Nagyot lendíthet a biztonságon a felhasználók oktatása

Az informatikusok zöme úgy gondolja, hogy a védelmi szabályokat nem követő felhasználók jelentik a legnagyobb kockázatot a biztonságra.
 

A Ponemon Institute az egyik nemrégen készített felmérése során arra volt kíváncsi, hogy napjainkban az emberi tényezők mennyiben befolyásolják a védelmi rendszerek hatékonyságát, és a biztonságtudatosság kérdéséhez milyen módon állnak hozzá a szervezetek. A kutatók több mint 700 informatikust kérdeztek arról, hogy miként vélekednek a felhasználók biztonságra gyakorolt hatásáról, és milyen módon igyekeznek csökkenteni a felmerülő kockázatokat.

A válaszadók 78 százalékának véleménye szerint azok az alkalmazottak jelentik a legnagyobb fenyegetést a végpontbiztonságra, akik szándékosan, hanyagságból vagy gondatlanságból nem követik a védelmi előírásokat. 63 százalékuk pedig azzal is egyetértett, hogy az otthonról vagy a szervezet határain kívülről dolgozó alkalmazottak jelentős mértékben növelik a kockázatokat. 

A felmérés kapcsán Chris Merritt, a Lumension igazgatója elmondta, hogy valójában számos oka lehet annak, hogy a felhasználók megszegik a biztonsági szabályokat. "A magam részéről nem mennék olyan messzire, hogy általánosságban kijelentsem azt, hogy az embereket nem érdekli a biztonság. Arra azonban rá kell mutatnom, hogy a szervezetek többsége nem végez jó munkát akkor, amikor segíteniük kellene az alkalmazottakat abban, hogy megértsék, miért is kell óvatosnak lenniük" - nyilatkozta a szakember. Minden vállalatnak meg kellene értenie, hogy az egyszeri képzés nem elégséges, és egy folyamatos tudatosságnövelésre lenne szükség, ami részben akár a vállalati kultúrát is megváltoztathatná. "Rendkívül fontos, hogy a szervezetek felismerjék azt, hogy a végfelhasználók jelentik az első védelmi vonalat" - tette hozzá a szakember.

Az emberi tényezők hatása azonban nem kizárólag a fentiekre korlátozódik. Merritt szerint ugyanis azt sem szabad figyelmen kívül hagyni, hogy az informatikai infrastruktúrákat is emberek hozzák létre és üzemeltetik azokat, ami a hibás konfigurálás, a nem megfelelően kitűzött célok, a tévedések, a hibák és a mulasztások lehetőségét is felveti. 

Tavaly az Enterprise Management Associates is rámutatott arra, hogy a cégek nem fordítanak kellő figyelmet a biztonságtudatosság fokozására. Egy akkori felmérés azt mutatta ki, hogy a megkérdezett 600 vállalati alkalmazott több mint fele semmiféle oktatásban nem részesült, így tulajdonképpen fogalmuk sem volt arról, hogy mit szabad és mit nem. Ráadásul az is kiderült, hogy a cégek 70 százaléka nem rendelkezik olyan felügyeleti és kontroll folyamatokkal, amelyek lehetővé tennék a biztonsági szabályok betartásának ellenőrzését. 

A problémákat az is tetézi, hogy napjainkban megannyi fenyegetettséggel kell szembenézni, és sok kockázati tényező felismerésére, kezelésére van szükség. A Ponemon tanulmánya szerint az esetek 80 százalékában webes kártevők okoznak gondot, de APT (Advanced Persistent Threats) fenyegetettségek, rootkitek és nulladik napi támadások is szép számmal akadnak. A sérülékenységek frontján a legtöbb fejtörést az Adobe Flash Player és az Adobe Acrobat (Reader) szoftverek jelentik, de a Java, valamint az olyan népszerű alkalmazások biztonsági rései is sok gondot okoznak, mint amilyen például a WinZip, a VLC vagy a VNC. 

Van remény!

Jó hír, hogy a megkérdezettek 68 százaléka egyre fontosabbnak tartja a végpontbiztonság megerősítését, és ennek megfelelően alakítja a biztonsági stratégiáját. Ha pedig a védelem nagyobb prioritást kap, megtörténik a korszerű biztonsági technológiák bevezetése, és az alkalmazottak tudatossága is növekszik, akkor az összességében pozitívan fog hatni a biztonságra. 

A biztonságtudatosság növelését szolgálja egyebek mellett a Biztonsági Hírmondó kiadványunk is.