W dobie komputeryzacji coraz więcej procesów biznesowych i działań operacyjnych opiera się na systemach IT. Tylko w zeszłym roku około 32% respondentów badania przeprowadzonego przez B2B International i Kaspersky Lab musiało zmierzyć się z wyciekiem danych wynikającym z zaniedbań pracowników. Incydenty o charakterze celowym odnotowało aż 18% firm. Dlatego też kluczowe staje się posiadanie rozwiązań, gwarantujących pełną ochronę. Mogą ją zapewnić nie tylko programy antywirusowe, ale i oprogramowanie do monitorowania aktywności pracowników na komputerach.
Specjalne oprogramowanie pozwoli monitorować ruch na komputerach, nieautoryzowane czynności, podłączanie przenośnych dysków czy też legalność instalowanego oprogramowania. Zabezpieczy nie tylko zasoby IT, ale także reputację firmy, własność intelektualną pracowników i prywatność klientów. Większość pracodawców postrzega monitorowanie jako sposób na podniesienie wydajności pracy. Natomiast pracownicy boją się kontroli i traktują ją jako jedną z metod inwigilacji. Stąd też wzięło się potoczne określenie roli oprogramowania monitorującego, jako narzędzia do szpiegowania pracowników. Jednak czy na pewno chodzi tu o podglądanie? Wnikliwe kontrolowanie poczynań podwładnych i poprawa wskaźników wykorzystania powierzonego im sprzętu i oprogramowania nie zawsze przekładają się na lepsze wyniki, realizację celów i tym samym sukces firmy. Zdarza się, że przy okazji cierpią relacje, wzajemne zaufanie, atmosfera czy kreatywność. Wszystko zależy od tego, w jaki sposób pracownicy zostaną poinformowani o kwestiach związanych z monitorowaniem urządzeń, na których pracują.
Oprogramowanie do monitorowania pracowników może pomóc poprawić wydajność pracy, nigdy jednak nie zastąpi skutecznego zarządzania przez cele, a nie przez czas, który pracownicy mają spędzić, aktywnie korzystając z komputera. Z punktu widzenia działów IT wydajność pracowników nie ma jednak takiego znaczenia – dla osób odpowiedzialnych za infrastrukturę teleinformatyczną, w firmie najważniejszym aspektem takiego monitoringu jest aspekt bezpieczeństwa IT oraz możliwość ograniczenia tych – często nieumyślnych – działań pracowników, które mogą mu zagrozić.
Wdrażając monitorowanie pracowników w organizacji należy pamiętać, że sama kontrola nie wystarczy. Nie chodzi nam przecież o to, żeby jedynie dowiadywać się wstecz, co się wydarzyło, analizować to i wyciągać konsekwencje. Przede wszystkim chcemy przecież zapobiegać zagrożeniom: przeciwdziałać, a nie leczyć. Zadbajmy więc o odpowiednie przeszkolenie pracowników w zakresie zasad i reguł polityki bezpieczeństwa firmy, ochrony danych, regulaminu IT itp. Zapewnijmy im stały dostęp do dokumentów zawierających powyższe wytyczne. Odpowiadajmy na pytania, rozwiewajmy wątpliwości i udzielajmy rad, jak na co dzień spełniać założenia regulaminów bezpieczeństwa. Bez takiego przygotowania, samo monitorowanie po prostu nie ma sensu – tłumaczy Grzegorz Oleksy, dyrektor firmy Axence, oferującej oprogramowanie nVision do monitorowania bezpieczeństwa sieci firmowej.
Eksperymenty przeprowadzone w firmach pokazują, że samo przekazanie pracownikom informacji o tym, że będą monitorowani działa bardzo mobilizująco – przerwy w pracy są krótsze, spada ilość wydruków, mniej osób w czasie pracy korzysta z portali społecznościowych i załatwia prywatne sprawy. Jedynie w uzasadnionych przypadkach, gdy np. zachodzi podejrzenie wystąpienia incydentu zagrażającego bezpieczeństwu czy też dobremu imieniu firmy, warto szczegółowo przeanalizować dane z monitorowania, czy nawet skorzystać z takich opcji jak cykliczne zrzuty ekranowe – w skrajnej sytuacji umożliwi to skuteczne zgromadzenie dowodów elektronicznych.
Firmy gromadzą coraz większe ilości danych przy jednoczesnej dywersyfikacji urządzeń, na których dane te są przetwarzane. Zagwarantowanie bezpieczeństwa poufnych informacji w tak zmiennym i wymagającym otoczeniu stanowi jedno z kluczowych wyzwań współczesnej legislacji. Jako przeciętni użytkownicy cyfrowego świata nie zawsze jesteśmy świadomi jego zagrożeń, dlatego edukacja w tym obszarze wydaje się być niezbędna. W kontekście wrażliwych, poufnych danych istotna jest także edukacja w kwestiach prawnych, ponieważ ich bezpieczne przetwarzanie stanowi nie tylko szczególne wyzwanie, ale również zobowiązanie.
Niestety wciąż wiele firm uważa, że inwestowanie w zaawansowane rozwiązania technologiczne gwarantuje wystarczające zabezpieczenie. Jednak nie wolno zapominać, iż strategia ochrony powinna uwzględniać techniczne zabezpieczenia, pełną informację o procedurach oraz fizyczne bezpieczeństwo. Ryzyko dla danych znajdujących się w systemie informatycznym wynika z zagrożeń prowadzących z różnych źródeł – mogą to być świadome lub też zupełnie nieintencjonalne błędy użytkowników czy cyberataki. Jeżeli napastnik uzyska nieautoryzowany dostęp do systemu, może zakłócać usługi, przerywać działanie systemu, a także zmienić, usunąć albo po prostu wykraść cenne informacje – mówi Grzegorz Oleksy.
Firmy zaczynają rozumieć, że czyha na nie bardzo dużo poważnych zagrożeń takich jak sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS, DDoS, SQL Injection, ARP Cache Poisoning, Password Guess. Zagrożenia te mogą doprowadzić do naruszenia zasad postępowania lub – co gorsza – popełnienia przestępstwa. Równie nieprzyjemną konsekwencją jest spadek wiarygodności, a co za tym idzie utrata klientów i straty finansowe.
Wbrew powszechnemu stereotypowi o zagrożeniach wywołanych atakiem hakerów, większe straty związane są z wewnętrznymi zaniedbaniami firmy i tzw. czynnikiem ludzkim. Ubiegłoroczny raport Fortinet wykazał, iż o 42% wzrosła liczba osób gotowych złamać korporacyjne zasady korzystania z własnych urządzeń w miejscu pracy, w porównaniu do badań z roku 2012. W obliczu zwiększonej mobilności pracowników oraz popularyzacji trendu pracy na prywatnych urządzeniach, przedsiębiorstwa powinny przywiązywać większe znaczenie do stosowania zabezpieczeń w zakresie infrastruktury, także technologicznej, ponieważ utrata ciągłości operacyjnej może wiązać się nawet z utratą klientów i pozycji na rynku.
Należy mieć świadomość, że czasem na pozór błahe sprawy mogą przyjąć bardzo nieoczekiwany obrót. Jeden nieprzemyślany ruch, źle zapisane pliki, zagubiony dysk przenośny pełen danych mogą prowadzić do gigantycznych konsekwencji. Zgodnie z art. 51 ustawy o ochronie danych osobowych administratorzy danych, którzy udostępniają lub umożliwiają dostęp do nich osobom nieupoważnionym podlegają grzywnie, karze ograniczenia wolności lub pozbawienia wolności do lat dwóch. Zatem konsekwencje mogą być gigantyczne, a przecież nie było to działanie celowe. Dlatego ważne jest zarówno monitorowanie tego, co dzieje się z danymi, jak również i samo przeszkolenie pracowników – dodaje Oleksy.
Do obowiązków firmy należy nie tylko zadbanie o bezpieczeństwo infrastruktury systemów informatycznych, co stanowi odpowiedzialność działów IT, ale również opracowanie i wdrożenie procedur związanych z polityką bezpieczeństwa informacji, która reguluje sposób zarządzania, ochrony i dystrybucji informacji stanowiących dane osobowe.
Kolejnym niezwykle ważnym aspektem związanym z bezpieczeństwem jest również kwestia reputacji. Jak wykazano w 2013 roku w badaniach Deloitte, aż 70% przedstawicieli małych firm nie wierzy lub nie wie, że naruszenie bezpieczeństwa danych spowoduje skutki finansowe lub negatywnie wpłynie na wiarygodność ich biznesu.
Dla firm zabezpieczenie się przed krytycznymi sytuacjami ma wiele oczywistych korzyści, takich jak chociażby sprawne funkcjonowanie, czy brak konieczności ponoszenia dodatkowych kosztów związanych z utratą danych. Stosowanie oprogramowania monitorującego nie tylko ochroni firmę przed nieprzyjemnymi konsekwencjami, ale także daje klientom gwarancję, że ich dane są chronione na wiele sposobów, co może stać się wyróżnikiem danej firmy na rynku i wpłynąć na przewagę konkurencyjną. Istotne jest tylko, by zakres oraz metody kontroli były adekwatne do celu, jaki pracodawca chce osiągnąć. Cel ten musi też być racjonalny do wytłumaczenia. Zatem pracodawca może podejmować jedynie takie środki, które mają powodować zwiększenie efektywności swoich podwładnych oraz zapewnienie bezpieczeństwa firmowych danych, a nie gromadzenie prywatnych danych pracowników, bezustanne podglądanie podwładnych, czy późniejsze ich szykanowanie.
Autor – Magdalena Wymazała