Proces bezpieczeństwa
Wiedza 3 lutego 2017 Krzysztof Sadecki
Wprowadzenie
Pracując przez wiele lat jako konsultant do spraw bezpieczeństwa oraz specjalista od spraw bezpieczeństwa środowiska teleinformatycznego dla dużej organizacji finansowej, wprowadzającej rekomendację D oraz rekomendacje dotyczące bezpieczeństwa usług finansowych, doskonale rozumiem, że utrzymanie wysokiego poziomu świadomości wśród pracowników instytucji jest kluczowym aspektem w każdej organizacji.
Uważam jednak, że do tej pory miałem olbrzymie szczęście i nie wydarzył się żaden krytyczny incydent bezpieczeństwa, ale wiem z doświadczenia, że aby uniknąć jakichkolwiek incydentów bezpieczeństwa, należy poważnie skupić się na największej podatności, jaka występuje w każdej organizacji, a mianowicie na czynniku ludzkim. W realnym świecie incydenty spowodowane przez nieświadomych użytkowników stanowią zdecydowanie największy odsetek wszystkich wykrytych incydentów.
Na podstawie doświadczenia w różnych instytucjach doskonale rozumiem, że skuteczny program, dotyczący bezpieczeństwa organizacji jest jednym z najważniejszych elementów planu zmniejszania ryzyka operacyjnego oraz ciągłości działania organizacji. Jeśli instytucje nie posiadają programu dotyczącego ochrony organizacji lub posiadają wadliwy program, to bardzo szybko może się okazać, że w przyadku potencjalnego naruszenia bezpieczeństwa teleinformatycznego mogą mieć katastrofalne skutki dla każdej organizacji, zarówno pod względem finansowym, jak i pod względem naruszenia dobrego imienia organizacji.
Priorytetową sprawą w każdej organizacji powinno być odpowiednie zapewnienie poziomu bezpieczeństwa. Jednym z elementów zapewniania bezpieczeństwa jest podnoszenie poziomu wiedzy w dziedzinie bezpieczeństwa i powinno to być realizowane poprzez skuteczne szkolenia w organizacji. Komisja Nadzoru Finansowego w rekomendacji D wskazuje, że za poziom świadomości odpowiada zarząd oraz rady nadzorcze instytucji finansowych, obarczając te jednostki pełną odpowiedzialnością. Przez kilka lat, przy wsparciu zarządów oraz kierowictwa wyższego szczebła, budowałem kulturę stosowania dobrych praktych w zakresie bezpieczeńśtwa w ramach danej organizacji.
Prezentacje dotyczące świadomości bezpieczeństwa teleinformatycznego są ważną częścią uświadamiania pracowników instytucji finansowej, ale nie jedynymi i bardzo często dotykają innych obszarów organizacji, które także powinny zostać uwzględnione. W tym celu opracowałem listę kontrolną, która przydaje się do kontroli poziomu świadomości w danej organizacji.
Planowanie procesu
Należy się upewnić zawsze, że wszystkie informacje zawarte w procesie są jasne i przejrzyste oraz zgodne z obowiązującymi normami prawnymi. Dodatkowo już teraz musisz zidentyfikować wszystkie kluczowe punkty swoich polityk bezpieczeństwa oraz procedur operacyjnych. Jeśli zastanowisz się chwilę nad każdym elementem polityki bezpieczeństwa, bardzo szybko zdefiniujesz wszystkie punkty, które należy wzmocnić. Poświęć chwilę czasu, aby odpowiedzieć sobie na nastepujące pytania:
- Jakie są wymagania oraz ustalenia wewnątrz organizacji, dotyczące zgłaszania wszelakich incydentów bezpieczeństwa, zarówno tych rzeczywistych, jak i podejrzanych?
- Kogo należy powiadomić, kiedy zaistnieje incydent bezpieczeństwa?
- Co oznacza dla organizacji wystąpienie incydentu bezpieczeństwa?
Co oznacza bezpieczeństwo oraz co stanowi jego naruszenie?
Aby zdefiniować naruszenie bezpieczeństwa, należy zastanowić się nad pojęciami integralności, poufności oraz dostepności. W praktyce oznacza to, że wszystko, co może mieć negatywny wpływ na którykolwiek z tych trzech czynników, można uznać za incydent bezpieczeństwa.Odnosząc się do jednego lub dwóch aktualnych incydentów bezpieczeństwa, można zastanowić się, co ma wpływ na ryzyko operacyjne oraz ciągłość działania, kiedy wystąpi krytyczny incydent bezpieczeńśtwa. Aczkolwiek wszystko, co się aktualnie dzieje, może być odrobinę przesadzone, a nie należy sobie zapewniać zbyt dużej ilości false / positive w przypadku identyfikowania zagrożeń.
Całość polityk i programów bezpieczeństwa musi być tak prosta, jak to jest tylko możliwe
Należy skupiać się na kluczowych wymaganiach. Czy zadaliście już sobie pytanie, jak bardzo musi być świadomy przeciętny pracownik waszej instytucji, aby uniknąć problemów związanych z bezpieczeństwem teleinformatycznym podczas wykonywania codziennej pracy? Ta część nie powinna obejmować wszystkich aspetków polityk oraz procedur bezpieczeńśtwa, ponieważ jest to zwykle nudne dla przeciętnego pracownika i wydaje się mu w całości bez większego znaczenia. Należy używać prostej struktury do tworzenia slajdów oraz materiałów informacyjnych.
Na przykład, warto zastanowić się, czy nie przygotować małego zestawu slajdów, które będą się skupiać na trzech elementach: „nie wolno”, „niemile widziane” i „w jaki sposób ponieść świadomość”. Każdy z nich powinien mieć maksymalnie pare podpuntków. Ddoatkowo każdy ze slajdów powinien być przestawiony w odpowiedniej formie graficznej i każdy powinniśmy umiec wyjaśnić w prosty sposób. Bardzo ważne jest zaznaczenie punktów, które są niezwykle istotne dla personelu. Dodatkowo należy także podkreślić elementy, które mogą negatywnie oddziałowywać na organizację lub poszczególnych członków personelu. Kilka stron, które będą obejmować kluczowe elementy polityk i procdur bezpieczeństwa zwykle powinny być dla wszystkich wystarczające.
Rozjaśniaj trudne zagadnienia
Kolejny bardzo istotny punkt. Nalezy koniecznie unikać zbyt dużej ilości tekstu i zbyt ciężkiego technicznego żargonu. Należy pamiętać o tym, aby nie próbować wpajać zasad na siłę, a bardziej zachęcać do zadawania pytań.
Wytyczne dotyczące bezpieczeństwa osobistego pracowników
Wprowadzając w organizacji pewne wskazówki, należy pamiętać także o tym, co jest istotne dla pracowników w kwestii ich osobistego bzpieczeństwa, gdyż wtedy pewne dobre zasady postępowania przenoszą do własnych domów i w ten sposób procedury bezpieczeństwa angażują osobiście pracowników, szczególnie jeżeli mówimy o codziennym używaniu dobrych praktyk. Bardzo dobrym przykładem jest doradztwo w zakresie mediów społecznościowych. W tej polityce bezpieczeńśtwa powinno być ujęte między innymi to, że pracownicy nie mogą korzystać podczas pracy w domenie z hasła, które jest identycznej jak ich hasło do mediów społecznościowych.
Samodzielne dokonywanie prezentacji
W przypadku prezentacji dotyczących bezpieczeństwa w organizacji treść nie jest wcale rzączą najważniejszą. Najważniejszą rzeczą jest osoba dokonująca prezentacji. Osobą tą koniecznie powinien być menedżer bezpieczeństwa obszaru IT. Pozwala to pracownikom oswoić się z konkretną osobą. Dzięki temu będą doskonale wiedzieć, z kim mają się kontaktować w przypadku jakichkolwiek wątpliwości lub kiedy będą potrzebować jakichkolwiek wskazówek w dziedzinie bezpieczeństwa teleinformatycznego, a co najważniejsze poznają osobiście osobę, do której mają zgłaszać wszystkie incydenty bezpieczeństwa. Aczkolwiek czasami jest tak, że menedżer bezpieczeństwa nie ma odpowiedniej prezencji, wiedzy lub wykształcenia, aby samodzielnie przygotować prezentację i samodzielnie przeprowadzić szkolenia. Wtedy firma, która przygotowuje szkolenia, powinna zaznaczyć, że to on jest osobą, która będzie udzielać wszystkich dostępnych informacji.
Rola dyrektorów oraz menedżerów
Wszyscy menedżerowie w organizacji są najlepszymi osobami, które mogą nadzorować przestrzeganie przez pracowników polityk i procedur bezpieczeństwa. Powinni bezwzględnie pilnować, aby wszystkie incydenty bezpieczeństwa, pochodzące z zakresu ich odpowiedzialności, były natychmiast zgłaszane. Odpowiedzialność ta powinna być zawsze dodana do formalnego opisu stanowiska pracy osób, które pełnią role kierownicze. Odpowiedzialność ta powinna być także zawsze podkreślania podczas wszystkich prezentacji w instytucji i podczas prezentacji musi byc jasno wskazane, że są to najwłaściwsze osoboy, które mogą udzielać wszelkich porad oraz wskazówek.
Koniecznie podaj szczegółowe informacje na temat dalszego kontaktu
Dane kontaktowe do działu bezpieczeńśtwa IT są najważniesze, ale powinniście zastosować wszystkie możliwe środki. Na przykład, jeśli macie stronę intranetową lub jakiekolwiek inne miejsce, gdzie publikujecie informacje, to koniecznie musicie podać linki.
Szkolenie nie jest wydarzeniem jednorazowym
Upewnijcie się koniecznie, że cały personel organizacji brał udział w szkoleniu i że są ustawione kolejne sesje szkoleniowe dla pracowników i są one zgodne z wymaganiami odpowiednich instytucji prawnych. Oczywiście co jakiś czas, minimum co dwa lata, powinny się odbyć ponowne szkolenia pracowników, aby uświadomić ich o nowych lukach w bezpieczeństwie.
Zbieraj opinie i opieraj się na nich
Bardzo ważnym elementem jest zbieranie opinii o wszyskich prezentacjach dotyczących bezpieczeństwa. Idealny sposób to rozdawanie anonimowych kwestionariuszy. Pomaga to określić zakres zmian, jaki może się okazać przydatny podczas dalszych prezentacji.
Dodatkowe środki propagowania informacji
Jak wspomnano wcześniej, budowanie odpowiedniego programu bezpieczeństwa w instytucji finansowej, to nie tylko szkolenia i prezentacje. Istnieją także środki, takie jak firmowa strona intranetowa, regularne rozsyłanie newslettera bezpieczeństwa, plakaty opisujące kluczowe elementy bezpieczeństwa, które mogą być umieszczone w całym budynku. Dodatkowo informacje można rozprowadzać za pomocą innych mediów promocyjnych lub w magazynie dla pracowników, który mógłby trafiać do każdego pracownika.
Podsumowanie artykułu
Prezentacje dotyczące świadomości bezpieczeństwa są podstawowym środkiem, jaki pozwala wprowadzać dobre praktyki w zakresie bezpieczeństwa organizacji. Prezentacje powinny być starannie zaplanowane i zweryfikowane pod kątem istniejących polityk i procedur bezpieczeńśtwa, a dopiero potem rozesłane pracownikom. Prezentacje nie mogą być nudne ani przytłaczać waszych pracowników. Skoncentrujcie się na tym co niezbędne, aby pomóc pracownikom przestrzegać dobre praktyki w zakresie bezpieczeństwa podczas ich codziennej pracy. Oczywiście prezentacje nie mogą być wydarzeniem jednorazowym, ale muszą być przeprowadzane regularnie.
Read it in english version: http://www.businessmantoday.us/the-process-of-safety/