6 minute read
Ako riadiť informačnú bezpečnosť v personálnej oblasti?
Informačná bezpečnosť firiem – 4. časť
Ako riadiť informačnú bezpečnosť v personálnej oblasti?
Advertisement
Každá firma, ktorá spracúva informácie, ich spracúva prostredníctvom vlastných zamestnancov, alebo prostredníctvom externých dodávateľov a ich zamestnancov. Pri spracúvaní údajov sa síce používajú rôzne informačné systémy, softvér, počítače a podobne, ale tá najväčšia zodpovednosť je na ľuďoch, na pracovníkoch, ktorí údaje do systémov zadávajú, dopĺňajú, aktualizujú, vyhodnocujú, jednoducho s nimi pracujú. Aj preto musí byť súčasťou riadenia informačnej bezpečnosti firiem aj personálna bezpečnosť. Žiadny firewall, ani antivírus totiž nezabráni porušeniu ochrany, ak s údajmi pracuje nepreškolený človek.
Ako pristúpiť k personálnej bezpečnosti?
Každá firma musí mať na pamäti, že ich zamestnanci musia byť oboznámení s tým, ako majú spracúvať informácie a ako ich majú chrániť. Inak povedané, zamestnanci musia vedieť, čo majú robiť a robiť nemajú. Pre bežných pracovníkov nemusí byť zoznam ich povinností ohľadom informačnej bezpečnosti dlhý, ale ak firma prijíma zamestnanca, ktorého úlohou bude aj zodpovednosť za dôležité informačné aktíva (napríklad hlavný účtovník, vedúci projektant alebo správca IT), mal by túto pozíciu zastávať iba zamestnanec so zodpovedajúcim bezpečnostným povedomím.
I. Začína to výberom zamestnancov
V inzerátoch sa často stretávame s požiadavkou, aby uchádzač ovládal prácu s PC. Túto všeobecnú požiadavku každý uchádzač ako tak spĺňa. Ako si teda preveriť bezpečnostné povedomie uchádzača o prácu? Pokiaľ ide o bežnú pracovnú pozíciu (a nie o IT špecialitu), odporúčame opýtať sa na ovládanie základných bezpečnostných pravidiel, napríklad či by dovolil inej osobe pracovať s jeho počítačom pod jeho heslom, či je zvyknutý ukladať si heslá k internetových stránkam priamo v prehliadači, či by si dovolil do pracovného počítača doinštalovať softvér stiahnutý z internetu, alebo ako by reagoval na e-mail od neznámeho odosielateľa, v ktorom je príloha alebo link na neznámu web stránku. Z jeho odpovedí si môžete urobiť obraz o tom, aké povedomie má o možných rizikách a či by hneď po nástupe firmu svojím nezodpovedným počínaním neohrozil.
II. Proces pri nástupe a odchode zamestnanca
Každý nový zamestnanec by pri nástupe do zamestnania mal dostať informácie o tom, aké aplikácie a systémy bude pri práci používať, aké sú jeho prístupové práva, čo v rámci programov môže robiť, či môže údaje spracúvať, kam ich má ukladať, komu ich môže poskytnúť a komu ich poskytnúť nemôže, či si ich môže zobrať spracovať domov, alebo či sa môže k pracovisku pripojiť vzdialene a podobne. Zoznam povinností a oprávnení môže byť dlhý i krátky – to závisí od pracovnej pozície. Nemalo by sa však stať, že si nový pracovník sám od kolegov „vybavuje“ prístup k jednotlivým systémom a dátam. Pre každú pracovnú pozíciu by firma už mala mať pripravené prístupové práva podľa tzv. „rolí“.
Pri odchode zamestnanca je nutné myslieť na odovzdanie zverených zariadení, zaarchivovanie elektronickej pošty, deaktivovanie prístupových účtov a prípadné delegovanie úloh a oprávnení na iného zamestnanca.
III. Je potrebné myslieť na zastupovanie
Ak sú vo firmách zamestnanci, ktorých neprítomnosť by počas chorôb alebo dovoleniek mohla spôsobiť problémy, je potrebné myslieť aj na ich zastupovanie, a to rovnako kompetentnou a zodpovednou osobou. Zastupujúci pracovník by mal počas zastupovania získať adekvátne prístupové práva a po ukončení zastupovania by mu mali byť odobraté. Aby sa dodržalo pravidlo, že každý pracovník má prístup iba do systémov, ktoré sú nutné pre plnenie jeho pracovných úloh. V opačnom prípade sa firmy vystavujú riziku, že všetci majú prístup ku všetkému, a v prípade úniku informácií alebo straty dát sa ťažko hľadá vinník.
IV. Povinnosti zamestnancov vo vzťahu k bezpečnosti
Súčasťou pracovných pokynov zamestnancov by mali byť základné povinnosti zamestnanca, ktoré určuje politika informačnej bezpečnosti. Môže ísť o základné ustanovenia: napr. zamestnanec je povinný pre prácu s PC používať iba svoje prihlasovacie meno a heslo; heslá je zamestnanec povinný chrániť; zamestnanec je povinný oznámiť zneužitie hesla alebo podozrenie zo zneužitia hesla; zamestnanec je povinný ohlásiť porušenie bezpečnosti alebo hroziace riziko a pod.
Zároveň by súčasťou pracovných pokynov mali byť aj ustanovenia o tom, čo zamestnanec nesmie: napr. pre prácu s PC používať prihlasovacie meno a heslo inej osoby; vyvíjať činnosť, aby získal prístup k údajom a systémom, na ktoré nemá oprávnenie; vyvíjať činnosť, ktorá by viedla k obmedzeniu prevádzky a dostupnosti systémov alebo k zníženiu bezpečnosti a pod.
Ak takéto ustanovenia v pracovných pokynoch nie sú, veľmi ťažko sa vynucuje ich plnenie a v prípade bezpečnostného incidentu sa veľmi ťažko vyvodzuje voči zamestnancom zodpovednosť.
z informačných systémov. Každý program, každá aplikácia má svoju logiku, svoj systém zabezpečenia a systém prístupových práv. Pred každým nasadením nového systému je potrebné zamestnancov preškoliť na správnu prácu, správne postupy a otestovať, či v rámci prechodu nedošlo k chybám, ktoré by mali za následok to, že niekto by videl dáta, ktoré nemá, alebo naopak, niekto by nemal dostupné dáta, ktoré potrebuje pre prácu. Ak zamestnancov dobre nepreškolíte a neotestujete bezpečnosť hneď na začiatku, budú si sami hľadať cestičky, ako si prácu uľahčiť a to so sebou prináša riziká.
Ako a prečo zamestnancov aj vzdelávať?
Žiadne príkazy a pokyny nebudú účinné, ak zamestnanci firiem nebudú chápať ich potrebu a nebudú vedieť, prečo je bezpečnostné opatrenia potrebné dodržiavať. Ak si budú vedomí rizík, ktoré im na pracovisku hrozia, ocenia úlohu bezpečnostných opatrení a budú ich plniť s vedomím, že tým chránia aj seba aj výsledky svojej práce. Zamestnanci by sa mali školiť pravidelne a v prípade potreby aj mimoriadne.
I. Plánujte pravidelné školenia
Minimálne raz ročne by sa mali zamestnanci firiem zúčastniť školenia, ktoré sa týka informačnej bezpečnosti. Školenie je dobré po obsahovej stránke pripraviť tak, aby nebolo nudné. Obsahom školenia môže byť zopakovanie základov politiky informačnej bezpečnosti, poukázanie na najčastejšie chyby, ktoré pri jej dodržiavaní zamestnanci robia a aké riziká to prináša. Pre oživenie školenia odporúčam využiť príklady z praxe, napríklad medializované informácie o bezpečnostných incidentoch s poukázaním na to, že pri dodržaní bezpečnostných pravidiel sa tomu dá predísť. Počas školenia je dobré udržať pozornosť zamestnancov priebežne kladenými otázkami, ktoré sa týkajú rôznych zaujímavostí z obsahu školenia. Cieľom pravidelných školení nie je podpísaná prezenčná listina, ale zamestnanci, ktorí z obsahu školenia odchádzajú poučení a obozretnejší.
II. Školenia pri zmenách systémov
Myslite aj na potrebu školení zamestnancov v prípade, že zavádzate alebo meníte niektorý
III. Školenia po bezpečnostných incidentoch
Zatiaľ čo pravidelné školenia a školenia pri zmenách systémov majú preventívnu funkciu a mali by sa plánovať, tak v prípade, že vo firme dôjde k porušeniu ochrany, je nutné preškoliť zamestnancov tak, aby sa v budúcnosti podobným incidentom predišlo.Tieto školenia majú často na zamestnancov najväčší vplyv, lebo ide o učenie sa na vlastných chybách.
Ako by školenie po bezpečnostnom incidente malo vyzerať, to závisí od povahy incidentu. Ak išlo o zlyhanie konkrétneho zamestnanca, je dobré pracovníkom vysvetliť, ktoré predpisy boli porušené, k čomu to viedlo, ako sa to dá napraviť, prečo treba pravidlá rešpektovať a ako sa do budúcnosti budú pravidelne kontrolovať.
Ak išlo o systémové zlyhanie, t.j. k porušeniu bezpečnosti prišlo, pretože sa nevenovala dostatočná pozornosť potenciálnemu riziku, je dobré zamestnancom vysvetliť, že sa zavádzajú nové opatrenia, ktoré od nich vyžadujú plnenie nových úloh. Ako veľmi je personálna bezpečnosť dôležitá?
Firmy, predovšetkým malé a stredné, majú tendenciu personálnu bezpečnosť podceňovať. Spoliehajú sa na to, že pri práci s PC toho zamestnanec veľa poškodiť nemôže a že hrozbou sú predovšetkým vírusy a hackeri útočiaci zo siete internet. Opak je však pravdou. Podľa prieskumu spoločnosti Eset o stave IT bezpečnosti v slovenských organizáciách je najčastejším dôvodom bezpečnostných incidentov konanie zamestnancov. Aj preto je personálna bezpečnosť a vzdelávanie zamestnancov základom pre riadenie informačnej bezpečnosti firiem. Dušan Peško konzultant pre GDPR
DÔVODY VÝSKYTU BEZPEČNOSTNÉHO INCIDENTU V ORGANIZÁCIÁCH
Zdroj: Eset, prieskum o stave IT bezpečnosti v slovenských organizáciách
