Conștientizarea și instruirea utilizatorilor

Titlul nu este altceva decît cerința de la Art. 10 din Ordinul cu cerințele minime de securitate aplicabile OSE:

([A181]. Instrumente de conștientizare. OSE pune la dispoziția angajaților instrumente necesare pentru conștientizarea și educarea acestora cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare.

[A182]. Instruirea și prezentarea securității. OSE instituie un program de prezentare a securității pentru tot personalul, precum și un program de instruire în domeniul securității pentru angajații care utilizează rețelele și sisteme informatice.

Cele două cerințe/controale pot fi reformulate astfel:

  • conștientizare (awareness) și prezentarea securității pentru toți angajații;
  • instruire pentru angajații care utilizează rețelele și sistemele informatice.

Pentru cele de mai sus ar trebuie să existe ”instrumente”.

Există și indicatori de control:

  • INCEA – instrumente necesare pentru conștientizarea și educarea angajaților cu privire la tipurile de amenințări de securitate informatică și măsurile de protecție corespunzătoare în vederea limitării incidentelor
  • PRASA – program de prezentare a securității pentru tot personalul
  • PRISA – program de instruire în domeniul securității pentru angajații care utilizează rețelele și sistemele informatice care stau la baza furnizării serviciilor esențiale

Din perspectiva auditului înseamnă că:

  1. există un program de instruire și conștientizare
  2. programul include subiectele/cursurile corespunzătoare și planificarea acestora (Notă: aceste două puncte corespund ”test of design”)
  3. rezultatul acestui program se concretizează cel puțin printr-un raport de instruire în care este menționat și calificativul/competențele/diploma obținute ( Notă: acesta este ”test of effectiveness”. Faptul că există programul pe hîrtie nu este suficient. ”Hîrtia” dovedește doar existența controlului nu și funcționarea sa practică)

Cum mai poate testa auditorul funcționarea acestui control? De exemplu în procedura în care se descrie cum se creează conturile de acces în sistem (IAM) ar trebui să regăsim cazul noilor angajați: orice nou angajat, înainte de a obține drepturi și permisiuni în sistemul informatic, are obligația de a parcurge un curs introductiv (de exemplu despre phishing). ”Cineva” (managerul) confirmă că angajatul a urmat cursul și ulterior ”altcineva” (IT-ul/help desk/suport) alocă drepturile și permisiunile solicitate de postul în cauză.

Sau poate exista o procedură separată care tratează instruirea și conștientizarea pentru toate situațiile: angajați noi, angajați actuali, contractori/colaboratori etc. Repet însă: procedura trebuie susținută cu probe care să dovedească executarea activităților descrise și asumarea responsabilităților.

Pentru susținerea celor de mai sus:

În cauză, pentru a dovedi conduita sa diligentă în ce privește instruirea personalului în domeniul protecției datelor cu caracter personal reclamanta a depus o serie de reglementări interne precum și dovada organizării unor cursuri având această tematică, însă apare important de subliniat ca nu s-a dovedit participarea efectivă a personalului la aceste cursuri și nici aplicarea efectivă a vreunei modalități de verificare a însușirii acestor cunostințe și informații.

(…) Așadar, deși reclamanta a depus la dosar, în copie, extrase din diverse proceduri interne aceasta nu a dovedit, pe de o parte, instruirea efectivă a celor trei angajați care au produs incidentul de securitate, iar pe de altă parte, că a aplicat mecanismele de control și evaluare elaborate pentru a se asigura că angajații săi și-au însușit menționatele reglementări interne. – Comunicat ANSPDCP

Un gând despre “Conștientizarea și instruirea utilizatorilor

  1. Din pacate reiese si o problema la care legiuitorii (hehe) nu s-au gandit

    Daca un OSE are sa zicem 500 de angajati, din care doar 100 folosesc PC-uri, din norme reiese ca pentru „toti angajatii” trebuie facuta prezentarea securitatii (PRASA). O sa fie o distractie sa le povestesti despre phishing, APT unor motostivuitoristi…
    Si apoi nu o sa fie mari diferente intre „programul de prezentare a securitatii” si „programul de instruire in domeniul securitatii”, chiar si pentru cei 100 de angajati care lucreaza pe PC

    Apreciază

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.