Wyciek informacji – pracownicy

DZIAŁANIA ORGANIZACYJNE PO ODWRÓCENIU WYCIEKU INFORMACJI ZE STRONY PRACOWNIKÓW ORGANIZACJI

Zastanówmy się jakie możemy podjąć działania organizacyjne, aby zapobiec wyciekowi informacji.

Głównym źródłem wycieku informacji z organizacji jest jej personel. Czynnik ludzki jest zdolny do złamania wszelkich najbardziej wyrafinowanych mechanizmów bezpieczeństwa. Potwierdzają to liczne dane statystyczne. Zdecydowana większość incydentów bezpieczeństwa jest związana z działalnością pracowników.

Nic dziwnego, że praca z personelem jest jednym z głównych aspektów bezpieczeństwa i ochrony organizacji.

Główne warunki efektywnej pracy z personelem to koordynacja działalności służby bezpieczeństwa w różnych kierunkach (bezpieczeństwo wewnętrzne, informacji, prawne, techniczne itp.) i bliska współpraca z innymi działami (personalnym, prawnym, informatycznym i innymi).

Zadaniem służby bezpieczeństwa jest z jednej strony, ujawniać osoby skłonne do oszustw, wykradania informacji, niesumiennej pracy itp., z drugiej – budowa zgranego zespołu i premiowanie sumiennych pracowników. Do tego służą działania organizacyjne i organizacyjno-techniczne, wykorzystujące osobiste obserwacje i rozmowy, a także wyniki pracy analityczno-informacyjnej i wywiadowczej.
Środki organizacyjne, których należy użyć to:

  • ustalenie jednolitego wzoru dokumentacji i egzekwowanie przestrzegania procedur przez personel,
  • nadzór służby bezpieczeństwa nad przestrzeganiem procesów,
  • regularna praca u podstaw (budowa postawy moralnej, świadomości, konieczności przestrzegania zasad)
  •  działania zapobiegawcze (ujawnienie osób skłonnych do łamania zasad, wyjaśnianie skutków łamania prawa itp.).

Do ogólnych wymogów bezpieczeństwa, które należy stosować przy pracy z personelem zalicza się:

  • odpowiedzialność za bezpieczeństwo informacji powinna być opisana w zakresach obowiązków oraz instrukcjach postępowania i zawierać odpowiedzialność za stosowanie polityki bezpieczeństwa; odpowiedzialność za zasoby, procesy i cele bezpieczeństwa,
  • przeprowadzenie odpowiedniej kwalifikacji i predyspozycji pracowników podczas zatrudniania, uwzględniając: charakter, rekomendacje, wiarygodność CV, wykształcenie i kwalifikacje, a także dokumenty potwierdzające tożsamość osoby oraz jej doświadczenie,
  • podpisanie umowy o poufności informacji z nowym pracownikiem powinno być obowiązkowym warunkiem zatrudnienia,
  • wymagania bezpieczeństwa informacji powinny być opisane w dokumentach zatrudnienia wraz ze wskazaniem odpowiedzialności za naruszenie bezpieczeństwa.

Informacje uzyskane podczas sprawdzania pracowników organizacji są składnikami zaświadczenia analitycznego, które dodaje się do akt osobowych. To pozwala systematyzować pracę z danymi.
W zaświadczeniu musi być odnotowane, czy pracownik przejawia lekceważący stosunek do obowiązków służbowych, czy podejmuje niefachowe decyzje, czy narusza dyscyplinę, czy został przyłapany na nieuczciwości – albo przeciwnie: wykazuje wysokie wyniki w pracy, pełni sumiennie swoje obowiązki, wyróżnia się zaletami osobistymi takimi jak: przyzwoitość, uczciwość, gotowość pomocy kolegom itp. Informacja analityczna musi zawierać wnioski, otrzymane w wyniku oceny bieżących wydarzeń.

Nauczanie i kontrolę wiedzy pracowników należy przeprowadzać w obszarze:

  • polityki bezpieczeństwa organizacji,
  • procedury wyboru, zmiany i użycia haseł,
  • zasady otrzymywania dostępu do zasobów systemu informacyjnego,
  • sposobu postępowania z informacją oraz informacją poufną,
  • procedury informowania o incydentach, błędach i usterkach oprogramowania oraz sprzętu, zagrożeniach, słabych obszarach, itp.

W organizacji powinien zostać opracowany odpowiedni proces dyscyplinarny, przeprowadzany wobec osób naruszających bezpieczeństwo, który przewiduje śledztwo, likwidację skutków incydentów i adekwatne działania naprawcze.

Niezapewnienie bezpieczeństwa organizacji przed wyciekiem informacji to realny problem i od jego rozwiązania zależy konkurencyjność organizacji.

Warto podkreślić, że skuteczna realizacja czynności przeciwdziałających wyciekowi informacji jest możliwa tylko, gdy w organizacji czynnie działa system zarządzania bezpieczeństwem informacji. Charakteryzuje się to przede wszystkim obecnością przestrzeganej polityki bezpieczeństwa, procedur, procesów, mechanizmów kontroli i odpowiednio zbudowanej struktury organizacyjnej.

 

Autor: Maryna Kuczyńska

Scroll to Top