„Badanie wykazało, że konieczna jest ponowna analiza reguł bezpieczeństwa stosowanych w przedsiębiorstwach oraz sposobów informowania o tych regułach” — powiedział John N. Stewart, dyrektor ds. bezpieczeństwa w Cisco. „Przekonanie pracowników o tym, że strategia bezpieczeństwa nie jest właściwa, czyli brak wiedzy na temat celowości stosowania reguł podczas wykonywania zadań sprawia, że reguły szybko stają się nieefektywne. Zbyt często strategie tworzone są jako zbiory reguł bez podanych uzasadnień, gdy tymczasem wyższy poziom świadomości i wiedzy oraz lepsza komunikacja mogłyby sprawić, że potrzeba wprowadzenia reguł, ich istotność i przydatność stałyby się bardziej widoczne. Współpraca z pracownikami i wiedza o tym, czego potrzebują do wykonywania swoich obowiązków zawodowych, pozwala opracowywać bardziej spójne i skuteczne reguły zgodne z ogólną strategią bezpieczeństwa przedsiębiorstwa, co ostatecznie zapewnia wyższy poziom bezpieczeństwa danego środowiska.”

Badania wykazują, że większość przedsiębiorstw (77%) wdrożyła reguły bezpieczeństwa. Jednak dla tych firm, które tego nie zrobiły (jedna czwarta ogółu), tendencje do wykorzystywania rozwiązań mobilnych i umożliwiających współpracę oraz do zwiększania elastyczności warunków pracy stają się źródłem trudności wymagających szybkiego rozwiązania przez ustanowienie oficjalnych reguł, które określałyby, kiedy i w jaki sposób możliwy jest dostęp do danych, aplikacji i sieci firmy. Brak reguł bezpieczeństwa jest najczęstszy w Japonii (39%) oraz w Wielkiej Brytanii (29%).

Badanie ujawniło jednak, że nawet w przypadku firm posiadających własne reguły bezpieczeństwa są one często łamane przez pracowników. Ponad połowa ankietowanych pracowników przyznaje, że nie zawsze stosują się do reguł bezpieczeństwa obowiązujących w ich przedsiębiorstwach. Najwięcej (84%) pracowników przyznających się do łamania reguł pochodzi z Francji.

W Indiach jeden na dziesięciu pracowników (11%) twierdzi, że nigdy lub prawie nigdy nie stosuje się do reguł bezpieczeństwa swojej firmy. Na podejście pracowników do reguł bezpieczeństwa, według badania, wpływa kilka czynników:

• Świadomość: Jednym z ciekawszych ustaleń jest różnica w liczbie pracowników i informatyków, którzy mają wiedzę na temat reguł. W zależności od kraju liczba informatyków, którzy znali reguły panujące w firmach, była o 20-30% wyższa niż odpowiednia liczba pracowników. Największa różnica (31%) wystąpiła w Stanach Zjednoczonych, Brazylii i we Włoszech. Te wyniki każą zadać pytanie, czy i w jaki sposób działy informatyczne przekazują pracownikom informacje o regułach.
• Komunikacja: 11% pracowników twierdzi, że działy informatyczne nigdy nie ogłaszają reguł bezpieczeństwa ani nie przeprowadzają dotyczących ich szkoleń. Jest to powszechne zwłaszcza w Europie: najwięcej pracowników zgadzających się z tą opinią znajduje się w Wielkiej Brytanii (25%) i Francji (20%). Informowanie pracowników o regułach bezpieczeństwa często odbywa się w sposób niewerbalny i pośredni — z użyciem poczty elektronicznej, komunikatów wyświetlanych podczas logowania lub poczty głosowej.
• Aktualizacje: Trzech na czterech informatyków (77%) uważa, że reguły należy częściej aktualizować. Opinię tę potwierdza tylko połowa (47%) pracowników. Najbardziej zdecydowane poglądy w tej sprawie wykazali informatycy z firm chińskich (91%) i indyjskich (89%). Porównanie z pierwszą częścią wyników badań na temat zachowań pracowników wskazuje, że potrzeba sformalizowanych strategii bezpieczeństwa jest wyraźnie wyższa w krajach o gospodarce rozwijającej się i wzrastającym poziomie zatrudnienia, w których sieci komputerowe oparte na Internecie są nowością.