Czy to głupota użytkowników skutkuje lukami w bezpieczeństwie?

2010-09-04 00:00:00 +0100


Temat niebotycznej głupoty pracowników nie będących informatykami powraca jak bumerang od początku komputeryzacji firm i urzędów. Informatyków drażni używanie nieautoryzowanych aplikacji, beztroskie instalowanie wirusów i używanie słabych haseł.

Legenda tępego "luzera" została wypromowana przez serię zabawnych historyjek o administratorze-BOFHu (Bastard Operator from Hell) napisanych w latach 90-tych przez, a jakże by inaczej, informatyka.

Przed popadnięciem w samouwielbienie, do którego informatycy mają szczególne predyspozycje, każdy z nas powinien sobie jednak zadać pytanie kto nam płaci pensję? Mam wrażenie, że szermowanie argumentem "głupiego pracownika" jest niekiedy formą usprawiedliwienia dla własnych braków w zakresie kompetencji społecznych (soft skills).

Otóż w przypadku wszystkich firm zadaniem informatyka jest ułatwianie życia działom biznesowym, bo to oni zarabiają na pensje całej firmy - w tym także informatyków. Pracownicy mają obowiązek znać się na tym, co robią i do poduszki czytać raczej żółte strony "Rzeczpospolitej" niż książki Bruce Schneiera.

Jeśli zatem w naszej firmie pracownicy nagminnie stosują złe hasła, instalują głupawe gry, które beztrosko pobierają z Internetu to jest to przede wszystkim wina działu bezpieczeństwa, który im na to pozwala. Kolejna teza może się wydać kontrowersyjna, ale dział bezpieczeństwa ponosi również częściową odpowiedzialność wtedy, gdy niektórzy pracownicy naruszają zasady z premedytacją - bo mogą.

Zadaniem osoby odpowiedzialnej za bezpieczeństwo IT w firmie jest
bowiem nie tylko rekonfiguracja firewalli czy wyłączanie LMHash w rejestrze Windows, ale także - a być może przede wszystkim - edukacja użytkowników i określanie zasad tego co można, a czego nie można robić ("acceptable use policy").

Istotnie, stereotypowy informatyk, o inteligencji emocjonalnejna poziomie Golluma, może mieć z tym problemy. Ale z drugiej strony to właśnie informatycy są osobami najczęściej chodzącymi po firmie i kontaktującymi się z różnymi działami. To świetne warunki do prowadzenia działań uświadamiajacych ("security awareness").

Edukacja - aby była skuteczna - musi obejmować obrazowe przykłady, co się stanie, jeśli firma straci kontrolę nad niedostatecznie chronionymi danymi osobowymi, informacją niejawną czy znalezione zostanie pirackie oprogramowanie. Użytkownicy, którzy mają pełną świadomość, że np. kontrola GIODO może mieć bezpośrednie przełożenie na ich pensje (a ściślej ich brak) będą o wiele bardziej skłonni do samokontroli.

Częstym argumentem jest brak jakiejkolwiek realnej władzy, który powoduje, że wszelkie zalecenia działu IT są natychmiast ignorowane. No i nie przypadkiem jednym z pierwszych zaleceń normy ISO 27002 jest "zaangażuj kierownictwo w bezpieczeństwo informacji". To znaczy: przekonaj dyrekcję, że bezpieczeństwo informacji nie jest fanaberią tylko chroni firmę przed stratami. I regularnie mu o tym przypominaj.

Bez wsparcia kierownictwa aktywność działu IT będzie wołaniem na puszczy. Jest to jednak o tyle łatwiejsze, że do osób na stanowiskach menedżerskich znacznie szybciej trafiają argumenty o możliwych konsekwencjach finansowych i prawnych - zwłaszcza, że dotkną one zwykle w pierwszej kolejności zarząd.

Podsumowując, zanim informatycy zaczną zaczną znowu żalić się na głupotę pracowników “biznesowych” powinni najpierw przypomnieć sobie kto im płaci pensję. Następnie powinno zrobić wszystko by przekonać zarząd, że on z kolei powinien zrobić wszystko aby tej pensji nie stracić i nie pójść siedzieć. Wtedy stosunkowo łatwe będzie uświadomienie szeregowym pracownikom jak należy postępować, by nie stracić pensji i pracy.