Świadomy pracownik – bezpieczna organizacja, część 4

Oto ostatnia czwarta część z cyklu artykułów „Świadomy pracownik – bezpieczna organizacja”, w której szczegółowo omówimy kompleksowy program podnoszenia świadomości pracowników i kształtowania kultury w zakresie bezpieczeństwa informacji.

Składa się on z trzech głównych elementów:

  • Szkoleń pracowników organizacji
  • Utrzymania atmosfery bezpieczeństwa informacji
  • Oceny skuteczności, aktualizacji i doskonalenia

 

Szkolenie pracowników organizacji
Etapy opracowania treści szkoleniowych na temat bezpieczeństwa informacji w ramach realizacji programu:

  1. opracowanie tematycznych kwestionariuszy, dotyczących bezpieczeństwa informacji dla różnych kategorii pracowników organizacji – ma to na celu przeprowadzenie oceny ich poziomu wiedzy w kwestiach bezpieczeństwa informacji;
  2. opracowywanie różnych rodzajów materiałów offline i online, w tym rozwój interaktywnych kursów e-learningowych;
  3. utrzymanie atmosfery bezpieczeństwa informacji w organizacji, za pomocą różnych narzędzi jak notatki, plakaty, wygaszacze ekranu, wiadomości;
  4. rozwój produktów, mających na celu aktywne zaangażowanie pracowników w proces zapewnienia bezpieczeństwa informacji w organizacjach: szkolenia, filmy, nauka gier online;
  5. zapewnienie rzetelnej kontroli nad przeszkoleniem i sprawdzeniem wiedzy, na podstawie egzaminów i testów pracowników na odporność na realne ataki.
Zobacz podobne  ESG a normy ISO

Szkolenie pracowników organizacji może być realizowane za pomocą następujących narzędzi:

  • Treningi i szkolenia (w postaci wykładów, konwersacji i ćwiczeń)
  • E-learning (np. portal szkoleniowy, oprogramowanie, kursy e-learningowe, webinaria, gry komputerowe)
  • Forum, czat, infolinia.

Utrzymanie atmosfery bezpieczeństwa informacji
Podnoszenie świadomości w zakresie bezpieczeństwa informacji nie powinno być szkoleniem wysoce specjalistycznym. Im prostsze i bardziej dostępne będą materiały, tym łatwiej będą je zapamiętywać pracownicy organizacji.
Najbardziej skuteczne są:

  • plakaty;
  • wygaszacze ekranu;
  • wiadomości e-mail;
  • banery;
  • filmy;
  • ulotki i broszury;
  • gadżety i pamiątki.

Ocena skuteczności i doskonalenie
Egzaminy, testy wiedzy, audyty wewnętrzne i zewnętrzne oraz ataki na personel w postaci prowokacyjnych wiadomości e-mail i/lub SMS/MMS nakłaniających użytkowników do naruszenia zasad bezpieczeństwa informacji obowiązujących w organizacji.
W ramach realizacji rzeczywistych ataków przeprowadzenie sprawdzenia wiedzy użytkowników na temat:
• polityki haseł;
• stosowania i znajomości zasad zgodności z przyjętą klasyfikacją informacji;
• przeciwdziałania atakom wirusów;
• zasad korzystania z poczty elektronicznej i Internetu;
• zasad bezpiecznego korzystania z mobilnych urządzeń itp.
Na podstawie danych z oceny, które zostaną zgromadzone, zostanie przeprowadzona analiza oraz wykazana przydatność i skuteczność programu podnoszenia świadomości. Dane te również będą stanowić podstawę do aktualizacji i doskonalenia.

Zobacz podobne  NIS2 - kto musi spełnić wymagania dyrektywy?

 

Jakich rezultatów się spodziewać?

  • zmniejszenia strat organizacji (materialnych, wizerunkowych itp.) wynikających z zagrożeń związanych z czynnikiem ludzkim;
  • zmniejszenia liczby błędów i poważnych konsekwencji niezamierzonych działań pracowników;
  • zwiększenia wkładu każdego pracownika w poprawę bezpieczeństwa informacji organizacji;
  • osiągnięcia postępów w kwestiach przestrzegania regulacji i zasad dotyczących bezpieczeństwa informacji w organizacji.

Dodatkowo w organizacji powinien być opracowany odpowiedni proces dyscyplinarny dotyczący naruszeń w zakresie bezpieczeństwa obejmujący dochodzenie, reagowanie na incydenty oraz odpowiednie działania korygujące i zapobiegawcze.
Przy tworzeniu kultury organizacyjnej trzeba pamiętać, że to ma być złożona i elastyczna koncepcja. Z roku na rok jej rola w ogólnej strategii rozwoju organizacji i bezpieczeństwie informacji stale rośnie, również dlatego, że zapewnia wsparcie i skuteczną realizacje postanowień systemu zarządzania bezpieczeństwem informacji.

Zobacz podobne  Jak przejść na nową normę ISO 27001:2022

 
 

Wróć do części trzeciej.
 

Autor: Maryna Kuczyńska (2753)

Scroll to Top