Μείωση των επιπτώσεων των κακόβουλων εσωτερικών χρηστών Μη τεχνολογικά
Αυτός είναι ένας κόσμος που καθοδηγείται από τους υπολογιστές. Η τεχνολογία βελτιώνεται μέρα με τη μέρα. Σήμερα κάθε οργανισμός χρησιμοποιεί υπολογιστές για να λειτουργήσει. Οι υπολογιστές και το διαδίκτυο είναι οι καλύτεροι φίλοι του ανθρώπου. Ωστόσο, αν χρησιμοποιούνται με ανήθικο τρόπο δεν θα αργήσουν να μετατραπούν σε πολύ κακούς εχθρούς. Κάθε οργανισμός μπορεί να αντιμετωπίσει μια απειλή για την ασφάλεια των δεδομένων. Η απειλή αυτή μπορεί να προέρχεται είτε από το εσωτερικό είτε από το εξωτερικό. Απαιτούνται διαφορετικοί τρόποι για την αντιμετώπιση αυτών των παραγόντων. Οι εσωτερικές απειλές είναι πιο επικίνδυνες από τις εξωτερικές απειλές. Καθώς διαβάζετε παρακάτω θα καταλάβετε γιατί συμβαίνει αυτό.
Τι συνιστά εσωτερική απειλή;
Όπως υποδηλώνει το όνομα, η εσωτερική απειλή προέρχεται από το εσωτερικό του οργανισμού. Κάθε άτομο που εργάζεται στον οργανισμό μπορεί να γίνει απειλή ανά πάσα στιγμή. Εξαρτάται από τις περιστάσεις. Οι εσωτερικοί υπάλληλοι υποτίθεται ότι είναι πιστοί στους οργανισμούς στους οποίους εργάζονται. Αυτό ισχύει στην πλειονότητα των περιπτώσεων. Ωστόσο, υπάρχουν και εξαιρέσεις. Οι άνθρωποι αυτοί αναπτύσσουν κακόβουλες προθέσεις. Αυτό μεταφέρει την έννοια ότι οι εν λόγω εσωτερικοί συνεργάτες αναπτύσσουν κάποιου είδους κακή πρόθεση εναντίον του οργανισμού και εργάζονται με σκοπό να σχεδιάσουν την πτώση του οργανισμού. Αυτό είναι κάτι πολύ επικίνδυνο που πρέπει να σημειωθεί.
Υπάρχουν επίσης πιθανότητες να υπάρχουν και μη κακόβουλες προθέσεις. Τα λάθη που προκαλούνται λόγω μη κακόβουλων προθέσεων βλάπτουν επίσης τον οργανισμό. Τέτοια λάθη μπορεί να συμβούν λόγω πίεσης και άγχους. Συνήθως τέτοια λάθη συμβαίνουν τις Παρασκευές ή τις Δευτέρες. Ο άνθρωπος δεν είναι ένα τέλειο ζώο. Μπορεί να κάνει λάθη, αλλά αν δεν υπάρχει κακόβουλη πρόθεση πίσω από τα λάθη, αυτά συγχωρούνται πάντα. Οι κακόβουλοι εσωτερικοί συνεργάτες είναι αυτοί που πρέπει να προσέχει κανείς. Έχουν τη δυνατότητα να βλάψουν τον οργανισμό με πολλούς τρόπους.
Ποιοι είναι αυτοί οι κακόβουλοι εσωτερικοί συνεργάτες; Πώς τους καταπολεμάτε;
Ιστορικά, οι κακόβουλοι εμπιστευτικοί υπάλληλοι είναι συνήθως μεταξύ των καλύτερων υπαλλήλων σε κάποια χρονική στιγμή. Είναι αυτοί που έχουν επαρκή γνώση των συστημάτων και γνωρίζουν πώς να αντιμετωπίζουν τα προβληματικά ζητήματα. Στην πραγματικότητα, ενεργούν ως υπεύθυνοι για την αντιμετώπιση προβλημάτων πολλές φορές. Έχουν εξουσιοδοτημένη πρόσβαση στα εσωτερικά συστήματα και έχουν την ικανότητα να προκαλούν ζημιές. Είναι πολύ δύσκολο να μάθουμε τι λειτουργεί μέσα στο μυαλό ενός ατόμου. Κανένας υπολογιστής σε αυτόν τον κόσμο δεν μπορεί να ανιχνεύσει αυτό το μυστικό. Συνήθως, ένας οργανισμός ελέγχει τα διαπιστευτήρια ενός ατόμου πριν του αναθέσει μια συγκεκριμένη αρμοδιότητα. Ωστόσο, υπάρχουν φορές ακόμη και όταν το άτομο με το ισχυρότερο δείκτη ακεραιότητας γίνεται επίσης αδύναμο.
Αυτό μπορεί να οδηγήσει στη δέσμευση ορισμένων δραστηριοτήτων που μπορεί να αντιβαίνουν στα συμφέροντα του οργανισμού. Αυτός είναι ο λόγος για τον οποίο οι οργανισμοί επιλέγουν τη διαδικασία ελέγχων και ισορροπιών σε κάθε στάδιο κάθε διαδικασίας. Τέτοιοι έλεγχοι και ισορροπίες μπορούν να φιλτράρουν άτομα με κακόβουλες προθέσεις. Έρευνα σχετικά με αυτή τη δραστηριότητα και τα ευρήματά της: Η κακόβουλη εσωτερική δραστηριότητα είναι ένα καλά διερευνημένο θέμα. Τα ευρήματα είναι εκεί για να τα δει ο καθένας. Πολλοί οργανισμοί έχουν διεξάγει εκτεταμένη έρευνα επί του θέματος. Το Ινστιτούτο Carnegie Mellon είναι ένας τέτοιος οργανισμός που έχει κάνει πρωτοποριακή έρευνα στον τομέα αυτό. Τα ιστορικά δεδομένα αποτελούν τη βάση αυτών των ευρημάτων.
Ωστόσο, η έρευνα κατέδειξε σαφώς τις τάσεις και τα συμπεράσματα είναι τα ακόλουθα. Υπάρχει ένα πανάρχαιο ρητό, το οποίο έχει ως εξής. Ο κλέφτης είναι κλέφτης μόνο αν τον πιάσουν. Πολλές περιπτώσεις παραμένουν απαρατήρητες. Οι περιπτώσεις που εντοπίζονται αποτελούν τη βάση αυτών των συμπερασμάτων. Στατιστικά αυτά είναι τα ευρήματα.
Το ένα τρίτο των εργαζομένων θα προσπαθήσει να κλέψει μόνο αν πιστεύει ότι μπορεί να τη γλιτώσει.
Το ένα τρίτο θα κλέψει ακόμη και σε αντίθετη περίπτωση.
Το υπόλοιπο ένα τρίτο δεν θα μπει ποτέ στον πειρασμό να κλέψει.
Από την παραπάνω ανάλυση προκύπτει ότι σε οποιονδήποτε οργανισμό θα μπορέσετε να βρείτε τα δύο τρίτα του συνόλου των εργαζομένων που μπορούν να χαρακτηριστούν ως έχοντες θολή ακεραιότητα. Ένα ακόμη γεγονός που έχει γίνει αντιληπτό είναι ότι από τον συνολικό αριθμό των εντοπισμένων κακόβουλων πράξεων, οι εσωτερικοί συνεργάτες αντιπροσωπεύουν περίπου τα δύο τρίτα των περιπτώσεων.
Μαχητικές μέθοδοι που υιοθετούνται από τους οργανισμούς: Κάθε οργανισμός έχει τις δικές του μεθόδους ελέγχου μιας τέτοιας συμπεριφοράς. Οι ίδιες οι έρευνες σε αυτό το αρχικό στάδιο εντοπίζουν συνήθως περισσότερα από τα τρία τέταρτα της δραστηριότητας κακόβουλης πρόθεσης. Σε αυτές τις περιπτώσεις, η ανίχνευση της κακόβουλης δραστηριότητας πραγματοποιείται πριν από οποιαδήποτε ζημία που προκαλείται στον οργανισμό. Πολλές φορές, τα μέτρα αυτά είναι ανεπαρκή. Υπό αυτές τις συνθήκες η απώλεια γίνεται απτή.
Πώς εντοπίζετε την κακόβουλη πρόθεση ενός εσωτερικού χρήστη;
Αυτό είναι πολύ δύσκολο να εντοπιστεί. Τα άτομα με κακόβουλη πρόθεση συμπεριφέρονται με τον πιο φυσιολογικό τρόπο. Ωστόσο, υπάρχουν ορισμένοι μηχανισμοί που επιδεικνύουν αυτά τα άτομα και οι οποίοι απαιτούν παρακολούθηση σε συχνά διαστήματα. Συνήθως συμπεριφέρονται με τον ίδιο τρόπο με τον οποίο συμπεριφέρονται άτομα με μη κακόβουλες προθέσεις. Ως εκ τούτου, ο χειρισμός του θέματος θα πρέπει να γίνεται κατά περίπτωση. Αυτό μπορεί να προκαλέσει την καταδίωξη ενός αθώου ατόμου χωρίς λόγο και αιτία. Ένα τέτοιο άτομο μπορεί αργότερα να έχει κακόβουλη πρόθεση εναντίον του οργανισμού.
Ένα σημάδι όπου μπορείτε να εντοπίσετε κακόβουλη πρόθεση είναι ο σπάταλος τρόπος δαπανών ορισμένων εργαζομένων. Σε περίπτωση που διαπιστώσετε ότι ένας υπάλληλος ξοδεύει πολύ περισσότερα από τα συνηθισμένα του μέσα, αυτό αποτελεί αιτία συναγερμού. Αυτό σημαίνει ότι πρέπει να είστε σε επιφυλακή. Ορισμένοι εργαζόμενοι αναπτύσσουν κακόβουλη πρόθεση όταν αισθάνονται ότι θέλουν να εγκαταλείψουν τους οργανισμούς. Οι δραστηριότητες αυτών των εργαζομένων χρειάζονται αυστηρή παρακολούθηση. Τα άτομα αυτά μειώνουν τους διαύλους επικοινωνίας τους με τους άλλους όσον αφορά την εργασία. Τέτοια χαρακτηριστικά απαιτούν προσεκτική παρακολούθηση. Είναι γεγονός ότι τα άτομα με κακόβουλη πρόθεση δεν παίρνουν διακοπές. Ως εκ τούτου, οι οργανισμοί πρέπει να πατάξουν τέτοιες δραστηριότητες και να αναγκάσουν τους υπαλλήλους να πάνε σε άδεια τουλάχιστον για ένα δεκαπενθήμερο κατά τη διάρκεια του έτους. Μπορεί να ελέγξει τα άτομα που δεν έχουν κάνει χρήση της άδειας για μεγάλο χρονικό διάστημα.
Ποια μέτρα πρέπει να λάβει η διοίκηση κατά των κακόβουλων εσωτερικών προσώπων; Τώρα θα υποθέσουμε το ακόλουθο σενάριο. Ας υποθέσουμε ότι είστε ο διευθύνων σύμβουλος μιας εταιρικής οντότητας ας πούμε Χ. Η εταιρεία έχει εκατοντάδες υπαλλήλους στους καταλόγους της. Μεταξύ αυτών περιλαμβάνονται άτομα σε υψηλόβαθμα ανώτερα στελέχη. Το εργατικό προσωπικό περιλαμβάνει επίσης χαμηλόβαθμους υπαλλήλους και πωλητές και άλλο κατώτερο προσωπικό. Τα τέσσερα τρίμηνα του έτους έχουν σημειωθεί οι ακόλουθες περιπτώσεις παραβατικότητας. Πρώτο τρίμηνο: Από την έρευνα προκύπτουν οκτώ περιπτώσεις κατάχρησης κωδικού πρόσβασης. Οι έρευνες έδειξαν πρόσβαση σε εσωτερικά δεδομένα από εξωτερικά συστήματα. Σε ερωτήσεις, τα ενδιαφερόμενα μέλη του προσωπικού προσποιήθηκαν άγνοια.
Η υποψία κωδικού πρόσβασης και η κλοπή ήταν οι λόγοι που αναφέρθηκαν για τα περιστατικά αυτά. Η διατήρηση της μυστικότητας του κωδικού πρόσβασης υπό οποιεσδήποτε συνθήκες ήταν η κεντρική ιδέα της εκπαίδευσής τους. Η εταιρεία δεν έλαβε κανένα μέτρο κατά των παραβατών υπαλλήλων. Ερώτηση: Θα κάνατε το ίδιο; Τρίμηνο 2: Η ομάδα έρευνας εντόπισε τέσσερις περιπτώσεις αποθήκευσης εσωτερικών δεδομένων σε εξωτερικές συσκευές αποθήκευσης, όπως ένας δημόσιος διακομιστής cloud. Τα μέλη διευκρίνισαν ότι το έκαναν για να έχουν πρόσβαση από το σπίτι. Η εργασία έπρεπε να ολοκληρωθεί εγκαίρως. Το τμήμα πληροφορικής διευκρίνισε κατηγορηματικά ότι αυτό ήταν ενάντια στους κανόνες. Η εταιρεία επέπληξε τα μέλη του προσωπικού με την προειδοποίηση ότι το επίπεδο ανοχής τέτοιων περιπτώσεων θα είναι "μηδενικό" στο μέλλον.
Είχαν τη δυνατότητα να ζητήσουν από το τμήμα πληροφορικής να τους χορηγήσει πρόσβαση και το διοικητικό συμβούλιο της εταιρείας θα έπαιρνε απόφαση. Ερώτηση: Ποια είναι η αντίδρασή σας σε αυτό; Τρίμηνο 3: Οι έρευνες αποκάλυψαν ότι ορισμένα μέλη του προσωπικού εμπλέκονταν σε προσωπικές υποθέσεις. Τα περιστατικά αυτά ήρθαν στην επιφάνεια κατά τη διάρκεια μιας άλλης άσχετης έρευνας. Η διοίκηση αποφάσισε ότι τα θέματα αυτά δεν εμπίπτουν στην αρμοδιότητα των ομάδων έρευνας. Ωστόσο, οι υποθέσεις αυτές ήταν σε γνώση του Τμήματος Ανθρώπινου Δυναμικού. Χωρίς να εμβαθύνει στο θέμα, το Τμήμα Ανθρώπινου Δυναμικού κατέστησε σαφές ότι η εταιρεία δεν θα ανεχθεί τέτοιες περιπτώσεις. Ερώτηση: Ποιες είναι οι αντιδράσεις σας σε αυτή την υπόθεση; Τρίμηνο 4: Πρόκειται για μια υπόθεση που αφορά ένα υψηλόβαθμο στέλεχος. Είχε παραιτηθεί από τον οργανισμό κατά τη διάρκεια του τρίτου τριμήνου μετά τη σχέση του με ένα στέλεχος πωλήσεων. Και εκείνη παραιτήθηκε από τον οργανισμό. Και οι δύο έχουν ιδρύσει μια νέα εταιρεία. Η εταιρεία αυτή είναι άμεσος ανταγωνιστής της δικής σας. Διαπιστώνετε ότι περισσότερο από το 20% των υφιστάμενων εργασιών σας έχει μεταφερθεί στη νέα εταιρεία μέσα σε αυτό το σύντομο χρονικό διάστημα.
Άλλο ένα 20% βρίσκεται στο δρόμο της εξόδου. Πρόκειται για μια ξεκάθαρη περίπτωση κακόβουλης εσωτερικής δραστηριότητας. Ερώτηση: Ποιο θα ήταν το σχέδιο δράσης σας σε ένα τέτοιο σενάριο; Και οι τέσσερις περιπτώσεις που αναφέρθηκαν παραπάνω δίνουν την ευκαιρία για κλοπή δεδομένων. Με περαιτέρω έρευνες, ενδέχεται να προκύψουν και ορισμένα άλλα σημεία. Προκύπτουν ορισμένα κοινά στοιχεία. Εάν συμβαίνει κάτι τέτοιο, οι δραστηριότητες αυτές απαιτούν βαθύτερη διερεύνηση. Διαφορετικά, δείτε πώς πρέπει να αντιμετωπίσετε το θέμα. Τρίμηνο 1: Η διατήρηση της μυστικότητας του κωδικού πρόσβασης είναι μια πολύ σημαντική πτυχή στο σημερινό σενάριο. Δεν θα πρέπει να υπάρξει κανένας συμβιβασμός σε αυτή την πτυχή. Θα πρέπει να συμβουλεύσετε τα μέλη να είναι πιο προσεκτικά στο μέλλον. Μπορείτε να αποφύγετε περαιτέρω παραπτώματα, παρακολουθώντας αυτούς τους υπαλλήλους. Τρίμηνο 2: Τα μέλη του προσωπικού μπορεί να είχαν καλές προθέσεις να ολοκληρώσουν την εργασία στο σπίτι. Αυτό δείχνει την αφοσίωσή τους προς την εργασία τους. Ωστόσο, μια εταιρεία έχει διαμορφώσει κανόνες και κανονισμούς. Θα πρέπει να ακολουθούν αυτούς τους κανόνες με οποιοδήποτε κόστος.
Θα πρέπει να συμβουλέψετε τα μέλη του προσωπικού να αποφεύγουν την επανάληψη τέτοιων πράξεων και να τα ενθαρρύνετε να ολοκληρώνουν τις εργασίες εντός του χρονοδιαγράμματος. Τρίμηνο 3: Θα πρέπει να αποθαρρύνονται οι προσωπικές υποθέσεις κατά τη διάρκεια του χρόνου εργασίας. Είναι ελεύθεροι να έχουν τις υποθέσεις τους εκτός του χώρου εργασίας. Εφόσον οι υποθέσεις δεν λαμβάνουν χώρα στο γραφείο και δεν επηρεάζεται η εργασία του γραφείου, θα πρέπει να σέβεστε την ιδιωτική τους ζωή. Ωστόσο, οι κανόνες της εταιρείας είναι τέτοιοι ώστε η απόσπαση τέτοιων ζευγαριών θα πρέπει να γίνεται σε ξεχωριστά γραφεία μόλις παντρευτούν. Τρίμηνο 4: Πρόκειται για μια ξεκάθαρη περίπτωση κακόβουλης εσωτερικής δραστηριότητας και θα πρέπει να την αντιμετωπίσετε με αποφασιστικότητα. Η εταιρεία μπορεί να εξετάσει το ενδεχόμενο να λάβει νομικά μέτρα κατά των ενδιαφερομένων. Υπάρχουν ορισμένες περιπτώσεις όπου μπορείτε να κρίνετε την κακόβουλη πρόθεση από την ίδια την αρχή. Ας αναφέρουμε μερικά παραδείγματα.
Μάθετε να αναζητάτε τα πρώιμα σημάδια. Μια εταιρεία που αμφισβητεί τις ποινές καθυστέρησης πληρωμών σε μια σύμβαση είναι πιθανό να αθετεί τακτικά τις πληρωμές. Μάθετε να αναζητάτε τα αδιόρατα σημάδια: Σε περίπτωση που διαπιστώσετε ότι ορισμένα μέλη προσπαθούν να αποφεύγουν τηλεφωνήματα και μηνύματα ηλεκτρονικού ταχυδρομείου, είναι σαφές σημάδι ότι δεν επιθυμούν να συμμετάσχουν στο έργο σας. Όσο νωρίτερα τους απομακρύνετε, τόσο το καλύτερο για τον οργανισμό.
Περίληψη
Δεν είναι απαραίτητο κάθε πρόθεση να είναι κακόβουλης φύσης. Μόνο εκείνες οι προθέσεις που μπορούν να προκαλέσουν σκόπιμη βλάβη στον οργανισμό θα πρέπει να χαρακτηρίζονται ως κακόβουλες. Θα πρέπει επίσης να γνωρίζετε ότι η απώλεια ή η ζημία στον οργανισμό μπορεί να οφείλεται σε περιστασιακές ή κακόβουλες προθέσεις. Στόχος μας θα πρέπει να είναι να περιορίσουμε μόνο τις κακόβουλες προθέσεις. Θα πρέπει να καταπνίγετε την κακόβουλη πρόθεση εν τη γενέσει της. Η κακόβουλη πρόθεση είναι η κύρια αιτία όλων αυτών των απατών που λαμβάνουν χώρα σήμερα στον εργασιακό χώρο.