Świadomy pracownik – bezpieczna organizacja, część 3

Przedstawiam trzecią część z cyklu „Świadomy pracownik – bezpieczna organizacja”.

Patrząc na dobre praktyki, w tym na normy międzynarodowe w zakresie bezpieczeństwa informacji,  (takie jak ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji, NIST, COBiT) oraz moje doświadczenie zawodowe, przygodę z bezpieczeństwem informacji zaczynać trzeba od zaangażowania i świadomości najwyższego kierownictwa i menedżmentu. Właśnie menadżerowie mają swoim przykładem zachęcić pracowników do włączenia się w procesy bezpieczeństwa informacji, które są nierozerwalnie związane z codzienną pracą.

Wszyscy menadżerowie mają

  • być odpowiedzialni za wdrażanie, utrzymywanie i rozwój systemu zarządzania bezpieczeństwem informacji w zakresie swoich komórek organizacyjnych i ich odpowiedzialności;
  • brać udział w opracowaniu, po przyjęciu wykazywać znajomość i realizować ustanowione polityki i zasady bezpieczeństwa;
  • działać rzetelnie, wiarygodnie i zgodnie z ustanowionymi politykami, procedurami i instrukcjami;  promować świadomość wśród pracowników;
  • współpracować z komórką ds. bezpieczeństwa w organizacji
  • dzielić się doświadczeniem z innymi kierownikami.
Zobacz podobne  Norma ISO 15378 czyli GMP dla producentów opakowań farmaceutycznych

Większość norm i standardów również kładzie nacisk na świadomość i wymagają jej od wszystkich pracowników organizacji, którzy mają wpływ na bezpieczeństwo informacji.

Zarządzanie świadomością w zakresie bezpieczeństwa informacji w organizacji
Głównym celem podnoszenia świadomości pracowników w kwestiach bezpieczeństwa informacji jest redukcja strat (materialnych, finansowych, wizerunkowych) wynikających z zagrożeń związanych z brakiem znajomości lub niezrozumieniem podstawowych zasad bezpieczeństwa informacji, w tym podczas pracy w systemach informatycznych organizacji.
Kompleksowy program podnoszenia świadomości pracowników i kształtowania kultury w zakresie bezpieczeństwa informacji będzie zawierał trzy główne elementy:

  • Szkolenie pracowników organizacji
  • Utrzymanie atmosfery bezpieczeństwa informacji
  • Ocenę skuteczności, aktualizację i doskonalenie

Główne zadania programu podnoszenia świadomości:

  • informowanie pracowników o istniejących zagrożeniach (podatnościach) i kwestiach bezpieczeństwa, które mogą występować podczas ich codziennej pracy;
  • przekazanie pracownikom podstawowych wymagań, ograniczeń i zasad polityki bezpieczeństwa informacji organizacji;
  • szkolenie pracowników w zakresie zasad, technik i metod przeciwdziałania zagrożeniom dla bezpieczeństwa informacji;
  • zachęcanie pracowników do świadomego przestrzegania wymogów, ograniczeń i zasad, polityk, procedur i instrukcji organizacji.
Zobacz podobne  Co to jest ESG?

Program jest ukierunkowany na rozwój:

  • umiejętności rozsądnej oceny możliwych konsekwencji swoich działań podczas pracy;
  • zrównoważonych nawyków, które przyczyniają się do utrzymania wysokiego poziomu bezpieczeństwa informacji (nawyki przestrzegania zasad i dostosowanie się do ograniczeń polityki bezpieczeństwa organizacji oraz zaleceń specjalistów ds. bezpieczeństwa),
  • umiejętności poprawnego i szybkiego działania w przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji oraz w sytuacjach krytycznych/kryzysowych.

Program ma być dostosowany do organizacji i przy jego formowaniu warto wziąć pod uwagę takie czynniki jak:

  • przepisy prawa (wymagania aktów prawnych, zawartych umów i regulacji, do których organizacja się zobowiązała);
  • ocenę ryzyka;
  • środki, w tym ekonomiczną wykonalność;
  • zróżnicowane podejście;
  • złożoność,
  • systemowe podejście i utrzymanie ciągłości;
  • interakcje i współpracę;
  • specjalizację i profesjonalizm.

Warto pamiętać, iż możemy mieć problem z odbiorem przekazywanych informacji na temat bezpieczeństwa. Personel, który nie posiada specjalistycznej wiedzy z reguły nie jest w stanie odpowiednio postrzegać komunikatów informacyjnych specjalistów ds. bezpieczeństwa, którzy z kolei mogą nie mieć wystarczającego poziomu umiejętności metodologicznych.

Zobacz podobne  NIS2 - kto musi spełnić wymagania dyrektywy?

Specjaliści IKMJ zawsze chętnie pomogą w każdym pytaniu i dostosowaniem szkoleń do potrzeb Państwa organizacji!

 

Wróć do części drugiej.

 

Autor: Maryna Kuczyńska (2750)

Scroll to Top