Omul.

Așa a fost dintotdeauna.

Angajații, fie din neglijență, fie din naivitate sau din răutate (fără a exclude și cerințele operaționale explicite, care de cele mai multe ori transformă un KPI/target în principalul obiectiv al angajatului), sunt cea mai frecventă cauză a incidentelor de securitate. Ce soluții sînt pentru a rezolva cauza? Pe de o parte avem soluțiile tehnice (DLP, MDM, user-based analytics, apps control, monitoring, cloud access security broker etc) pe de altă parte „măsurile administrative„ (contractul de muncă, politici/proceduri, acorduri de confidențialitate) și…instruire/educație. Cu aceasta din urmă este ceva mai dificil. Rezultatul „instruirii„, indiferent de formă, trebuie să se concretizeze în abilități și competențe. Simpla transmitere a unor informații care astăzi pot fi găsite și citite fără un efort prea mare, nu se numește instruire.

Orice angajat, indiferent de rol/poziție ar trebui să aibă cunoștințe despre: amenințări, riscuri, obligații, politicile companiei, sarcinile de serviciu, bune practici. Dar un curs de instruire (sau „conștientizare„) pentru angajații non-IT nu trebuie să fie doar teorie de pe PPT-uri. Generațiile s-au schimbat și este incontestabilă diferența culturală dintre „generația X„ și „ generația Y/millennials„.

Prin urmare, cursurile din aceste vremuri ar trebui:

• să pornească de la elementele de bază, explicate „pe limba„ angajatului;
• să fie planificate, să aibă continuitate dar în același timp să fie și spontane (atunci cînd ceva important a apărut/s-a întîmplat);
• să includă informații despre domeniile/amenințările reale din companie și care pot fi exploatate;
• să simuleze atacurile posibile;
• să refere toată legislația care trebuie respectată;
• să fie antrenant (nu un monolog), cu scenarii și exerciții/jocuri de grup/echipă;
• să includă o formă de evaluare;
• să contribuie la formarea unei culturi a securității și la motivarea asigurării conformității.

Cum angajații vin pe filiera unui departament HR, consider că de aici ar trebui să înceapă și instruirea:

• cum sînt protejate datele organizației în condițiile lucrulului de la distanță;
• concordanța dintre controalele de securitate și obiectivele, prioritățile și inițiativele organizației;
• rolurile și responsabilitățile privind accesul la date;
• respectarea reglementărilor legale;
• politici, standarde și bune practici bine documentate;
• interviul de la terminarea contractului de muncă;
• …

Un indicator operațional care ar măsura numărul de incidente de securitate dintr-o perioadă ar trebui să dea de gîndit în primul rînd departamentului HR…..Un indicator de conformitate care ar măsura încălcările GDPR ar trebui în primul rînd să dea de gîndit departamentului HR…

Este vreme lui „Zero Trust„.