Veriga slabă

Omul.

Așa a fost dintotdeauna.

Angajații, fie din neglijență, fie din naivitate sau din răutate (fără a exclude și cerințele operaționale explicite, care de cele mai multe ori transformă un KPI/target în principalul obiectiv al angajatului), sunt cea mai frecventă cauză a incidentelor de securitate. Ce soluții sînt pentru a rezolva cauza? Pe de o parte avem soluțiile tehnice (DLP, MDM, user-based analytics, apps control, monitoring, cloud access security broker etc) pe de altă parte „măsurile administrative„ (contractul de muncă, politici/proceduri, acorduri de confidențialitate) și…instruire/educație. Cu aceasta din urmă este ceva mai dificil. Rezultatul „instruirii„, indiferent de formă, trebuie să se concretizeze în abilități și competențe. Simpla transmitere a unor informații care astăzi pot fi găsite și citite fără un efort prea mare, nu se numește instruire.

Orice angajat, indiferent de rol/poziție ar trebui să aibă cunoștințe despre: amenințări, riscuri, obligații, politicile companiei, sarcinile de serviciu, bune practici. Dar un curs de instruire (sau „conștientizare„) pentru angajații non-IT nu trebuie să fie doar teorie de pe PPT-uri. Generațiile s-au schimbat și este incontestabilă diferența culturală dintre „generația X„ și „ generația Y/millennials„.

Prin urmare, cursurile din aceste vremuri ar trebui:

  • să pornească de la elementele de bază, explicate „pe limba„ angajatului;
  • să fie planificate, să aibă continuitate dar în același timp să fie și spontane (atunci cînd ceva important a apărut/s-a întîmplat);
  • să includă informații despre domeniile/amenințările reale din companie și care pot fi exploatate;
  • să simuleze atacurile posibile;
  • să refere toată legislația care trebuie respectată;
  • să fie antrenant (nu un monolog), cu scenarii și exerciții/jocuri de grup/echipă;
  • să includă o formă de evaluare;
  • să contribuie la formarea unei culturi a securității și la motivarea asigurării conformității.

Cum angajații vin pe filiera unui departament HR, consider că de aici ar trebui să înceapă și instruirea:

  • cum sînt protejate datele organizației în condițiile lucrulului de la distanță;
  • concordanța dintre controalele de securitate și obiectivele, prioritățile și inițiativele organizației;
  • rolurile și responsabilitățile privind accesul la date;
  • respectarea reglementărilor legale;
  • politici, standarde și bune practici bine documentate;
  • interviul de la terminarea contractului de muncă;

Un indicator operațional care ar măsura numărul de incidente de securitate dintr-o perioadă ar trebui să dea de gîndit în primul rînd departamentului HR…..Un indicator de conformitate care ar măsura încălcările GDPR ar trebui în primul rînd să dea de gîndit departamentului HR…

Este vreme lui „Zero Trust„.

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Google

Comentezi folosind contul tău Google. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.