Odpowiedź w 2018 roku zależy od wyników analizy zagrożeń i ryzyka. Które, oczywiście, wykonałeś, zidentyfikowałeś prawdopodobne scenariusze, oceniłeś je i podjąłeś decyzję biznesową na podstawie wpływu i częstotliwości, zgodnie z odpowiednią metodą statystyczną lub ilościową.
Twój indywidualny pracownik jednak przeprowadził własną analizę ryzyka i doszedł do wskazanego przez Ciebie wyniku, a mianowicie:
w takim przypadku nie może wziąć odpowiedzialności za swoją tożsamość sieciową
I ma całkowitą rację w tej ocenie. Nawet powierzchowne spojrzenie na sytuację jasno pokazuje, że ktoś inny niż on, z minimalnymi umiejętnościami technicznymi, może podszywać się pod niego.
Dla ciebie ryzyko biznesowe jest do zaakceptowania (oczywiście ja oznacza to, że jest rok 2018, że sieć wewnętrzna jest niezaszyfrowana, to celowa decyzja, a nie, powiedzmy, przypadek, w którym zawsze to robiliśmy, prawda?) i możesz mieć rację w tej decyzji. Akceptacja ryzyka to całkowicie słuszna opcja.
Dla niego ryzyko jest nie do zaakceptowania. Zwróć uwagę, że nie podejmuje on decyzji biznesowej za firmę swoim oświadczeniem. Sam podejmuje osobistą decyzję. Dlatego te dwie analizy ryzyka mogą przynieść różne rezultaty - inny kontekst, apetyt na ryzyko, wpływ.
Prawidłowa odpowiedź brzmi, że bierzesz na siebie odpowiedzialność, której on odmawia. Prowadząc niezaszyfrowaną sieć i akceptując ryzyko, firma przyjmuje na siebie odpowiedzialność za tożsamość sieciową użytkowników tej sieci, ponieważ zdecydowała się ich nie chronić.
Mogę się również pomylić w moich założeniach dotyczących zarządzania ryzykiem w Twojej firmie, w takim przypadku zalecam przeprowadzenie analizy ryzyka tego konkretnego faktu (niezaszyfrowana sieć wewnętrzna) i zagrożenia (podszywanie się pod użytkowników), abyś mógł zmienić decyzję posiadania niezaszyfrowanej sieci lub utrwalenia jej wynikami, które pokazują, że zabezpieczenie sieci byłoby droższe niż oczekiwana strata.