IT-biztonság: alábecslik az emberi veszélyt

A 2004 Ernst & Young Global Information Security Survey szerint a vállalatvezetők annak ellenére nem figyelnek kellően az alkalmazottak jelentette biztonsági kockázatokra, hogy egyre inkább tudatában vannak a probléma meglétével. A vállalatok számára ugyanis nemcsak a külső támadások jelentenek veszélyt, hanem a belső alkalmazottak esetleges információ-kiszivárogtatása vagy gondatlan magatartása is komoly fejfájást okozhat. Az 51 országra kiterjedően elvégzett felmérésben 1233 szervezetet kérdeztek meg, s ennek során úgy találták, hogy 70 százalékuk nem részesítette megfelelő képzésben alkalmazottait, illetve nem figyelmeztették őket kellően az információbiztonság témájában.

Mindössze a megkérdezettek 20 százaléka értett komolyan egyet azzal, hogy vállalatuk információbiztonsága magas szintű prioritást kell, hogy élvezzen. A kutatásban résztvevők alig negyede helyezte az információbiztonsági részleg működését a legfontosabb vállalati szükségletek közé. A probléma gyökere részben abban keresendő, hogy a cégek továbbra is a külső fenyegetésekben (például a vírusokban) látják a legnagyobb veszélyt, s a belső problémákat hajlamosak kevésbé fontosnak tartani. A vállalatvezetők előbb nyitják meg pénztárcáikat új tűzfalak és vírusvédelmi rendszerek megvásárlására, mintsem arra, hogy megfelelően felkészítsék alkalmazottaikat e tekintetben.

Pedig a belső veszély sokkal nagyobb károkkal járhat. Egy belső adatlopás például jóval nagyobb eséllyel marad észrevétlen, ezáltal a vezetés számára ismeretlen, mint egy hasonló, kívülről érkező próbálkozás. A megoldást az jelentheti, ha tudatosan létrehoznak egyfajta biztonságkultúrát a vállalaton belül, melynek alkalmazását a csúcsvezetés szintjén kezdik, véli az Ernst & Young.