Świadomy pracownik – bezpieczna organizacja

W obecnych czasach informacja jest bardzo cennym aktywem organizacji, zasobem wiedzy przedsiębiorstw i ma decydujący wpływ na bieżącą działalność i dalszy rozwój. Podstawowym założeniem zarządzania bezpieczeństwem informacji jest ochrona gromadzonej […]

W obecnych czasach informacja jest bardzo cennym aktywem organizacji, zasobem wiedzy przedsiębiorstw i ma decydujący wpływ na bieżącą działalność i dalszy rozwój. Podstawowym założeniem zarządzania bezpieczeństwem informacji jest ochrona gromadzonej i przetwarzanej informacji, co jest niemożliwe bez zaangażowania każdego pracownika, począwszy od najwyższego kierownictwa, poprzez pracowników średniego szczebla, a na szeregowych pracownikach kończąc.

Podstawy zapewnienia bezpieczeństwa informacji organizacji 
Bezpieczeństwo informacji obejmuje jej ochronę przed kradzieżą lub zmianami, zarówno losowymi, jak i celowymi. System zarządzania bezpieczeństwem informacji (SZBI) jest skutecznym narzędziem ochrony interesów właścicieli i użytkowników informacji. Należy zauważyć, że SZBI warto oprzeć o dobre praktyki wynikające z norm międzynarodowych, zwłaszcza ISO/IEC 27001. Szkody mogą być spowodowane nie tylko przez nieautoryzowany dostęp do informacji. Mogą one być skutkiem awarii sprzętu komunikacyjnego lub informacyjnego.
Żeby odpowiednio zagłębić się w temat bezpieczeństwa informacji rozpatrzymy  podstawowe pojęcia, cele i role bezpieczeństwa informacji.
Termin „bezpieczeństwo informacji” opisuje sytuację, która wyklucza dostęp do przeglądania, moderowania i niszczenia danych przez podmioty bez odpowiednich uprawnień. Koncepcja ta obejmuje ochronę przed wyciekiem i kradzieżą informacji za pomocą nowoczesnych technologii i innowacyjnych urządzeń.
Bezpieczeństwo informacji obejmuje pełen zakres środków zapewniających integralność i poufność informacji pod warunkiem jej dostępności dla użytkowników posiadających odpowiednie prawa/uprawnienia.
Trzy filary bezpieczeństwa informacji:

  • poufność – zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym;
  • integralność – zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania;
  • dostępność – zapewnienie ze osoby upoważnione mają dostęp do informacji i związanych z nią aktywów, gdy jest to potrzebne (czyli szybkie i dokładne wyszukiwanie informacji przez określonych użytkowników)

Celem bezpieczeństwa informacji jest zminimalizowanie szkód wynikających z naruszenia wymogów integralności, poufności i dostępności.
Dlaczego zaangażowanie i świadomość odgrywają istotną rolę w zapewnieniu bezpieczeństwa informacji?
Wszyscy analitycy, zgadzają się co do jednej rzeczy: „czynnik ludzki” jest najbardziej podatny i niesie największe zagrożenie dla bezpieczeństwa informacji organizacji. Nie chodzi tu tylko o „kretów”, którzy sprzedają tajemnicę przedsiębiorstwa, lecz o banalną głupotę, niedbalstwo, nieodpowiedzialność, brak znajomości lub niechęć stosowania zasad, które mogą doprowadzić do bardzo groźnych incydentów, mogących wywołać istotne skutki finansowe i wizerunkowe. Ponadto hakerzy nie są głupcami. Włamanie się do nowoczesnego systemu bezpieczeństwa IT jest niezwykle trudne i kosztowne, ale dość szybko, łatwo i tanio można wykorzystać pracownika.
Każdy specjalista, który jest odpowiedzialny za bezpieczeństwo informacji w organizacji wie, że od 60 do 80% wszystkich incydentów i naruszeń w obszarze bezpieczeństwa informacji jest spowodowanych przez personel. Jednocześnie większa część naruszeń wiąże się przede wszystkim z brakiem świadomości pracowników w kwestiach bezpieczeństwa informacji.
clip image002 Świadomy pracownik – bezpieczna organizacjaStraty%20wg%20r%C3%B3%C5%BCnego%20rodzaju%20zagro%C5%BCe%C5%84 Świadomy pracownik – bezpieczna organizacja

swiadomy=pracownik-cz-1


Rys. Straty wg różnego rodzaju zagrożeń

Przy tym większość pracowników organizacji jest przekonana, że nie ma nic wspólnego z bezpieczeństwem informacji.
Owszem, organizacje, zwłaszcza duże, są często atakowane z zewnątrz, ale co najmniej 925 dobrze znanych poważnych incydentów bezpieczeństwa było związanych z działaniami pracowników. I nie wszyscy pracownicy mieli złośliwe zamiary, bądź umyślnie wyrządzili szkodę. Wycieki danych spowodowane nieuwagą lub brakiem świadomości pracowników, w tym kierowników, pojawiają się z dość częstą regularnością. Ze względu na skutki, które są spowodowane incydentami, zagrożenie z wewnątrz zajmuje pozycję wiodącą. Podczas gdy hakerzy ukradli około 1,7 miliarda rekordów, wewnętrzne czynniki doprowadziły do ​​utraty 2,6 miliarda zapisów.

Jak zauważyliście jest dość sporo pracy organizacyjnej w zakresie bezpieczeństwa informacji w organizacji.

W roku 2018 r. ponad połowa wycieków danych (54,7%) była spowodowana przez pracowników. Jest to raport analitycznego centrum firmy InfoWatch.
Według raportu ataki zewnętrzne spowodowały wycieki w 35,5% przypadków. W ich wyniku mogły być ujawnione wszelkie dane, w tym tajemnica przedsiębiorstwa, know-how, dane finansowe, dane osobowe i inne.

Świadomy Pracownik cz. 2 rys. 2


Również w roku 2018 znana na skalę światową firma analityczna Ernst & Young opublikowała komunikat prasowy, stwierdzający że: „Brak świadomości pracowników w zakresie bezpieczeństwa informacji zajmuje pierwsze miejsce na liście głównych podatności, które mogą być wykorzystane”.
Potwierdzają to badania. Udowodniono, że większość pracowników jest przekonana, że nie ma nic wspólnego z bezpieczeństwem informacji.
Mamy tu przełożenie na niezamierzone potencjalnie niebezpieczne działania pracownika/użytkownika, które najczęściej są spowodowane następującymi przyczynami:

  • brak znajomości i niedocenianie potencjalnych zagrożeń, a także brak zrozumienia ich związku z wykonywanymi działaniami;
  • nieznajomość zasad i wymogów bezpieczeństwa informacji;
  • brak zrozumienia potrzeby przestrzegania zasad i wymagań;
  • niechęć do spełnienia wymagań stawianych przez organizację;
  • nieuwaga pracowników wobec zasad i wymogów bezpieczeństwa informacji.

Niestety, ale średnia liczba dni potrzebnych do wykrycia incydentu informacyjnego wzrosła i wynosi 49,6 dni. Mimo, iż w zakresie danych osobowych został określony ustawowo maksymalny czas na zidentyfikowanie, zgłoszenie i wyeliminowanie zagrożenia na zaledwie 72 godziny (zgodnie z RODO). Dlatego jest bardzo ważnym jest, żeby oprócz stosowania systemów bezpieczeństwa mających na celu monitorowanie i analizowanie działań pracowników organizacji, wszystkie zdarzenia, podejrzane sytuacje, które mogą być związane z bezpieczeństwem informacji były zgłaszane do osób odpowiedzialnych.

Jak widać statystyki mówią wyraźnie, że właśnie człowiek jest najsłabszym ogniwem w systemie bezpieczeństwa informacji.
Podnoszenie świadomości pracowników jest kluczowym czynnikiem sukcesu w osiągnięciu należytego poziomu bezpieczeństwa informacji. Dla skutecznego zarządzania świadomością w zakresie bezpieczeństwa informacji należy stosować kompleksowe podejście, które będzie polegać na opracowaniu i dostosowaniu programu kształtowania kultury organizacyjnej w zakresie bezpieczeństwa informacji.

Nasi specjaliści chętnie pomogą rozwiązać problem świadomości pracowników w Państwa organizacji.

Stosujemy indywidualne podejście do klientów i kształcenia, które jest oparte o wieloletnie doświadczenie we wdrażaniu, utrzymaniu i doskonaleniu Systemów zarządzania bezpieczeństwem informacji, zarządzanie ryzykiem, ciągłością działania, compliance itp.

Patrząc na dobre praktyki, w tym na normy międzynarodowe w zakresie bezpieczeństwa informacji,  (takie jak ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji, NIST, COBiT) oraz moje doświadczenie zawodowe, przygodę z bezpieczeństwem informacji zaczynać trzeba od zaangażowania i świadomości najwyższego kierownictwa i menedżmentu. Właśnie menadżerowie mają swoim przykładem zachęcić pracowników do włączenia się w procesy bezpieczeństwa informacji, które są nierozerwalnie związane z codzienną pracą.

Wszyscy menadżerowie mają

  • być odpowiedzialni za wdrażanie, utrzymywanie i rozwój systemu zarządzania bezpieczeństwem informacji w zakresie swoich komórek organizacyjnych i ich odpowiedzialności;
  • brać udział w opracowaniu, po przyjęciu wykazywać znajomość i realizować ustanowione polityki i zasady bezpieczeństwa;
  • działać rzetelnie, wiarygodnie i zgodnie z ustanowionymi politykami, procedurami i instrukcjami;  promować świadomość wśród pracowników;
  • współpracować z komórką ds. bezpieczeństwa w organizacji
  • dzielić się doświadczeniem z innymi kierownikami.

Większość norm i standardów również kładzie nacisk na świadomość i wymagają jej od wszystkich pracowników organizacji, którzy mają wpływ na bezpieczeństwo informacji.

Zarządzanie świadomością w zakresie bezpieczeństwa informacji w organizacji
Głównym celem podnoszenia świadomości pracowników w kwestiach bezpieczeństwa informacji jest redukcja strat (materialnych, finansowych, wizerunkowych) wynikających z zagrożeń związanych z brakiem znajomości lub niezrozumieniem podstawowych zasad bezpieczeństwa informacji, w tym podczas pracy w systemach informatycznych organizacji.
Kompleksowy program podnoszenia świadomości pracowników i kształtowania kultury w zakresie bezpieczeństwa informacji będzie zawierał trzy główne elementy:

  • Szkolenie pracowników organizacji
  • Utrzymanie atmosfery bezpieczeństwa informacji
  • Ocenę skuteczności, aktualizację i doskonalenie

Główne zadania programu podnoszenia świadomości:

  • informowanie pracowników o istniejących zagrożeniach (podatnościach) i kwestiach bezpieczeństwa, które mogą występować podczas ich codziennej pracy;
  • przekazanie pracownikom podstawowych wymagań, ograniczeń i zasad polityki bezpieczeństwa informacji organizacji;
  • szkolenie pracowników w zakresie zasad, technik i metod przeciwdziałania zagrożeniom dla bezpieczeństwa informacji;
  • zachęcanie pracowników do świadomego przestrzegania wymogów, ograniczeń i zasad, polityk, procedur i instrukcji organizacji.

Program jest ukierunkowany na rozwój:

  • umiejętności rozsądnej oceny możliwych konsekwencji swoich działań podczas pracy;
  • zrównoważonych nawyków, które przyczyniają się do utrzymania wysokiego poziomu bezpieczeństwa informacji (nawyki przestrzegania zasad i dostosowanie się do ograniczeń polityki bezpieczeństwa organizacji oraz zaleceń specjalistów ds. bezpieczeństwa),
  • umiejętności poprawnego i szybkiego działania w przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji oraz w sytuacjach krytycznych/kryzysowych.

Program ma być dostosowany do organizacji i przy jego formowaniu warto wziąć pod uwagę takie czynniki jak:

  • przepisy prawa (wymagania aktów prawnych, zawartych umów i regulacji, do których organizacja się zobowiązała);
  • ocenę ryzyka;
  • środki, w tym ekonomiczną wykonalność;
  • zróżnicowane podejście;
  • złożoność,
  • systemowe podejście i utrzymanie ciągłości;
  • interakcje i współpracę;
  • specjalizację i profesjonalizm.

Warto pamiętać, iż możemy mieć problem z odbiorem przekazywanych informacji na temat bezpieczeństwa. Personel, który nie posiada specjalistycznej wiedzy z reguły nie jest w stanie odpowiednio postrzegać komunikatów informacyjnych specjalistów ds. bezpieczeństwa, którzy z kolei mogą nie mieć wystarczającego poziomu umiejętności metodologicznych.

Kompleksowy program podnoszenia świadomości pracowników i kształtowania kultury w zakresie bezpieczeństwa informacji składa się z trzech głównych elementów:

  • Szkoleń pracowników organizacji
  • Utrzymania atmosfery bezpieczeństwa informacji
  • Oceny skuteczności, aktualizacji i doskonalenia

Szkolenie pracowników organizacji
Etapy opracowania treści szkoleniowych na temat bezpieczeństwa informacji w ramach realizacji programu:

  1. opracowanie tematycznych kwestionariuszy, dotyczących bezpieczeństwa informacji dla różnych kategorii pracowników organizacji – ma to na celu przeprowadzenie oceny ich poziomu wiedzy w kwestiach bezpieczeństwa informacji;
  2. opracowywanie różnych rodzajów materiałów offline i online, w tym rozwój interaktywnych kursów e-learningowych;
  3. utrzymanie atmosfery bezpieczeństwa informacji w organizacji, za pomocą różnych narzędzi jak notatki, plakaty, wygaszacze ekranu, wiadomości;
  4. rozwój produktów, mających na celu aktywne zaangażowanie pracowników w proces zapewnienia bezpieczeństwa informacji w organizacjach: szkolenia, filmy, nauka gier online;
  5. zapewnienie rzetelnej kontroli nad przeszkoleniem i sprawdzeniem wiedzy, na podstawie egzaminów i testów pracowników na odporność na realne ataki.

Szkolenie pracowników organizacji może być realizowane za pomocą następujących narzędzi:

  • Treningi i szkolenia (w postaci wykładów, konwersacji i ćwiczeń)
  • E-learning (np. portal szkoleniowy, oprogramowanie, kursy e-learningowe, webinaria, gry komputerowe)
  • Forum, czat, infolinia.

Utrzymanie atmosfery bezpieczeństwa informacji
Podnoszenie świadomości w zakresie bezpieczeństwa informacji nie powinno być szkoleniem wysoce specjalistycznym. Im prostsze i bardziej dostępne będą materiały, tym łatwiej będą je zapamiętywać pracownicy organizacji.
Najbardziej skuteczne są:

  • plakaty;
  • wygaszacze ekranu;
  • wiadomości e-mail;
  • banery;
  • filmy;
  • ulotki i broszury;
  • gadżety i pamiątki.

Ocena skuteczności i doskonalenie
Egzaminy, testy wiedzy, audyty wewnętrzne i zewnętrzne oraz ataki na personel w postaci prowokacyjnych wiadomości e-mail i/lub SMS/MMS nakłaniających użytkowników do naruszenia zasad bezpieczeństwa informacji obowiązujących w organizacji.
W ramach realizacji rzeczywistych ataków przeprowadzenie sprawdzenia wiedzy użytkowników na temat:
• polityki haseł;
• stosowania i znajomości zasad zgodności z przyjętą klasyfikacją informacji;
• przeciwdziałania atakom wirusów;
• zasad korzystania z poczty elektronicznej i Internetu;
• zasad bezpiecznego korzystania z mobilnych urządzeń itp.
Na podstawie danych z oceny, które zostaną zgromadzone, zostanie przeprowadzona analiza oraz wykazana przydatność i skuteczność programu podnoszenia świadomości. Dane te również będą stanowić podstawę do aktualizacji i doskonalenia.

Jakich rezultatów się spodziewać?

  • zmniejszenia strat organizacji (materialnych, wizerunkowych itp.) wynikających z zagrożeń związanych z czynnikiem ludzkim;
  • zmniejszenia liczby błędów i poważnych konsekwencji niezamierzonych działań pracowników;
  • zwiększenia wkładu każdego pracownika w poprawę bezpieczeństwa informacji organizacji;
  • osiągnięcia postępów w kwestiach przestrzegania regulacji i zasad dotyczących bezpieczeństwa informacji w organizacji.

Dodatkowo w organizacji powinien być opracowany odpowiedni proces dyscyplinarny dotyczący naruszeń w zakresie bezpieczeństwa obejmujący dochodzenie, reagowanie na incydenty oraz odpowiednie działania korygujące i zapobiegawcze.
Przy tworzeniu kultury organizacyjnej trzeba pamiętać, że to ma być złożona i elastyczna koncepcja. Z roku na rok jej rola w ogólnej strategii rozwoju organizacji i bezpieczeństwie informacji stale rośnie, również dlatego, że zapewnia wsparcie i skuteczną realizacje postanowień systemu zarządzania bezpieczeństwem informacji.

Przewijanie do góry