kilka takich przypadków i dział bezpieczeństwa zaczyna być traktowany jako banda upierdliwych oszołomów, których w najlepszym przypadku należy życzliwie ignorować. Tak nastawiony pracownik biznesowy jest bardzo ciężkim celem jakiejkolwiek akcji ewangelizacyjnej. Ignorował będzie również ogłoszone "zasady postępowania", szczególnie jeśli zmuszą go one do zmiany dotychczasowych przyzwyczajeń. W najgorszym wypadku jego przełożony znów trochę pokrzyczy na tych z bezpieki i wszystko wróci do normy. Jak wiele razy do tej pory.
Niewątpliwie wiele zależy od kultury organizacyjnej. A ściślej na ile osoby decyzyjne podejmują decyzje na podstawie faktów a na ile na podstawie swojego lub cudzego widzimisię.
Jeśli pracuję w firmie ubezpieczeniowej, i nasz konkurent dostał właśnie po łapach na 3 mln funtów, i z raportu FSA wynika, że dostał za dokładnie takie praktyki jakie znam z lokalnego podwórka, to prawdopodobieństwo, że trafi na nas jest spore.
Z drugiej strony trudno się dziwić, że zarząd nie jest tak do końca skłonny uwierzyć działowi bezpieczeństwa, cytującemu przerażające liczby z raportu opublikowanego przez vendora, który zupełnie przypadkiem oferuje remedium na wszystkie problemy :)