Budowanie świadomości buduje bezpieczeństwo

Jak wspomniałem w artykule ?Dlaczego nastąpił wyciek danych", zabezpieczenia fizyczne, technologiczne i proceduralne bez wysokiego poziomu świadomości zagrożeń oraz potrzeby ochrony informacji wśród wszystkich pracowników mogą nie zapewnić wymaganego poziomu bezpieczeństwa naszych informacji.

Z obserwacji Eagleauditors w ramach realizowanych audytów bezpieczeństwa informacyjnego wynika, że instytucje w Polsce już coraz częściej posiadają wdrożoną politykę szkoleń w zakresie bezpieczeństwa informacji. Niestety bardzo często zdarza się, że polityka taka nie uwzględnia wszystkich pracowników przebywających, nawet tych tymczasowych (stażyści, firmy współpracujące) na terenie firmy i dopuszczonych do przetwarzania informacji. Najczęściej polityka pomija najwyższą kadrę zarządzającą. Na pytanie, dlaczego? Odpowiedź, jeśli to nie było przeoczenie wskazywała na problemy wynikające z zagospodarowaniem czasu przez Kierownictwo na tego typu szkolenia oraz twierdzenie przez samo Kierownictwo, że najlepiej wie co i po co mają chronić, więc takie szkolenia im nie są potrzebne.

Kolejna grupa, której często nie uwzględnia się w polityce szkoleń to pracownicy odpowiedzialni za sprzątanie pomieszczeń biurowych firmy. A przecież osoby takie, mimo, że nie zostali upoważnieni do przetwarzania danych mogą nierzadko uzyskać do nich dostęp. Warto, aby byli świadomi odpowiedzialności prawnej w tym zakresie.

Projektując politykę szkoleń i uświadamiania należy w niej uwzględnić każdego pracownika, od pracownika recepcji, po administratorów sieci teleinformatycznych do najwyższego Kierownictwa firmy. Szkolenia powinny być organizowane regularnie i uwzględniać w programie wszystkie znane techniki stosowane do nieuprawnionego pozyskiwania informacji i dostępu do danych. Program szkolenia przede wszystkim musi być dostosowywany do poszczególnych grup pracowników. Inne zagrożenia oraz zakres i potrzeba ochrony dotyczy zwykłego użytkownika sieci komputerowej, a inne w przypadku administratorów sieci. Takich różnych grup pracowników w instytucji można zidentyfikować dużo więcej.

Utrzymanie świadomości poza formą spotkań szkoleniowych tradycyjnych można zapewnić dzięki np. umieszczaniu w firmowych biuletynach lub wewnętrznym portalu informacyjnym wszelkich wiadomości, komunikatów związanych z bezpieczeństwem informacji. Dzięki promowaniu bezpieczeństwa poziom świadomości pracowników może znacznie wzrosnąć.

Jeśli masz problem ze zbudowaniem skutecznej polityki szkoleń i uświadamiania z zakresu bezpieczeństwa informacji zapraszam do skorzystania z oferty Eagleauditors.