Prawo w biznesie

Trzeba sobie zdać sprawę, że nie ma takich zabezpieczeń technicznych, które uchroniłyby naszą firmę przed włamaniami do systemu, jeśli czynnik ludzki zawiedzie. Dlatego też niezmiernie ważne jest, aby pracownicy przestrzegali zasad bezpieczeństwa. Wspomniane zabezpieczenia techniczne mogą jedynie zminimalizować udział ludzi w procesie decyzyjnym. Idealną sytuacją z punktu widzenia bezpieczeństwa byłoby gdyby nasz system był systemem bez udziału ludzi. Wtedy jednak, byłby całkowicie bezużyteczny. Podstawą sukcesu każdej firmy jest czynnik ludzki. Coraz częściej systemy informatyczne nie stanowią już o przewadze konkurencyjnej firmy. Chodzi o to, by przy dostępie jak największej ludzi do firmowej sieci komputerowej (intranet) było zapewnione bezpieczeństwo firmy.

Nawet najlepszy system stanowi tylko czubek góry lodowej, którą jest strategia bezpieczeństwa. Brak takowej albo oparcie jej na niewłaściwych założeniach to w większości wypadków przyczyny spadku wartości firmy. Zagrożeń stale przybywa i są one coraz bardziej “brutalne”. Rynek coraz bardziej opiera się na informacji i to właśnie ona jest kluczowym zasobem. Źródłem problemów naszej firmy może być np pracownik, któremu po zwolnieniu jest blokowane hasło, natomiast on może do swoich celów wykorzystać hasło kolegi nieświadomego tego faktu. Nie możemy dopuścić do takiej sytuacji, gdyż jest ona bardzo niebezpieczna, kryzys zaś może nadejść bardzo szybko. Dlatego potrzebne są szybkie i zdecydowane działania, choć oczywiste jest że w każdej organizacji pracownicy mają opory przed zmianami (zjawisko z socjologii pracy - oporu w organizacji niestety jest konsekwencją wprowadzania zmian).
Szeregowi pracownicy zawsze wiedzą, co w firmie najbardziej kuleje. Ba, często wiedzą, jak to naprawić. Ale nie mają dość władzy, by przeforsować zmiany. Dobrze by było, gdyby przy wszelkich kontaktach działu informatyki z resztą pracowników działała zasada “60-U”(”sixty understanding”), która polega na tym, że przystępność języka specjalisty IT sprawdza się stopniem zrozumienia tego, co mówi, przez przeciętnego 60-latka. Uważam, że najważniejsza w firmie jest komunikacja.Tak więc pracownicy powinni być powiadomieni, jak duże znaczenie ma to, by ich hasła były znane tylko im. Zadałbym pracownikom szereg pytań, dotyczących tego jak oni sobie wyobrażają rozwiązanie tego problemu.
W konsekwencji przeprowadzonych konsultacji, oraz własnej wiedzy, przejrzałbym procedury do spraw bezpieczeństwa. Procedury te muszą zawierać pewne niezbędne dla każdego informacje na poniższe tematy:

• Weryfikacja tożsamości (przez telefon) - na przykład unikalny numer pracownika.
• Weryfikacja uprawnień osoby proszącej o poufne dane - czy osoba, która zwraca się do nas z prośbą o informacje jest tym, za kogo się podaje i komu jakie informacje możemy przekazać.
• Procedura postępowania w przypadku podejrzanej prośby - powiadomienie odpowiednich osób w firmie odpowiadających za bezpieczeństwo.
• Procedury ochrony poufnych informacji oraz ich niszczenia.
• Ogólne sposoby konstruowania haseł, by były unikalne i niemożliwe do odgadnięcia.

Nie będę w tym momencie określał jak powinny wyglądać takie procedury, a jedynie chcę zauważyć, że niedobrze skonstruowane zasady tworzą patologię, tak więc walcząc z procederem niepoprawnego traktowania haseł przez pracowników trzeba też tym się zająć.

Procedury w formie pisemnej (broszura informacyjna, strona w intranecie), choć konieczne to jednak same są jeszcze mniej skuteczne. Do tego, by przekonać pracowników potrzebna jest wiedza z takich dziedzin jak socjologia i psychologia. Dobrze by było, aby w miarę oczywiście jak to jest możliwe, pracownicy byli dopuszczeni do używania komputera dopiero po przeprowadzonym szkoleniu. Przed rozpoczęciem szkolenia należy przeprowadzić symulowane ataki socjotechników na sieć komputerową, jest to bardzo przydatny element edukacyjny. Dosyć oczywiste, że sprawdza tu się powiedzenie, że człowiek się uczy na własnych błędach. Rezultaty takich ataków nie mogą służyć do wymierzenia kar pracownikom.

Proces ten musi objąć każdą osobę, która ma dostęp do komputera (połączonego w sieć).

Program szkolenia musi być krótki, podzielony ewentualnie na parę części - jeśli zajdzie taka potrzeba, także przyciągać uwagę i wzbudzać zainteresowanie. Jest to niezbędne aby komunikaty dotarły do ludzi, oraz by nie przytłoczyły pracowników. Od ludzi nie można oczekiwać uczestnictwa w kursach po godzinach pracy. Powinni też mieć wystarczająco czasu na przyswojenie sobie informacji.
Do przeprowadzenia kursu bezpieczeństwa potrzebna jest osoba będąca świetnym szkoleniowcem, to ożywi kurs.

Pierwszym elementem samego szkolenia musi być uświadomienie ludziom, że hasła dostępu do systemu są tak samo ważne dla firmy, jak dla ich samych - PIN karty kredytowej, oraz, że istnieją ludzie którzy bez skrupułów będą nimi manipulować, posuwając się do oszustwa i metod psychologicznych. Każdy pracownik organizacji musi to wiedzieć, oraz w każdej chwili musi być przygotowany na atak (prośbę o podania hasła itp.). Musi być zburzone poczucie bezpieczeństwa stworzone przez firewall’e i inne systemy zabezpieczeń.

W samym szkoleniu należy wykorzystać również takie elementy jak:

• Scenki rodzajowe: sprawi to że ludzie się zainteresują tematem i dowiedzą się jak może wyglądać atak.
• Przegląd doniesień medialnych na temat ataków Np w USA.

Podczas kursu należy sprawdzać i analizować postępy. W ramach weryfikacji wiedzy na temat bezpieczeństwa można posłużyć się testami. Po takim zaś teście należy omówić wyniki i je przeanalizować. Widać wtedy jakie obszary szkolenia należy trzeba jeszcze uzupełnić.

Ostatnim elementem szkolenia będzie podpisanie zobowiązania do przestrzegania zasad bezpieczeństwa. Uważam, że takie zobowiązanie jest konieczne. Opieram się na badaniach, które wykazały, że pracownicy, którzy podpisali takie zobowiązania, czynią większe wysiłki by dostosować się do reguł bezpieczeństwa.
Po szkoleniu zaś pracownicy muszą być tak zmotywowani aby sami chcieli uczestniczyć w procesie ochrony dóbr firmy. Opisanie korzyści, które osiągną sami pracownicy po zastosowaniu się do procedur bezpieczeństwa pomoże ich zmotywować. Przyczynianie się do ochrony firmy przed atakiem, przyczynia się również do ochrony danych swoich (danego pracownika) i kolegów, zaś sam atak może pozbawić pracowników ich cennych miejsc pracy. Dobrze jest też dawać nagrodę osobie, która najlepiej dba o bezpieczeństwo w firmie, w danym okresie czasu na przykład. Socjologia pracy przekonuje o tym, że jest to bardziej skuteczne od kar. W przypadku jednak rażącego naruszenia zasad bezpieczeństwa, musi istnieć szereg sankcji od odebrania premii, po zwolnienie dyscyplinarne. Każdy pracownik musi być tego świadom.

Ważne jest, by pracownicy widzieli że kadra zarządzająca jest bardzo zaangażowana w poprawę bezpieczeństwa firmy. Zabezpieczanie informacji powinno być częścią normalnych obowiązków każdej osoby w firmie.

Takie przeszkolenie jak przedstawiłem, powinno się odbywać dla każdej nowej osoby w firmie, a także w odstępie rocznym od poprzedniego szkolenia. Niestety pamięć ludzka jest zawodna, no i pracowników często trzeba motywować, a nie tylko raz i uważać, że już problemu niema. Do następnego kursu z dziedziny bezpieczeństwa pracownikom trzeba przypominać, o skutkach niepoprawnego traktowania haseł i procedurach bezpieczeństwa. Formy w jakich należy to robić są różne. Przykładowo w formie plakatów, listów elektronicznych, broszur, ogłoszeń nadawanych do grup dyskusyjnych pracowników firmy, poprzez informację umieszczoną po zalogowaniu pracownika do systemu.

Dosyć trywialne jest stwierdzenie, że żadne szkolenia nie zapewniają 100% bezpieczeństwa, tak więc powinno się stosować zabezpieczenia technologiczne, wszędzie tam, gdzie jest to tylko możliwe.

Rozwiązania które zaproponowałem są dosyć kosztowne, jednak warto czasem dziś stracić, by jutro zyskać. Bezpieczeństwo jest bardzo ważnym elementem dla dzisiejszych przedsiębiorstw. Same szkolenia pochłaniają przeciętnie 40% finansów przeznaczonych na zabezpieczenia informatyczne (reszta to sprzęt i oprogramowanie).

Artykuł pochodzi ze strony http://www.jestemdobry.pl