Problémy s nespokojenými zaměstnanci ve firmách vycházejí většinou z obecnější roviny, jako je nedostatečná informační bezpečnost. Malá nebo žádná loajalita a motivace lidí, chyby v procesech přijímání a odchodu zaměstnanců a nedostatek informovanosti jsou nejčastějšími faktory, které vedou k incidentům popsaným výše.
První jmenovaný faktor vychází ze zavedené firemní kultury a naráží zejména na personální oblast fungování zaměstnanců ve firmě. Jelikož jde o komplexní otázku fungování firmy jako celku, nelze zde vyjmenovat všechna opatření, která mohou tuto oblast povznést. Na co je však třeba myslet prioritně, je zvýšení odpovědnosti jednotlivce za fungování firmy a motivace dosažení společných cílů firmy.
Důležitou oblastí je řízení cyklu fungování zaměstnance v organizaci. Nový zaměstnanec by měl být dostatečně prověřen, zaškolen a uveden do firemní kultury tak, aby měl možnost dobře zapadnout do kolektivu. Tímto způsobem si pak uvědomuje odpovědnost za data a firmu, pro kterou pracuje. Při změnách pracovní pozice by měla probíhat revize přístupových oprávnění a v momentě odchodu stávajícího člena firmy by měly být jasně dány kroky v postupném omezení uživatele a odebrání práv v informačních systémech organizace.
Školení zaměstnanců je důležitá oblast, která v téměř žádné z firem, jež potkáváme, není řešena dostatečně. Pokud zaměstnanci nejsou informováni o zavedených pravidlech a sankcích za jejich porušení, není možné očekávat, že je budou dodržovat. Tato pravidla jsou většinou zavedena ve směrnicích a dohodách se zaměstnanci. Smluvní ochrana o odpovědnosti a utajení informací je formální vrstva ochrany, která by neměla chybět v žádné firmě.
Co se týče technických prostředků, které mohou pomoci v ochraně firmy před následky incidentu nespokojeného zaměstnance, využívány jsou zejména monitorování rizik a trendů v chování uživatele a řízení přístupu. V praxi se lze zaměřit na indikativní ukazatele v chování uživatele a odhalit, že vzniká nové potenciální riziko. Jde totiž o stoupající tendenci: Většinou nespokojenému zaměstnanci postupně klesá produktivita a začíná vyhledávat jinou práci. Nakonec se zjistí, že začíná nahlížet do různých interních dokumentů a kopíruje nebo přeposílá si data. Pomocí monitorování je možné odhalit problémy již v prvních fázích.
Pro vynucení pravidel a ochranu citlivých dat organizace lze využít nástroje pro prevenci úniku dat (Data Loss Prevention). Tyto nástroje umožní řídit, jaká data mohou opustit organizaci, a jaká nikoliv – ať už jde o přenesení na externím zařízení, odeslání e-mailem nebo jakkoliv jinak.
Martin Moc
mmoc@webershandwick.cz
Safetica Technologies
Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.