Personel przynosi do sieci wirusy i inne niebezpieczne programy. Brak świadomości skutkuje infekowaniem systemu.
— Do tej pory bezpieczeństwo systemów informatycznych utożsamiano z ochroną systemu informatycznego przed niepowołanym dostępem z zewnątrz. Jednak niezwykle istotną sprawą jest zabezpieczenie firmy przed utratą czy przejęciem danych z wewnątrz firmy — mówi Sebastian Pietrzak, kierownik produktu w Matrix.pl.
Wybór sprzętu zabezpieczającego to nie wszystko. Potrzebni są informatycy, którzy potrafią zareagować na atak, a także przeszkolony personel. Ten jest bowiem najbardziej narażony na ataki z zewnątrz.
— Oprócz technologii oraz właściwie zaprojektowanych i wdrożonych zabezpieczeń potrzebna jest także edukacja i wysoki poziom świadomości użytkowników — dodaje Mariusz Stawowski, dyrektor działu usług profesjonalnych Clico.
— Najsłabszym ogniwem systemu bezpieczeństwa jest człowiek. Popularna w ostatnim czasie technika phishingu bazuje na nieświadomości i naiwności użytkowników poczty elektronicznej, którzy dają wiarę informacjom zawartym w wiadomościach e-mail i wykonują zasugerowane czynności (np. odwiedzają strony WWW, gdzie umieszczony został złośliwy kod). Użytkownicy narażają firmy na utratę poufnych informacji, np. podłączając swoje służbowe notebooki do nieznanych sieci czy też korzystając z różnych niebezpiecznych aplikacji. Przykładem mogą tu być uwielbiane przez użytkowników internetowe aplikacje P2P (np. Gadu-Gadu) — przekonuje Mariusz Stawowski.
Istotnym zagrożeniem w przypadku tych aplikacji są różnego rodzaju narzędzia wykorzystujące protokół P2P. Takie rozwiązania jak firewall czy IDS/IPS nie potrafią odróżnić, czy z tego protokołu korzysta program, czy takie narzędzie jak np. G@du-Ghost 2.0. Można je uruchomić w sieci wewnętrznej na dowolnym komputerze użytkownika, korzystając z dziur w przeglądarkach WWW czy poczty elektronicznej. Po uruchomieniu na innym komputerze można kopiować dokumenty do internetu.
O ile podstawowe rozwiązania zabezpieczające nie poradzą sobie z tym problemem, o tyle systemy zarządzające tożsamością użytkowników mogą się sprawdzić. Problemem jest tu nie tyle przydzielenie uprawnień poszczególnym pracownikom, ile stałe ich monitorowanie. W małej lub średniej firmie zatrudniającej kilkudziesięciu pracowników, zarządzanie tożsamością nawet ręczne nie musi stanowić problemu dla administratora sieci. Gorzej, gdy firma ma spory personel i obsługuje klientów, mających dostęp do pewnych danych.
— Systemy informatyczne nie tylko więc monitorują uprawnienia osoby na bieżąco, ale pozwalają również na ich automatyczne i czasowe przydzielanie na okres wykonywania konkretnego zadania. Jednym słowem, przyszłość zależy systemów zarządzania tożsamością i kontroli dostępu, które ułatwią pracę pracownikom i przede wszystkim pozwolą firmie „spać spokojnie” — wyjaśnia Sebastian Pietrzak.