Oto ostatnia czwarta część z cyklu artykułów „Świadomy pracownik – bezpieczna organizacja”, w której szczegółowo omówimy kompleksowy program podnoszenia świadomości pracowników i kształtowania kultury w zakresie bezpieczeństwa informacji.
Składa się on z trzech głównych elementów:
- Szkoleń pracowników organizacji
- Utrzymania atmosfery bezpieczeństwa informacji
- Oceny skuteczności, aktualizacji i doskonalenia
Szkolenie pracowników organizacji
Etapy opracowania treści szkoleniowych na temat bezpieczeństwa informacji w ramach realizacji programu:
- opracowanie tematycznych kwestionariuszy, dotyczących bezpieczeństwa informacji dla różnych kategorii pracowników organizacji – ma to na celu przeprowadzenie oceny ich poziomu wiedzy w kwestiach bezpieczeństwa informacji;
- opracowywanie różnych rodzajów materiałów offline i online, w tym rozwój interaktywnych kursów e-learningowych;
- utrzymanie atmosfery bezpieczeństwa informacji w organizacji, za pomocą różnych narzędzi jak notatki, plakaty, wygaszacze ekranu, wiadomości;
- rozwój produktów, mających na celu aktywne zaangażowanie pracowników w proces zapewnienia bezpieczeństwa informacji w organizacjach: szkolenia, filmy, nauka gier online;
- zapewnienie rzetelnej kontroli nad przeszkoleniem i sprawdzeniem wiedzy, na podstawie egzaminów i testów pracowników na odporność na realne ataki.
Szkolenie pracowników organizacji może być realizowane za pomocą następujących narzędzi:
- Treningi i szkolenia (w postaci wykładów, konwersacji i ćwiczeń)
- E-learning (np. portal szkoleniowy, oprogramowanie, kursy e-learningowe, webinaria, gry komputerowe)
- Forum, czat, infolinia.
Utrzymanie atmosfery bezpieczeństwa informacji
Podnoszenie świadomości w zakresie bezpieczeństwa informacji nie powinno być szkoleniem wysoce specjalistycznym. Im prostsze i bardziej dostępne będą materiały, tym łatwiej będą je zapamiętywać pracownicy organizacji.
Najbardziej skuteczne są:
- plakaty;
- wygaszacze ekranu;
- wiadomości e-mail;
- banery;
- filmy;
- ulotki i broszury;
- gadżety i pamiątki.
Ocena skuteczności i doskonalenie
Egzaminy, testy wiedzy, audyty wewnętrzne i zewnętrzne oraz ataki na personel w postaci prowokacyjnych wiadomości e-mail i/lub SMS/MMS nakłaniających użytkowników do naruszenia zasad bezpieczeństwa informacji obowiązujących w organizacji.
W ramach realizacji rzeczywistych ataków przeprowadzenie sprawdzenia wiedzy użytkowników na temat:
• polityki haseł;
• stosowania i znajomości zasad zgodności z przyjętą klasyfikacją informacji;
• przeciwdziałania atakom wirusów;
• zasad korzystania z poczty elektronicznej i Internetu;
• zasad bezpiecznego korzystania z mobilnych urządzeń itp.
Na podstawie danych z oceny, które zostaną zgromadzone, zostanie przeprowadzona analiza oraz wykazana przydatność i skuteczność programu podnoszenia świadomości. Dane te również będą stanowić podstawę do aktualizacji i doskonalenia.
Jakich rezultatów się spodziewać?
- zmniejszenia strat organizacji (materialnych, wizerunkowych itp.) wynikających z zagrożeń związanych z czynnikiem ludzkim;
- zmniejszenia liczby błędów i poważnych konsekwencji niezamierzonych działań pracowników;
- zwiększenia wkładu każdego pracownika w poprawę bezpieczeństwa informacji organizacji;
- osiągnięcia postępów w kwestiach przestrzegania regulacji i zasad dotyczących bezpieczeństwa informacji w organizacji.
Dodatkowo w organizacji powinien być opracowany odpowiedni proces dyscyplinarny dotyczący naruszeń w zakresie bezpieczeństwa obejmujący dochodzenie, reagowanie na incydenty oraz odpowiednie działania korygujące i zapobiegawcze.
Przy tworzeniu kultury organizacyjnej trzeba pamiętać, że to ma być złożona i elastyczna koncepcja. Z roku na rok jej rola w ogólnej strategii rozwoju organizacji i bezpieczeństwie informacji stale rośnie, również dlatego, że zapewnia wsparcie i skuteczną realizacje postanowień systemu zarządzania bezpieczeństwem informacji.
Autor: Maryna Kuczyńska (2753)