Zwracałem uwagę na smutną rzeczywistość osób odpowiedzialnych za bezpieczeństwo – fakt, że aby ochronić zasoby informacyjne konieczne jest wyeliminowanie wszystkich potencjalnych podatności. Przestępcy potrzeba jednakże znalezienia jedynie jednej podatności by wykraść, usunąć bądź zmodyfikować dane. Zaproponowałem by tak ukierunkować świadomość pracowników aby myśleli tak jak specjaliści do spraw bezpieczeństwa, by sami proaktywnie wykrywali i eliminowali potencjalne problemy, stając się tym samym pierwszą zewnętrzną warstwą systemu ochrony informacji.
Referat koncentrował się na metodach zdobywania tego poparcia. Kilka głównych praktyk wdrożenia programu zwiększenia świadomości użytkowników przedstawiłem następująco:
Zdobywanie poparcia kierownictwa
- zalety płynące z programu
- przekaz koncentrujący się na priorytetach
- postępy w realizacji planów
Stała obecność
- regularne akcje uświadamiające
- umiejscowienie zasad bezpieczeństwa w procedurach operacyjnych
- ułatwienie dostępu do niezbędnej dokumentacji
- testy bezpieczeństwa
- bezzwłoczne reagowanie na zgłaszane incydenty
Prowadzenie akcji uświadamiających
- krótkie wiadomości elektroniczne
- publikacje w korporacyjnym Intranecie, artykuły w firmowej gazetce, plakaty
- wiadomości umieszczane na tapecie pulpitu lub w treści wygaszacza ekranu
- krótkie filmy szkoleniowe
Więcej znajduje się w publikacji wydanej przez Studio EMKA (Społeczny Wymiar zrównoważonego rozwoju organizacji pod redakcją J.S. Kardasa i M. Jasińskiej). Zachęcam do lektury bądź przynajmniej do przeanalizowania i korzystania z powyższej listy podczas przygotowywania kampanii uświadamiających.
Prawdopodobnie najistotniejszym komunikatem, który należy przekazać tak menedżerom jak i szeregowym pracownikom jest to, jakie konsekwencje i straty oni sami mogą ponieść w wyniku nadużyć. Fakt, że np. HSBC został zmuszony do zapłacenia 3 mln funtów kary z pewnością nie pozostał bez wpływu na bonusy menedżerów i pracowników, a być może także i na stan zatrudnienia.
OdpowiedzUsuń