bezpieczeństwo 05/05/2021Większość pracodawców poszukuje zagrożeń płynących do organizacji wyłącznie z zewnątrz zapominając o tych, które mogą wypłynąć wewnątrz niej. W niedawno opublikowanym przez nas artykule „Czynnik Ludzki- Największe Zagrożenia Dla Twojej Firmy” opisaliśmy jakie zagrożenia niosą ze sobą błędy i brak świadomości o cyberbezpieczeństwie pracowników, a także w jaki sposób je eliminować. Ale co jeśli „błędy” pracowników nie są spowodowane ich niewiedzą czy nieostrożnością tylko są celowym działaniem, które negatywnie wpływa na kondycję firmy ?Pracodawca powinien liczyć się z tym, że wewnątrz organizacji może pojawić się tzw. Insider czyli osoba, która posiada dostęp do poufnych informacji i w świadomy lub nieświadomy sposób nadużywa go, a działanie może wynikać z jego własnych przesłanek bądź hakerskiego szantażu. W dzisiejszym artykule przyjrzymy się celowym działaniom szkodzącym pracodawcom.Tego typu zagrożenia mogą wypływać m.in. od: Wewnętrznego Cyber Agenta, który został przekupiony przez konkurencję bądź/i cyberprzestępcę w celu przekazywania tajnych informacji i danych na temat firmy, ale także nieświadomego pracownika, który jest szantażowany przez cyberprzestępców. Niezadowolonego pracownika, który w wyniku konfliktu z pracodawcą i w akcie zemsty może zniszczyć dane lub przekazać je konkurencji bądź wykorzystać do negatywnego PR-u firmy.Pracownika, który dba wyłącznie o swoje interesy i wykorzystuje dane, aby uzyskać własne korzyści w postaci np. premii bądź awansu kosztem ujawniania tajemnic firmowych bądź wykorzystywania ich przeciwko innym pracownikom. W jaki sposób monitorować i unikać tego typu wewnętrznych zagrożeń? Zminimalizować dostęp do danych i przystosować dostępy i uprawnienia według zajmowanych stanowisk. Tj. każdy pracownik powinien mieć dostęp do tych informacji i oprogramowania, które są mu niezbędne do wykonywania pracy i żadnych innych.Utworzyć i wdrożyć jasną politykę bezpieczeństwa w której zostanie ujęta odpowiedzialność dyscyplinarna w przypadku nie stosowania się do niej.Utworzyć i zawrzeć z pracownikami umowy o poufności danych, które będą zabezpieczać przed nieuczciwą konkurencją. Stosować szyfrowanie danych, które uniemożliwi ich odtworzenie poza siecią. Zablokować dostęp do stron, które umożliwiają przesyłanie danych i wprowadzić jednolitą politykę udostępniania danych podmiotom zewnętrznym np. wyłącznie przy pomocy firmowej poczty bądź chmury.Zablokować dostęp do prywatnych skrzynek mailowych i pozostawić możliwość korzystania wyłącznie z firmowej skrzynki pocztowej.Zablokować dostęp do podłączania nośników informacji – umożliwić dostęp tylko firmowym, przydzielonym pracownikowi nośnikom. Stosować oprogramowania typu DLP, które monitorują poufne dane, a w sytuacji zagrożenia zaawansowane algorytmy umożliwiają ich ochronę. Stosować program do kontroli czasu pracy przy komputerze, który poza swoim głównym zadaniem, może wskazać nieuzgodnioną aktywność pracownika poza godzinami pracy i nakierować przełożonego do sprawdzenia jego nietypowego zachowania. Dbać o dobre i uczciwe relacje z pracownikami i czystą atmosferę w miejscu pracy, które pozwolą uniknąć złośliwych zachowań pracowników. Dokonywać regularnych kopii zapasowych danych- najlepiej poza lokalizacją firmy, a także sprawdzać możliwość i czas ich odtworzenia. Dzięki nieustającej cyfryzacji zakres jakim objęte jest już szerokorozumiane cyberbezpieczeństwo wciąż się rozrasta. Wraz z nowymi rozwiązaniami i technologiami przychodzą nowe zagrożenia i wektory ataków, a pracodawcy muszą włożyć dużo wysiłku, aby je wszystkie skutecznie odepchnąć, zarówno te pojawiające się z zewnątrz jak i wewnątrz organizacji. Mimo zastosowania wszelkich zabezpieczeń, nie zawsze uda się uchronić firmę przed działaniem nieuczciwego pracownika, który może spróbować również wynieść dane w formie papierowej czy jako zdjęcie lub nagranie w telefonie, jednak walka z cyberprzestępcami to minimalizowanie ryzyka i im bardziej utrudnimy im drogę do oszustwa tym większa szansa, że nie padniemy ich atakom. Chcesz sprawdzić czy Twoje procesy i działania są prowadzone prawidłowo i Twoja firma czy organizacja jest bezpieczna? Zapoznaj się z naszą ofertą audytu.Zobacz także:Bezpieczeństwo IT w firmie – czytaj więcej Audyt IT – czytaj więcej Outsourcing IT Warszawa- czytaj więcej Monitoring dla firm
