Vztah zaměstnanců ke kybernetické bezpečnosti nelze jednoznačně popsat, natož vyhodnotit. Na jedné straně většina z nich cítí odpovědnost za ochranu dat, s nimiž pracují, a rozhodně nechtějí, aby z jejich společností unikly jakékoli informace. Na druhé straně však brojí proti všem omezením, kterými jim bezpečnostní nástroje ztrpčují výkon každodenních činností. Takto by se ve stručnosti daly shrnout poznatky letošní studie Dell End User Survey, kterou zpracovala společnost Dimensional Research.
Téměř dvě třetiny zaměstnanců vnímají ochranu citlivých dat jako jednu ze svých pracovních povinností. Chtějí se sami vzdělávat v oblasti hrozeb a potenciálně rizikového chování. To vše v zájmu zabezpečení informací jejich organizace. Pouze 36 procent respondentů ale velmi silně důvěřuje svým znalostem v oblasti ochrany citlivých dat.
Ačkoli většina zaměstnanců nijak nezpochybňuje důležitost kybernetické bezpečnosti, nemálo z nich má vůči její praktické realizaci řadu výtek. Více než pětina respondentů uvedla, že bezpečnostní řešení, jež nasadili informatici v jejich organizaci, zpomaluje výkon běžných pracovních činností. Stejně velká část zaměstnanců považuje za velmi obtížné sledování a dodržování neustále se měnících bezpečnostních doporučení a pravidel. Na 22 procent respondentů vyjádřilo obavy o svou schopnost podniková data efektivně chránit. Předpokládají, že jednoho dne udělají bez zlého úmyslu chybu a způsobí své organizaci reálnou škodu.
Tři čtvrtiny respondentů uvedly, že jejich zaměstnavatel staví kybernetickou bezpečnost nad produktivitu práce. Otázka je, o čem konkrétně zaměstnanci u tohoto dílčího tématu hovoří. Na jedné straně pociťují nekonkrétně interpretovaná omezení z bezpečnostních opatření, na druhé přiznávají, že nevědí, jak citlivé informace chránit.
Praktické bezpečnostní povědomí
Vhodným a zdánlivě jasným řešením této situace, v níž si zaměstnanci nevěří a chybějí jim potřebné znalosti, může být jejich vzdělávání. Praxe ale ukazuje, že nejde o naprostou spásu na poli podnikové kybernetické bezpečnosti. Školením v oblasti ochrany citlivých dat procházejí, resp. prošly téměř dvě třetiny zaměstnanců. Výzkum ovšem ukázal, že se 18 procent z nich běžně dopouští přestupků v oblasti kybernetické bezpečnosti. Tito pracovníci si navíc ani neuvědomují, že jejich přístup doprovázejí nemalá rizika. Téměř čtvrtina proškolených respondentů navíc podniková pravidla v oblasti ochrany citlivých informací obchází záměrně a vědomě. Důvod? Prostě jen chtějí včas dokončit svou práci.
Autoři studie pro zjevné rozpory v záměrech vedení organizací a úsilí jejich zaměstnanců nenabízejí jednoduché řešení. Každý podnik má jiné priority a potřeby v oblasti kybernetické bezpečnosti. Pokud ale praxe naznačuje, že aplikovaná bezpečnostní opatření nenacházejí pochopení a přijetí u těch, kterým jsou určena, měly by se postoje obou táborů více méně sblížit.
Na vině může být i jistá nesrozumitelnost a nereálnost bezpečnostních pravidel a politik. Za nimi povětšinou stojí informatici, specialisté s velkými znalostmi v oboru. Dokážou ale dobře míněné bezpečnostní know-how předat běžným uživatelům? Zdá se, že ne docela. Dvě třetiny proškolených zaměstnanců nevědí, jak citlivé informace chránit.
Jednoduchá pravidla, silné technologie
Tvůrci studie sestavili tři základní tematické okruhy, jež mohou zvyšovat reálnou úroveň ochrany citlivých informací a současně nesnižovat produktivitu práce. První z nich se věnuje politikám a pravidlům. Ta by měla být jednoduchá, jasná a odpovídající praxi či realitě daného podniku. Zaměstnanci se v ideálním případě nesmějí dostávat do situací, s nimiž bezpečnostní pravidla a související technická řešení v jejich organizaci nepočítají.
Informatici by ve spolupráci s výkonnými manažery měli v organizaci nastolit rovnováhu mezi potřebami a možnostmi obou stran. Přehnaný důraz na zabezpečení nesmí omezovat rozvoj byznysu a naopak.
Třetí okruh se týká samotného technologického zajištění ochrany informací. V tomto případě autoři studie hovoří o potřebě robustní a mnohovrstvé bezpečnostní infrastruktury. Její úkol spočívá v ochraně, kontrole a monitorování podnikových dat bez ohledu na prostředí, lokalitu a zařízení.
PŘEDPLATNÉ
ČLÁNKY DO MAILU