HomeStiriSecuritate ITSecuritatea informatica la serviciu
sec

Securitatea informatica la serviciu

 

 

 

secLa serviciu, angajatii deschid uneori fisiere malitioase, stau in unele zile prea mult pe Facebook si nu sunt multumiti cand IT-istii le impun restrictii de tot felul.

 

Pentru companii nu e usor sa gaseasca un echilibru intre nevoia de a mentine sisteme informatice sigure si dorinta angajatilor de a se relaxa in scurtele pauze si de a-si folosi si terminalele personale cu care sunt obisnuiti. Despre sursa tensiunilor dintre IT-isti si ceilalti angajati, dar si despre de ce nu e bine ca Facebook sa fie interzis la locul de munca, puteti citi in articol.

De ce departamentul de IT este uneori dispretuit

Din pacate, in multe companii departamentul de IT nu este bine vazut, in unele cazuri fiind chiar dispretuit, desi fara IT-isti activitatea companiei ar fi imposibila. Cand ceva nu merge, IT-istii sunt printre primii invinuiti, cand totul merge “struna” ei rar sunt laudati. De foarte multe ori sunt vazuti ca oameni aroganti care traiesc printre cabluri si cearta angajatii, insa explicatia acestei stari de fapt tine de mai multe lucruri.

Antipatia dintre IT-isti si angajatii de la celelalte departamente ale unei mari companii se poate instala fara sa fie vina IT-istilor sau a altor angajati, ci pur si simplu pot sa fie responsabile procedurile birocratice instituite de management. Daca, spre exemplu, pentru repararea unui desktop cu probleme e nevoie de multe aprobari, angajatul va astepta mult pana la efectuarea reparatiei si va considera pe nedrept ca departamentul de IT e greoi ca actiune. Un angajat care vrea sa instaleze o aplicatie pe PC-ul din birou ar putea astepta cateva saptamani pana sa primeasca aprobarea oficiala si va fi frustrat ca nu poate, precum acasa, sa-si instaleze singur soft-ul.

Relatiile tensionate sunt intretinute si de faptul ca departamentul IT trebuie de multe ori sa spuna “NU” in fata cererilor venite din alte departamente, fie ca e vorba de dreptul de a instala anumite aplicatii sau de a face diverse improvizatii. IT-istii refuza multe solicitari fie din motive de securitate informatica, fie din motive financiare (compania nu vrea sa aloce in buget bani pentru aparatura IT scumpa).

In acest context, IT-istii sunt vazuti de multi angajatii ca fiind o bariera, iar cand apar probleme pe PC-uri, multi dintre angajati prefera sa incerce sa le rezolve singuri, cautand eventual sfaturi pe forum-uri. Bineinteles ca de multe ori aceste sfaturi nu sunt potrivite sau sunt de-a dreptul neinspirate.

Cea mai des auzita plangere este ca IT-istii nu lasa angajatii sa instaleze diverse programe, iar acest lucru creeaza animozitati fiindca angajatii ii considera prea stricti si uneori rau-intentionati. 

Mai grav, in multe cazuri managerii iau diverse decizii legate de computerele cumparate si de programele ce pot fi instalate, fara a cere macar un sfat de la IT-isti. Mai mult, sondajele au aratat ca cei din board-ul companiei nu se consulata cu departamentul de IT cand e vorba de implementarea unei noi platforme de cloud si in multe cazuri IT-isti sunt marginalizati si ca plasare “fizica” in sediul unei companii (la subsol sau intr-un colt indepartat al une hale).

Cateva moduri de a construi un departament bun de IT

Departamentul de IT isi poate schimba imaginea in interiorul unei companii, iar pentru asta este important sa existe un om care se pricepe atat la partea de informatica, insa si la interactiunea cu angajatii. Acea persoana (sau mai multe in firmele mai mari) are un rol esential in a explica angajatior importanta diverselor politici de IT. Tehnologia poate fi “umanizata” si explicata pe intelesul tuturor, astfel incat sa nu mai existe animozitati. Esential este ca IT-istii sa explice angajatilor care sunt principalele pericole informatice si in special cum sa fie vigilenti cand primesc e-mail-uri cu atasamente ce pot contine malware. Daca angajatii primesc aceste instructiuni, multe situatii neplacute pot fi evitate.

Un element esential este ca departamentul de IT sa primeasca resursele tehnice solicitate, fiindca fara aparatura de ultima ora activitatea nu s-ar putea desfasura eficient in interiorul companiei si nici situatiile de criza n-ar putea fi gestionate rapid.

Un alt lucru important este ca departamentul IT sa aiba un cuvant de spus si in deciziile de business ale companiei. Seful de departament ar putea participa la sedintele board-ului si parerile ar putea fi (macar) ascultate in legatura cu diversele planuri ce au impact si asupra infrastructurii informatice, opinia lui putand evita situatii neplacute in viitor.

Insa in foarte multe dintre cazuri disensiunile dintre IT-isti si ceilalti angajati pornesc de la faptul ca cei din urma vor sa foloseasca la serviciu terminalele personale fiindca se simt mai bine cu ele. Aceasta dorinta naste insa probleme de securitate, iar companiile trebuie sa gaseasca un echilibru intre nevoia de siguranta si dorinta angajatilor de a-si folosi gadget-urile.

BYOD – Cum pot angajatii sa-si foloseasca propriile terminale la serviciu

Masurile de securitate par sa nu fie niciodata suficiente cand este vorba despre data center-ul unei companii, angajatii sau clientii sai. In Romania, rata de adoptie a tendintelor BYOD (bring your own device) in mediul de lucru nu este inca semnificativa, dar are un potential imens in cresterea productivitatii si imbunatatirea aptitudinilor angajatilor, conform unui studiu CIO Council.

Mai mult de jumatate dintre companii abordeaza mobilitatea ad-hoc, in functie de dispozitiv, fara a avea o strategie sau politici de securitate bine definite, arata acelasi studiu. Cu toate acestea, adoptia tacita este semnificativa: 11% pentru telefoane inteligente si 21% pentru tablete.

Odata cu raspandirea telefoanelor mobile, a tabletelor si altor gadget-uri, BYOD devine o amenintare tot mai mare la adresa securitatii IT.

Prin mentinerea controlului securitatii si managementul terminalelor, specialistii IT pot raspunde riscurilor de securitate. Acest lucru este necesar pentru imbunatatirea productivitatii si agilitatii mediului enterprise.

Este nevoie de o combinatie de “unelte” care trebuie folosite corect. Iata cateva dintre ele:

Echipa tehnica trebuie sa realizeze un audit de securitate pentru a identifica vulnerabilitatile existente si a evalua potentialele riscuri. O eroare umana a unui angajat sau alte amenintari interne sunt printre cele mai des intalnite metode de a infiltra reteaua companiei. Urmeaza tehnicile de inginerie sociala dirijate catre angajati, pentru a le fura datele confidentiale. De aceea, companiile trebuie sa instruiasca angajatii cu privire la bunele practici de siguranta a datelor.

Pe cat de paranoic suna, departamentele de IT trebuie sa ia in calcul istoricul si comportamentul angajatilor. Multe dintre atacuri pornesc de la o persoana care a deschis un atasament malitios. Specialistii trebuie sa ia in considerare concedierea angajatilor vinovati si recuperarea datelor companiei de pe dispozitivul personal al angajatului.

De asemenea, este importanta securizarea retelei cu un firewall.  Angajatii vor deveni astfel mai constienti de riscurile la care sunt expusi, chiar si atunci cand sunt online in miscare sau conectati la reteaua de acasa.

Actualizarea tuturor soft-urilor si dispozitivelor si implementarea unei politici cu privire la configurarea parolelor este foarte importanta (parole de minim 8 caractere, unice si complexe, schimbate regulat).

In ceea ce priveste uneltele pe care departamentul IT le poate folosi, o solutie de management a securitatii dedicata mediului de business nu este o optiune, ci o necesitate. Departamentele IT trebuie sa instaleze si sa actualizeze o solutie certificata care sa consolideze controlul pentru terminale virtualizate, fizice si mobile.

Pe langa amenintarile de de tip APT si atacurilor de tip denial-of-service, masurile de securitate improprii sunt punctele slabe care pot distruge o reputatia si micsora veniturile unei companii. Consumerizarea domeniului IT si tendintele BYOD trebuie sa ii oblige pe sefii departementelor informatice sa revizuiasca ceea ce inseamna strategia de securitate in mediul de business.

Companiile nu ar trebui sa restrictioneze utilizarea dispozitivelor personale ale angajtilor, insa nu este recomandat sa fie prea permisive. O politica pentru email, internet si dispozitive mobile va ajuta lacrearea unui mediu mai sigur si la o satisfactie sporita a angajatilor.

Interzicerea Facebook la locul de munca – o idee care face mai mult rau decat bine

Unele companii sunt restrictive cand e vorba de dreptul angajatilor de a accesa retelele sociale de la locul de munca, iar un studiu din 2013 arata ca aproape o cincime din angajatii din SUA au interdictie cand e vorba de utilizarea Facebook de pe computerele de la job.

Procentul a mai scazut intre timp fiindca s-a ajuns la un consens in legatura cu interzicerea Facebook la munca: este mai bine sa nu fie aplicata, fiindca nu creste productivitatea angajatului si, mai rau, este si o dovada de neincredere.

Angajatii nu lucreaza efectiv tot programul si e normal sa mai ia scurte pauze de 10-15 minute. In acele pauze se mai deconecteaza si tot in acele mici intervale isi reincarca bateriile, lucru ce stimuleaza si productivitatea. In acele pauze unii stau la povesti cu colegii, iar altii prefera sa “arunce” o privire pe Facebook. Daca li s-ar lua aceasta posibilitate, angajatii se vor simti frustrati si nedreptatiti.

Angajatii tineri, atat de obisnuiti cu Facebook-ul, vor fi deranjati de o interdictie la munca si s-ar putea simti jigniti, mai ales ca foarte multi sunt constiinciosi, facandu-si treaba fara a fi presati. Daca unii angajati sunt neproductivi, nu Facebook este cauza, ci poate fi vorba de motivare sau de atmosfera ostila de la locul de munca.

In plus, argumentul decisiv tine de  faptul ca, si daca Facebook si alte retele sunt interzise pe computerul de la serviciu, angajatii pot gasi solutii care intr-adevar pot dauna productivitatii, cum ar fi statul pe Facebook pe smartphone, prin propria conexiune de date.

 

 

 

Share With: