DZIAŁANIA ORGANIZACYJNE PO ODWRÓCENIU WYCIEKU INFORMACJI ZE STRONY PRACOWNIKÓW ORGANIZACJI
Zastanówmy się jakie możemy podjąć działania organizacyjne, aby zapobiec wyciekowi informacji.
Głównym źródłem wycieku informacji z organizacji jest jej personel. Czynnik ludzki jest zdolny do złamania wszelkich najbardziej wyrafinowanych mechanizmów bezpieczeństwa. Potwierdzają to liczne dane statystyczne. Zdecydowana większość incydentów bezpieczeństwa jest związana z działalnością pracowników.
Nic dziwnego, że praca z personelem jest jednym z głównych aspektów bezpieczeństwa i ochrony organizacji.
Główne warunki efektywnej pracy z personelem to koordynacja działalności służby bezpieczeństwa w różnych kierunkach (bezpieczeństwo wewnętrzne, informacji, prawne, techniczne itp.) i bliska współpraca z innymi działami (personalnym, prawnym, informatycznym i innymi).
Zadaniem służby bezpieczeństwa jest z jednej strony, ujawniać osoby skłonne do oszustw, wykradania informacji, niesumiennej pracy itp., z drugiej – budowa zgranego zespołu i premiowanie sumiennych pracowników. Do tego służą działania organizacyjne i organizacyjno-techniczne, wykorzystujące osobiste obserwacje i rozmowy, a także wyniki pracy analityczno-informacyjnej i wywiadowczej.
Środki organizacyjne, których należy użyć to:
- ustalenie jednolitego wzoru dokumentacji i egzekwowanie przestrzegania procedur przez personel,
- nadzór służby bezpieczeństwa nad przestrzeganiem procesów,
- regularna praca u podstaw (budowa postawy moralnej, świadomości, konieczności przestrzegania zasad)
- działania zapobiegawcze (ujawnienie osób skłonnych do łamania zasad, wyjaśnianie skutków łamania prawa itp.).
Do ogólnych wymogów bezpieczeństwa, które należy stosować przy pracy z personelem zalicza się:
- odpowiedzialność za bezpieczeństwo informacji powinna być opisana w zakresach obowiązków oraz instrukcjach postępowania i zawierać odpowiedzialność za stosowanie polityki bezpieczeństwa; odpowiedzialność za zasoby, procesy i cele bezpieczeństwa,
- przeprowadzenie odpowiedniej kwalifikacji i predyspozycji pracowników podczas zatrudniania, uwzględniając: charakter, rekomendacje, wiarygodność CV, wykształcenie i kwalifikacje, a także dokumenty potwierdzające tożsamość osoby oraz jej doświadczenie,
- podpisanie umowy o poufności informacji z nowym pracownikiem powinno być obowiązkowym warunkiem zatrudnienia,
- wymagania bezpieczeństwa informacji powinny być opisane w dokumentach zatrudnienia wraz ze wskazaniem odpowiedzialności za naruszenie bezpieczeństwa.
Informacje uzyskane podczas sprawdzania pracowników organizacji są składnikami zaświadczenia analitycznego, które dodaje się do akt osobowych. To pozwala systematyzować pracę z danymi.
W zaświadczeniu musi być odnotowane, czy pracownik przejawia lekceważący stosunek do obowiązków służbowych, czy podejmuje niefachowe decyzje, czy narusza dyscyplinę, czy został przyłapany na nieuczciwości – albo przeciwnie: wykazuje wysokie wyniki w pracy, pełni sumiennie swoje obowiązki, wyróżnia się zaletami osobistymi takimi jak: przyzwoitość, uczciwość, gotowość pomocy kolegom itp. Informacja analityczna musi zawierać wnioski, otrzymane w wyniku oceny bieżących wydarzeń.
Nauczanie i kontrolę wiedzy pracowników należy przeprowadzać w obszarze:
- polityki bezpieczeństwa organizacji,
- procedury wyboru, zmiany i użycia haseł,
- zasady otrzymywania dostępu do zasobów systemu informacyjnego,
- sposobu postępowania z informacją oraz informacją poufną,
- procedury informowania o incydentach, błędach i usterkach oprogramowania oraz sprzętu, zagrożeniach, słabych obszarach, itp.
W organizacji powinien zostać opracowany odpowiedni proces dyscyplinarny, przeprowadzany wobec osób naruszających bezpieczeństwo, który przewiduje śledztwo, likwidację skutków incydentów i adekwatne działania naprawcze.
Niezapewnienie bezpieczeństwa organizacji przed wyciekiem informacji to realny problem i od jego rozwiązania zależy konkurencyjność organizacji.
Warto podkreślić, że skuteczna realizacja czynności przeciwdziałających wyciekowi informacji jest możliwa tylko, gdy w organizacji czynnie działa system zarządzania bezpieczeństwem informacji. Charakteryzuje się to przede wszystkim obecnością przestrzeganej polityki bezpieczeństwa, procedur, procesów, mechanizmów kontroli i odpowiednio zbudowanej struktury organizacyjnej.
Autor: Maryna Kuczyńska