Odborně-vzdělávací a zpravodajský portál z oblasti strojírenství a navazujících oborů
Články >> Bezpečnost firemních dat - část 5
Chcete dostávat MM Průmyslové spektrum ZDARMA až do Vaší schránky? Více informací zde.

Bezpečnost firemních dat - část 5

Tím, jak se výroba stává čím dál více sofistikovanější, dochází ke vzájemnému sdílení dat napříč všemi odděleními v rámci podniku. Potenciál úniku těchto citlivých firemních informací a zavlečení závadného obsahu do firmy, např. skrze webová rozhraní či e-mailovou korenspondenci, představují v současné době největší bezpečnostní riziko. Je třeba na tento fakt klást velký zřetel, a proto bychom vám rádi v průběhu následujících vydání přinášeli edukativní seriál o bezpečnosti firemních dat. Ta by totiž měla být vaší zásadní prioritou.

Jedním z nejvýznamnějších rizik, která souvisejí s únikem citlivých dat, jsou samotní zaměstnanci, kteří s nimi pracují. Když jsou navíc demotivovaní a nespokojení, pravděpodobnost incidentu rychle vzrůstá.

Odcházejí zaměstnanci, odcházejí data

Ve firmách všech odvětví i ve státních organizacích je možné pozorovat rostoucí trend v únicích dat z řad interních zaměstnanců. Kromě toho má však tento problém dalekosáhlejší dopady v rámci fungování firmy jako celku. O tomto faktu svědčí řada incidentů, které řešily organizace v našem regionu v poslední době.


Jako typický příklad lze uvést výrobní společnost z jižní Moravy, kterou po delší nespokojenosti a neshodách v kolektivu opustilo několik zaměstnanců. Tito zaměstnanci se díky dobrým vztahům na personálním oddělení dostali k informacím o nově nastupujících lidech do firmy, aktivně je kontaktovali a přemlouvali je, aby sem nenastoupili. Naštěstí pro firmu bývalí zaměstnanci své názory na společnost nemedializovali. I tak však tato utrpěla značné reputační ztráty a musela se vypořádat s výraznými komplikacemi při shánění nových lidí.

Již v minulých číslech seriálu jsme uváděli několik případů, kdy odcházející zaměstnanci s sebou odnesli důležité know-how společnosti a využili jej pro vlastní prospěch. Častokrát tak konali pro rozběh vlastního podnikání ve stejném oboru. Jiní pracovníci, zejména obchodníci, jsou zvyklí využít svých kontaktů na nové pracovní pozici.

Lidé jsou však ochotni jít v mnohých případech ještě dál. Nedávno jsme se setkali s případem obchodní firmy sídlící v Praze, která byla kontaktována zaměstnancem konkurence. Tento člověk oslovil přímo generálního ředitele společnosti a nabídl mu celou databázi kontaktů na zákazníky firmy, ve které aktuálně pracoval, za poplatek v řádu desítek tisíc korun. Pro obchod mají přitom tato data z hlediska konkurenční výhody mnohem vyšší cenu.

Jak udělat z nespokojených zaměstnanců spokojené?

Problémy s nespokojenými zaměstnanci ve firmách vycházejí většinou z obecnější roviny, jako je nedostatečná informační bezpečnost. Malá nebo žádná loajalita a motivace lidí, chyby v procesech přijímání a odchodu zaměstnanců a nedostatek informovanosti jsou nejčastějšími faktory, které vedou k incidentům popsaným výše.

První jmenovaný faktor vychází ze zavedené firemní kultury a naráží zejména na personální oblast fungování zaměstnanců ve firmě. Jelikož jde o komplexní otázku fungování firmy jako celku, nelze zde vyjmenovat všechna opatření, která mohou tuto oblast povznést. Na co je však třeba myslet prioritně, je zvýšení odpovědnosti jednotlivce za fungování firmy a motivace dosažení společných cílů firmy.

Důležitou oblastí je řízení cyklu fungování zaměstnance v organizaci. Nový zaměstnanec by měl být dostatečně prověřen, zaškolen a uveden do firemní kultury tak, aby měl možnost dobře zapadnout do kolektivu. Tímto způsobem si pak uvědomuje odpovědnost za data a firmu, pro kterou pracuje. Při změnách pracovní pozice by měla probíhat revize přístupových oprávnění a v momentě odchodu stávajícího člena firmy by měly být jasně dány kroky v postupném omezení uživatele a odebrání práv v informačních systémech organizace.

Školení zaměstnanců je důležitá oblast, která v téměř žádné z firem, jež potkáváme, není řešena dostatečně. Pokud zaměstnanci nejsou informováni o zavedených pravidlech a sankcích za jejich porušení, není možné očekávat, že je budou dodržovat. Tato pravidla jsou většinou zavedena ve směrnicích a dohodách se zaměstnanci. Smluvní ochrana o odpovědnosti a utajení informací je formální vrstva ochrany, která by neměla chybět v žádné firmě.

Co se týče technických prostředků, které mohou pomoci v ochraně firmy před následky incidentu nespokojeného zaměstnance, využívány jsou zejména monitorování rizik a trendů v chování uživatele a řízení přístupu. V praxi se lze zaměřit na indikativní ukazatele v chování uživatele a odhalit, že vzniká nové potenciální riziko. Jde totiž o stoupající tendenci: Většinou nespokojenému zaměstnanci postupně klesá produktivita a začíná vyhledávat jinou práci. Nakonec se zjistí, že začíná nahlížet do různých interních dokumentů a kopíruje nebo přeposílá si data. Pomocí monitorování je možné odhalit problémy již v prvních fázích.

Pro vynucení pravidel a ochranu citlivých dat organizace lze využít nástroje pro prevenci úniku dat (Data Loss Prevention). Tyto nástroje umožní řídit, jaká data mohou opustit organizaci, a jaká nikoliv – ať už jde o přenesení na externím zařízení, odeslání e-mailem nebo jakkoliv jinak.

Martin Moc

mmoc@webershandwick.cz

Safetica Technologies

Partnerem seriálu Bezpečnost firemních dat na stránkách MM Průmyslového spektra je společnost Safetica Technologies (www.safetica.cz), jejíž software dnes chrání firmy všech velikostí před následkem chyb jejich zaměstnanců i únikům citlivých informací.

Další články

Management a řízení
Informační technologie/E-business

Komentáře

Nebyly nalezeny žádné příspěvky

Sledujte nás na sociálních sítích: