Przedstawiam trzecią część z cyklu „Świadomy pracownik – bezpieczna organizacja”.
Patrząc na dobre praktyki, w tym na normy międzynarodowe w zakresie bezpieczeństwa informacji, (takie jak ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji, NIST, COBiT) oraz moje doświadczenie zawodowe, przygodę z bezpieczeństwem informacji zaczynać trzeba od zaangażowania i świadomości najwyższego kierownictwa i menedżmentu. Właśnie menadżerowie mają swoim przykładem zachęcić pracowników do włączenia się w procesy bezpieczeństwa informacji, które są nierozerwalnie związane z codzienną pracą.
Wszyscy menadżerowie mają
- być odpowiedzialni za wdrażanie, utrzymywanie i rozwój systemu zarządzania bezpieczeństwem informacji w zakresie swoich komórek organizacyjnych i ich odpowiedzialności;
- brać udział w opracowaniu, po przyjęciu wykazywać znajomość i realizować ustanowione polityki i zasady bezpieczeństwa;
- działać rzetelnie, wiarygodnie i zgodnie z ustanowionymi politykami, procedurami i instrukcjami; promować świadomość wśród pracowników;
- współpracować z komórką ds. bezpieczeństwa w organizacji
- dzielić się doświadczeniem z innymi kierownikami.
Większość norm i standardów również kładzie nacisk na świadomość i wymagają jej od wszystkich pracowników organizacji, którzy mają wpływ na bezpieczeństwo informacji.
Zarządzanie świadomością w zakresie bezpieczeństwa informacji w organizacji
Głównym celem podnoszenia świadomości pracowników w kwestiach bezpieczeństwa informacji jest redukcja strat (materialnych, finansowych, wizerunkowych) wynikających z zagrożeń związanych z brakiem znajomości lub niezrozumieniem podstawowych zasad bezpieczeństwa informacji, w tym podczas pracy w systemach informatycznych organizacji.
Kompleksowy program podnoszenia świadomości pracowników i kształtowania kultury w zakresie bezpieczeństwa informacji będzie zawierał trzy główne elementy:
- Szkolenie pracowników organizacji
- Utrzymanie atmosfery bezpieczeństwa informacji
- Ocenę skuteczności, aktualizację i doskonalenie
Główne zadania programu podnoszenia świadomości:
- informowanie pracowników o istniejących zagrożeniach (podatnościach) i kwestiach bezpieczeństwa, które mogą występować podczas ich codziennej pracy;
- przekazanie pracownikom podstawowych wymagań, ograniczeń i zasad polityki bezpieczeństwa informacji organizacji;
- szkolenie pracowników w zakresie zasad, technik i metod przeciwdziałania zagrożeniom dla bezpieczeństwa informacji;
- zachęcanie pracowników do świadomego przestrzegania wymogów, ograniczeń i zasad, polityk, procedur i instrukcji organizacji.
Program jest ukierunkowany na rozwój:
- umiejętności rozsądnej oceny możliwych konsekwencji swoich działań podczas pracy;
- zrównoważonych nawyków, które przyczyniają się do utrzymania wysokiego poziomu bezpieczeństwa informacji (nawyki przestrzegania zasad i dostosowanie się do ograniczeń polityki bezpieczeństwa organizacji oraz zaleceń specjalistów ds. bezpieczeństwa),
- umiejętności poprawnego i szybkiego działania w przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji oraz w sytuacjach krytycznych/kryzysowych.
Program ma być dostosowany do organizacji i przy jego formowaniu warto wziąć pod uwagę takie czynniki jak:
- przepisy prawa (wymagania aktów prawnych, zawartych umów i regulacji, do których organizacja się zobowiązała);
- ocenę ryzyka;
- środki, w tym ekonomiczną wykonalność;
- zróżnicowane podejście;
- złożoność,
- systemowe podejście i utrzymanie ciągłości;
- interakcje i współpracę;
- specjalizację i profesjonalizm.
Warto pamiętać, iż możemy mieć problem z odbiorem przekazywanych informacji na temat bezpieczeństwa. Personel, który nie posiada specjalistycznej wiedzy z reguły nie jest w stanie odpowiednio postrzegać komunikatów informacyjnych specjalistów ds. bezpieczeństwa, którzy z kolei mogą nie mieć wystarczającego poziomu umiejętności metodologicznych.
Specjaliści IKMJ zawsze chętnie pomogą w każdym pytaniu i dostosowaniem szkoleń do potrzeb Państwa organizacji!
Autor: Maryna Kuczyńska (2750)