Titlul nu este altceva decît cerința de la Art. 10 din Ordinul cu cerințele minime de securitate aplicabile OSE:

([A181]. Instrumente de conștientizare. OSE pune la dispoziția angajaților instrumente necesare pentru conștientizarea și educarea acestora cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare.

[A182]. Instruirea și prezentarea securității. OSE instituie un program de prezentare a securității pentru tot personalul, precum și un program de instruire în domeniul securității pentru angajații care utilizează rețelele și sisteme informatice.

Cele două cerințe/controale pot fi reformulate astfel:

• conștientizare (awareness) și prezentarea securității pentru toți angajații;
• instruire pentru angajații care utilizează rețelele și sistemele informatice.

Pentru cele de mai sus ar trebuie să existe ”instrumente”.

Există și indicatori de control:

• INCEA – instrumente necesare pentru conștientizarea și educarea angajaților cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare în vederea limitării incidentelor
• PRASA – program de prezentare a securității pentru tot personalul
• PRISA – program de instruire în domeniul securității pentru angajații care utilizează rețelele și sistemele informatice care stau la baza furnizării serviciilor esențiale

Din perspectiva auditului înseamnă că:

1. există un program de instruire și conștientizare
2. programul include subiectele/cursurile corespunzătoare și planificarea acestora (Notă: aceste două puncte corespund ”test of design”)
3. rezultatul acestui program se concretizează cel puțin printr-un raport de instruire în care este menționat și calificativul/competențele/diploma obținute ( Notă: acesta este ”test of effectiveness”. Faptul că există programul pe hîrtie nu este suficient. ”Hîrtia” dovedește doar existența controlului nu și funcționarea sa practică)

Cum mai poate testa auditorul funcționarea acestui control? De exemplu în procedura în care se descrie cum se creează conturile de acces în sistem (IAM) ar trebui să regăsim cazul noilor angajați: orice nou angajat, înainte de a obține drepturi și permisiuni în sistemul informatic, are obligația de a parcurge un curs introductiv (de exemplu despre phishing). ”Cineva” (managerul) confirmă că angajatul a urmat cursul și ulterior ”altcineva” (IT-ul/help desk/suport) alocă drepturile și permisiunile solicitate de postul în cauză.

Sau poate exista o procedură separată care tratează instruirea și conștientizarea pentru toate situațiile: angajați noi, angajați actuali, contractori/colaboratori etc. Repet însă: procedura trebuie susținută cu probe care să dovedească executarea activităților descrise și asumarea responsabilităților.

Pentru susținerea celor de mai sus:

În cauză, pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, însă apare important de subliniat ca nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunostințe și informații.

(…) Așadar, deși reclamanta a depus la dosar, în copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectivă a celor trei angajați care au produs incidentul de securitate, iar pe de altă parte, că a aplicat mecanismele de control și evaluare elaborate pentru a se asigura că angajații săi și-au însușit menționatele reglementări interne. – Comunicat ANSPDCP