04_19_Informačná bezpečnosť firiem – 4. časť
Informačná bezpečnosť firiem – 4. časť
Ako riadiť informačnú bezpečnosť v personálnej oblasti? Každá firma, ktorá spracúva informácie, ich spracúva prostredníctvom vlastných zamestnancov, alebo prostredníctvom externých dodávateľov a ich zamestnancov. Pri spracúvaní údajov sa síce používajú rôzne informačné systémy, softvér, počítače a podobne, ale tá najväčšia zodpovednosť je na ľuďoch, na pracovníkoch, ktorí údaje do systémov zadávajú, dopĺňajú, aktualizujú, vyhodnocujú, jednoducho s nimi pracujú. Aj preto musí byť súčasťou riadenia informačnej bezpečnosti firiem aj personálna bezpečnosť. Žiadny firewall, ani antivírus totiž nezabráni porušeniu ochrany, ak s údajmi pracuje nepreškolený človek.
Ako pristúpiť k personálnej bezpečnosti? Každá firma musí mať na pamäti, že ich zamestnanci musia byť oboznámení s tým, ako majú spracúvať informácie a ako ich majú chrániť. Inak povedané, zamestnanci musia vedieť, čo majú robiť a robiť nemajú. Pre bežných pracovníkov nemusí byť zoznam ich povinností ohľadom informačnej bezpečnosti dlhý, ale ak firma prijíma zamestnanca, ktorého úlohou bude aj zodpovednosť za dôležité informačné aktíva (napríklad hlavný účtovník, vedúci projektant alebo správca IT), mal by túto pozíciu zastávať iba zamestnanec so zodpovedajúcim bezpečnostným povedomím. I. Začína to výberom zamestnancov V inzerátoch sa často stretávame s požiadavkou, aby uchádzač ovládal prácu s PC. Túto všeobecnú požiadavku každý uchádzač ako tak spĺňa. Ako si teda preveriť bezpečnostné povedomie uchádzača o prácu? Pokiaľ ide o bežnú pracovnú pozíciu (a nie o IT špecialitu), odporúčame opýtať sa na ovládanie základných bezpečnostných pravidiel, napríklad či by dovolil inej osobe pracovať s jeho počítačom pod jeho heslom, či je zvyknutý ukladať si heslá k internetových stránkam priamo v prehliadači, či by si dovolil do pracovného počítača doinštalovať softvér stiahnutý z internetu, alebo ako by reagoval na e-mail od neznámeho odosielateľa, v ktorom je príloha alebo link na neznámu web stránku. Z jeho odpovedí si môžete urobiť obraz o tom, aké povedomie má o možných rizikách a či by hneď po nástupe firmu svojím nezodpovedným počínaním neohrozil. II. Proces pri nástupe a odchode zamestnanca Každý nový zamestnanec by pri nástupe do zamestnania mal dostať informácie o tom, aké aplikácie a systémy bude pri práci používať, aké sú jeho prístupové práva, čo v rámci programov môže robiť, či môže údaje spracúvať, kam ich má ukladať, komu ich môže poskytnúť a komu ich poskytnúť nemôže, či si ich môže zobrať spracovať domov, alebo či sa môže k pracovisku pripojiť vzdialene a podobne. Zoznam povinností a oprávnení môže byť dlhý i krátky – to závisí od pracovnej pozície. Nemalo by sa však stať, že si nový pracovník sám od kolegov „vybavuje“ prístup k jednotlivým
44
Ročník_2019_04
systémom a dátam. Pre každú pracovnú pozíciu by firma už mala mať pripravené prístupové práva podľa tzv. „rolí“. Pri odchode zamestnanca je nutné myslieť na odovzdanie zverených zariadení, zaarchivovanie elektronickej pošty, deaktivovanie prístupových účtov a prípadné delegovanie úloh a oprávnení na iného zamestnanca. III. Je potrebné myslieť na zastupovanie Ak sú vo firmách zamestnanci, ktorých neprítomnosť by počas chorôb alebo dovoleniek mohla spôsobiť problémy, je potrebné myslieť aj na ich zastupovanie, a to rovnako kompetentnou a zodpovednou osobou. Zastupujúci pracovník by mal počas zastupovania získať adekvátne prístupové práva a po ukončení zastupovania by mu mali byť odobraté. Aby sa dodržalo pravidlo, že každý pracovník má prístup iba do systémov, ktoré sú nutné pre plnenie jeho pracovných úloh. V opačnom prípade sa firmy vystavujú riziku, že všetci majú prístup ku všetkému, a v prípade úniku informácií alebo straty dát sa ťažko hľadá vinník. IV. Povinnosti zamestnancov vo vzťahu k bezpečnosti Súčasťou pracovných pokynov zamestnancov by mali byť základné povinnosti zamestnanca, ktoré určuje politika informačnej bezpečnosti. Môže ísť o základné ustanovenia: napr. zamestnanec je povinný pre prácu s PC používať iba svoje prihlasovacie meno a heslo; heslá je zamestnanec povinný chrániť; zamestnanec je povinný oznámiť zneužitie hesla alebo podozrenie zo zneužitia hesla; zamestnanec je povinný ohlásiť porušenie bezpečnosti alebo hroziace riziko a pod. Zároveň by súčasťou pracovných pokynov mali byť aj ustanovenia o tom, čo zamestnanec nesmie: napr. pre prácu s PC používať prihlasovacie meno a heslo inej osoby; vyvíjať činnosť, aby získal prístup k údajom a systémom, na ktoré nemá oprávnenie; vyvíjať činnosť, ktorá by viedla k obmedzeniu prevádzky a dostupnosti systémov alebo k zníženiu bezpečnosti a pod. Ak takéto ustanovenia v pracovných pokynoch nie sú, veľmi ťažko sa vynucuje ich plnenie a v prípade bezpečnostného incidentu sa veľmi ťažko vyvodzuje voči zamestnancom zodpovednosť.
