Students and Academics of All Countries, Unite! :-)

Szkolenie oraz uświadamianie pracowników

Uświadamianie oraz szkolenie pracowników z zakresu bezpieczeństwa informacji jest dość istotną kwestią. Każda osoba zanim uzyska dostęp do informacji czy usług powinna zrozumieć znaczenie bezpieczeństwa oraz potrzebę zastosowania zabezpieczeń.

W normie PN-ISO/IEC 17799:2007 w punkcie 8.2.2 znajdziemy informację na ten temat:

„ Zaleca się, aby wszyscy pracownicy organizacji oraz, gdzie jest to wskazane, wykonawcy i użytkownicy reprezentujący stronę trzecią zostali odpowiednio przeszkoleni oraz byli regularnie informowani o uaktualnieniach obowiązujących w organizacji polityk i procedur, które są związane z wykonywaną pracą”.

Jak sądzicie, dlaczego proces uświadamiania pracowników jest tak ważny?

Jakie potrafilibyście wymienić działania uświadamiające oraz rodzaje szkoleń ?

( w odpowiedzi na to pytanie może Wam pomóc książka „ Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie”, której autorem jest Andrzej Białas) ;-)

A co by się stało gdyby pracownicy nie byli na bieżąco informowani o zmianach w procedurach? Jakie skutki mogłoby to przynieść danej organizacji?

( Oto artykuł opisujący zasady ochrony informacji firmy, które powinny być przez pracowników przestrzegane: http://mojafirma.infor.pl/temat-dnia/115466,Tajemnica-sluzbowa---ja... )

0 members like this

Replies to This Discussion

Permalink Reply by Dorota Mieszała on May 26, 2010 at 4:03pm

Moim zdaniem uświadamianie pracowników, co do ich możliwości wpływu na poziom bezpieczeństwa informacji jest bardzo ważne, ponieważ w dużej mierze to właśnie od nich ono najbardziej zależy. Jak wiadomo to właśnie człowiek stanowi najsłabsze ogniwo zabezpieczania informacji ( http://fedcba.ning.com/group/bi/forum/topics/czynnik-ludzki-w-zarza... )

Najbardziej bezpośrednią formą uświadamiania są szkolenia. Są skierowane bezpośrednio do pracownika i mają oni bezpośredni obowiązek w nich uczestniczyć. Takie szkolenia dla pracowników np. Agencji Rynku Rolnego są przeprowadzane z zakresu Polityki Bezpieczeństwa Informacji przez Dział Bezpieczeństwa Informacji i Zarządzania Ryzykiem ( http://www.arr.gov.pl/index.php?idDzialu=00042 ) . Według mnie jest to bardzo dobre rozwiązanie, które ukazuje pracownikom jak bardzo istotny wpływ mają na bezpieczeństwo.

Równie interesującym pomysłem mogłoby być rozwieszanie plakatów uświadamiających rangę bezpieczeństwa informacji. Ten sposób przekazu może jednak niestety nie być na tyle skuteczny co szkolenia, ponieważ nie każdy pracownik wczytuje się w dogłębnie w treść takiego plakatu. W końcu często zdarza nam się przechodzić obojętnie obok billboardów. Taki plakat musiałby, więc przykuwać uwagę. Wtedy skuteczność byłaby niemalże gwarantowana.

Myślę, że to właśnie szkolenia i plakaty uświadamiające powinny na stałe wejść do programu podnoszenia bezpieczeństwa w przedsiębiorstwach – zarówno tych dużych jak i tych małych.

Permalink Reply by Tadeusz Lemańczyk on May 27, 2010 at 1:04pm

Pani Doroto, myślę, że poniższe dwa plakaty przykułyby nie tylko moją uwagę. :-)

Permalink Reply by Anita Krotofil on November 22, 2010 at 5:33pm

Szkolenia w miejscu pracy są bardzo ważne. Przez nie pracownicy są uświadomieni o istocie sprawy.

Odpowiedź na pytanie koleżanki Kasi :"Jak sądzicie, dlaczego proces uświadamiania pracowników jest tak ważny?" mamy również w naszej normie. Jasno jest tutaj napisane, iż "Szkolenia podnoszące poziom świadomości mają na celu ułatwiać osobom rozpoznawanie problemów i incydentów związanych z bezpieczeństwem informacji oraz reagować zgodnie z potrzebami wynikającymi z ich obowiązków służbowych." Myślę, że poprzez szkolenia nie tylko mamy kompetentnych pracowników, ale i czujących się docenianymi. Ciekawa stronka: http://modnyfryzjer.pl/dlaczego-warto-szkolic-pracownikow/. Jest tutaj wiele powodów, dlaczego szkolenia są tak bardzo ważne.

Jeśli chodzi o działania, jakie możemy wykonać, żeby uświadamiać pracowników, to przede wszystkim rozmowa (a więc szkolenia), jak już wcześniej koleżanka Dorota wspomniała- plakaty, ulotki, ale również drogą elektroniczną. Dostając e-mail od szefa- każdy pracownik do niego zajrzy.
Szkolenia z bezpieczeństwa informacji to chociażby :
http://www.infovidematrix.pl/index.php?page=program-szkolen-zarzadz...
http://szkolenia.unizeto.pl/unizeto_szk/uni,szk,oferta_szkolenia_be...
http://www.ise.pw.edu.pl/Security/szkolenia/ulotkaISE.pdf
i wiele innych...

Jeśli chodzi o artykuł, który przywołała Kasia (http://mojafirma.infor.pl/temat-dnia/115466,Tajemnica-sluzbowa---ja...), to własnie takiego rodzaju szkolenia powinny odbywać się w firmie. Tajemnica służbowa jest niezwykle ważna i należy jej przestrzegać. Należy chronić się przed wyciekiem informacji z firmy. O skutkach wycieku informacji i jak jemu przeciwdziałać można przeczytać na naszym formum: http://fedcba.ning.com/group/bi/forum/topics/wyciek-informacji?comm....

Permalink Reply by Anna Krajewska on March 14, 2011 at 10:54pm

Witam !

„Jak sądzicie, dlaczego proces uświadamiania pracowników jest tak ważny?”

Uważam ze każdy pracownik zatrudniony w jakiejkolwiek firmie powinien posiadać wiedzę z zakresu zarówno bezpieczeństwa informacji oraz BHP. Podstawowym zagrożeniem dla bezpieczeństwa informacji jest sam człowiek, jednak tylko wtedy, gdy jego świadomość jest na niskim poziomie a w szczególności gdy nie zna on podstawowych zasad, przepisów, procedur obowiązujących w przedsiębiorstwie. Znajomość podstawowych procedur prowadzi do zmniejszenia wypadkowości w zakładach pracy ( bo przecież przyczyną wypadków w 80 % jest błąd człowieka! – wynikający z niewiedzy pracownika z zakresu BHP ) . Uważam, że proces uświadamiania pracowników jest bardzo ważny dla funkcjonowania zakładu. Przykładem może być kontrola przeprowadzana przez audytora ( przeprowadzania listy kontrolnej ). Audytor wewnętrzny ma prawo do zadawania pytań pracownikom o świadomości np. występujących zagrożeń na stanowisku jakim wykonują pracę. Pracownik, który nie odpowie na pytanie ( a ma kluczową role bo przecież chodzi o bezpieczeństwo związane z ochrona życia i zdrowia pracownika !!!) będzie z pewnością miał wpływ na negatywną opinie w raporcie sporządzanym przez audytora a co za tym idzie wpłynie w negatywnym stopniu na opinię przedsiębiorstwa. Brak jego wiedzy może także mieć tragiczne skutki podczas zajścia wypadku np. nie będzie on umiał udzielić pierwszej pomocy lub zachować się w należyty sposób odpowiedni do zaistniałej sytuacji.

„Jakie potrafilibyście wymienić działania uświadamiające oraz rodzaje szkoleń ?”

Myślę, ze sposobem uświadamiania są po prostu kontrolne rozmowy kierownika z pracownikiem o tematyce obejmującej zakres wiedzy z działu Bezpieczeństwa informacji oraz BHP, mogę to być także nowelizowane tablice z przepisami wywieszane w halach produkcyjnych, gdzie pracownik zawsze będzie miał do nich dostęp. Natomiast jeśli chodzi o szkolenia : Jest wiele ofert różnych rodzajów szkoleń , ale najważniejsze jest to, aby dobrać taki rodzaj szkoleń, by był on dopasowany do naszych stanowisk pracy i Systemu Zarządzania jaki obowiązuje w przedsiębiorstwie. Przed takiej podjęciem decyzji warto zapoznać się z możliwościami, jakie oferuje każdy z wielu rodzajów szkoleń, z ich cechami organizacyjnymi, a także wybadać plany zawodowe samych pracowników. Sposobów na znalezienie szkolenia jest wiele. Wiele przedsiębiorstw odpowiada na przysyłane im bezpośrednio oferty firm szkoleniowych lub korzysta z zaufanych dostawców. Jednak bez wątpienia najbogatszą bazą ofert jest dziś Internet, a zwłaszcza portale szkoleniowe. Wybierając szkolenie dla personelu warto zwrócić szczególną uwagę na rzeczywiste potrzeby pracowników. Powinni oni zdobyć maksymalną ilość wiedzy praktycznej, która dobrze wpasuje się w posiadane już kompetencje i w widoczny sposób zaprocentuje w przedsiębiorstwie. Wyróżnić można 4 rodzaje szkoleń :

a) otwarte

b) zamknięte

c) coaching

d) mentoring

O charakterystyce każdego z tych szkoleń można przeczytać na : http://hrstandard.pl/2010/12/20/jakie-szkolenie-jest-odpowiednie-dl... .

Szkolenia na portalach są bardzo dokładnie opisane, zawierają program , cel , zakres , metode szkolenia oraz certyfikat np.

http://www.ctpartners.pl/training/968/item,1386/System_Zarzadzania_...

Normę odnoszącą się do zasad zarządzania bezpieczeństwem informacji to norma :

Norma ISO/IEC 27002 27002 (ISO/IEC 17799) . O szczegółach mozna dowiedzieć się na podanym przeze mnie linku : (http://www.locos.pl/standardy-i-metodyki/5327-norma-isoiec-27002-wc...) .

„A co by się stało gdyby pracownicy nie byli na bieżąco informowani o zmianach w procedurach? Jakie skutki mogłoby to przynieść danej organizacji? „

Tak jak wspominałam w pierwszym akapicie , skutki jakie mogą wystąpić z powodu nie poinformowania pracownika o zmianach w procedurach mogą być bardzo niekorzystne dla firmy np. zachowanie podczas wypadku przy pracy . Skutkiem dla organizacji mogłaby być to kara np. z przyczyny nie przeszkolenia pracownika z zakresu bezpieczeństwa informacji oraz BHP. Warto dlatego inwestować w szkolenia i działać zgodnie z prawem, bo czasem pożałowanie funduszy na szkolenie dla pracowników może przynieść o wiele większe straty majątkowe.

Dla dopełnienia tematu uważam, że warto dodać jednak oprócz tych negatywnych skutków korzyści z wdrożenia i funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji wg normy PN-ISO/IEC 27001:2007 w firmach i w urzędach :

http://www.aste.net.pl/szbi/bezpieczenstwo_informacji_korzysci.php.

Permalink Reply by Sylwia Wypych on March 16, 2011 at 8:09pm

Witam,
Znalazłam w internecie artykuł dotyczący wycieków danych w przedsiębiorstwie
(http://www.egospodarka.pl/32129,Wyciek-danych-glownym-problemem-fir...).
Firma Trend Micro Incorporated informuje, że wycieki danych są najpoważniejszym problemem przedsiębiorstw. Badania tejże firmy dowodzą, że utrata poufnych danych i danych firmowych jest drugim najpoważniejszym zagrożeniem w pracy, zaraz po atakach wirusów.
„Większość wycieków danych spowodowana jest działaniami wewnętrznymi, przypadkowymi lub celowymi, wykonywanymi przez uprawnionych użytkowników, którzy mają dostęp do danych w sieci korporacyjnej Działania te mogą doprowadzić do kar finansowych, procesów sądowych, pogorszenia wizerunku marki i krytyki ze strony mediów. Dlatego też nie powinien dziwić fakt, że wycieki danych stają się coraz poważniejszym problemem dla firm” — stwierdził Glen Kosaka, dyrektor ds. marketingu w dziale zapobiegania wyciekom danych w firmie Trend Micro.
Badania Trend Micro wykazały, że pracownicy odbierają prywatne wiadomości w pracy, słuchają i oglądają transmisje multimedialne, co może być powodem wycieku ważnych informacji firmy. Wykazały one również, że pracownicy nie do końca wiedzą które informacje są poufne i zastrzeżone Czym jest to spowodowane? Brakiem świadomości, wiedzy pracowników? Ich nieodpowiedzialnością? Nie przeszkolenia? Można stwierdzić, że tak, ponieważ spośród użytkowników pracujących w firmach dysponujących aktualnie zasadami zapobiegania wyciekom danych w specjalistycznych szkoleniach udział wzięło np. tylko 57% Brytyjczyków.

„Niebezpieczeństwo wycieku danych w przedsiębiorstwach wciąż jest bardzo duże. Słabymi ogniwami są m.in. dziurawe oprogramowanie lub sami pracownicy - alarmują eksperci od bezpieczeństwa komputerowego.” (http://di.com.pl/news/24598,0,Jak_zapobiec_wyciekom_danych.html)
W większości przypadków wycieki poufnych informacji dotykają firm. Dzieje się tak, ponieważ pozwalają swoim pracownikom korzystać z urządzeń przenośnych oraz internetu ale również z braku dyscypliny pracowników. Najsłabszym ogniwem w bezpieczeństwie informacji jest człowiek. Pracownicy zachęceni atrakcyjnym tytułem wiadomości, np. zdjęciem sławnej modelki, otwierają załączniki, tym samym dopuszczając do instalacji złośliwego oprogramowania. Dużym zagrożeniem jest również wynoszenie danych poza firmę, gubienie sprzętu (np. laptopów, pendrive'ów) czy nieuprzywilejowany dostęp do pomieszczeń finansowo-kadrowych.
Przedsiębiorstwa ponoszą głównie straty spowodowane takimi wyciekami, ponieważ konkurencyjność firm zależy od ich reputacji, a w przypadku wycieku informacji to właśnie reputacja firmy ucierpi w pierwszej kolejności. Każdy wyciek tajnych informacji powoduje milionowe straty. Dlatego tak ważne są szkolenia i uświadamianie pracowników. Pracownicy mogą działać na niekorzyść firmy świadomie , bądź nie i dlatego w interesie właścicieli firm jest dbanie o bezpieczeństwo informacji.

A co do rodzaju działań uświadamiających oraz rodzajów szkoleń posłużę się „Przewodnikiem: Jak podnieść świadomość w zakresie bezpieczeństwa informacji”. Najciekawsze moim zdaniem:
a) broszura lub czasopismo (łatwiej określić treść i format komunikatu, można dotrzeć do określonych odbiorców, umożliwia pracownikom dokładne zapoznanie się z treścią)
b) poczta elektroniczna (stosunkowo tani kanał umożliwiający dotarcie do masowego odbiorcy, umożliwia pracownikom przetrawienie informacji w swoim czasie)
c) wygaszacz ekranu (informacje umieszcza się w komputerze, zatem użytkownicy najpewniej je zobaczą)
Resztę przykładów działań uświadamiających możecie przeczytać tutaj (http://www.enisa.europa.eu/act/ar/deliverables/2006/ar-guide/pl/) (str. 31)

Permalink Reply by 0yf4q2o7ln3gn on March 19, 2011 at 12:39pm

Witam!,

Na każdym stanowisku nie zależnie od wykonywanej pracy (fizycznej czy umysłowej) występuje tzw. ryzyko zawodowe, czyli

„prawdopodobieństwo wystąpienia niepożądanych zdarzeń (zagrożeń) związanych z wykonywaną pracą, powodujących straty oraz ich skutków dla zdrowia lub życia pracowników w postaci chorób zawodowych i wypadków przy pracy”.

Także jak sama definicja wskazuje, pracownik narażony jest podczas wykonywania swojej pracy na różnego rodzaju choroby związane z wykonywanym zawodem a także na wypadki.

Myślę a nawet uważam, że każdy pracownik powinien być uświadamiany jakie zagrożenia może napotkać na swoim stanowisku pracy. Uświadamianie pracownika jest na tyle ważną sprawą, że pracodawca nie powinien tego lekceważyć.

Sądzę, że każdy pracownik, który pracuje w firmie chce się rozwijać a także wiedzieć co mu grozi na wykonywanym stanowisku pracy czego pracodawcy mogą nie zauważyć. Dużo pracowników narzeka na brak szkoleń i możliwości dalszego rozwoju w firmie. Boją się iż ich kariera zawodowa stanie w miejscu i nie będą mogli się rozwijać zawodowo. Nie każdego pracownika stać na szkolenia, gdyż zazwyczaj szkolenie z własnej kieszeni jest bardzo kosztowne natomiast firmy mają duże rabaty albo sponsorów, które takie kursy mają w swojej ofercie.

Pytanie dlaczego pracodawcy nie korzystają z takich okazji?

Jeśli chodzi o tą kwestie to sądzę, że powodów może być sporo. Jednym z powodów mogą być fundusze, których firma może nie mieć, jednak mnie ten powód nie przekonuje. Innym powodem może być małe zainteresowanie pracownikami i ich dalszym rozwojem. Chodziaż myślę, że każdemu pracodawcy zależy na tym by mieć w swojej firmie jak najlepiej wykwalifikowanych specjalistów i oczywiście co za tym idzie dobrą renomę firmy na rynku handlowym.

Każdy pracownik, który „czuję”, że pracodawca dba o jego rozwój jest bardziej zaangażowany w swoją pracę, czyli będzie się starał jak najlepiej wykonać zlecenia a co za tym idzie oczywiście mniejsza wypadkowość podczas wykonywanych zadań, gdyż pracownik jest bardziej skupiony na tym co robi. A najważniejszą zaletą jest brak narzekania pracowników i większy zapał do pracy.

Szkolenia i rozwój pracownika mogą polepszyć stosunki między pracownikiem a pracodawcą. Pracownik wtedy ma większe zaufanie do pracodawcy.

Jak każdy wie w hierarchii potrzeb Maslowa rozwój i samorealizacja jest najważniejsza dla każdego człowieka . Dlatego sądzę, że szkolenia są najlepszą rzeczą, które pomogą tę potrzebę zrealizować.

Permalink Reply by Agata Bambrowicz on March 6, 2012 at 10:43am

Odnosząc się do wypowiedzi Sylwii Wypych:

" Najsłabszym ogniwem w bezpieczeństwie informacji jest człowiek. Pracownicy zachęceni atrakcyjnym tytułem wiadomości, np. zdjęciem sławnej modelki, otwierają załączniki, tym samym dopuszczając do instalacji złośliwego oprogramowania. Dużym zagrożeniem jest również wynoszenie danych poza firmę, gubienie sprzętu (np. laptopów, pendrive'ów) czy nieuprzywilejowany dostęp do pomieszczeń finansowo-kadrowych."

uważam, że tego typu problemy jak otwieranie e-maili, które (w odniesieniu do spraw firmy) można określić jako SPAM oraz wynoszeniu danych poza firmę na nośnikach (np. pendrive) można uniknąć. Technika, w tym także zabezpieczenia rozwinęły się na tyle, że dział informatyczny firmy bez problemy może założyć filtry na skrzynki e-mail bądź zablokować możliwość zgrania/przekopiowania danych na nośniki.

Popieram także wypowiedź Anity Krotofil:

" Dostając e-mail od szefa- każdy pracownik do niego zajrzy."

E-maile od szefa, nie tylko przypominające o występujących zagrożeniach, ale także o nowych danych wprowadzonych do systemu, które należny bezwzględnie chronić przed wyciekiem jest jak najbardziej trafnym pomysłem.

Permalink Reply by Adrianna Szydłowska on March 6, 2012 at 1:00pm

'Najsłabszym ogniwem w bezpieczeństwie informacji jest człowiek'- chcę odwołac się do tych słów i przytoczyć pewien przypadek wycieku tajnych informacji znanej wszystkim organizacji NASA, mający miejsce ok. 2 lat temu. Organizacja sprzedła dziesięć laptopów, niektóre nie zostały dokładnie wyczyszczone z wszelkich informacji znajdujących sie na dysku twardym, oraz nie przeprowadzono weryfikacji procesu. Zdarzenia te miały miejsca w agencjach ośrodków: Centrach Kosmicznych Kennedy'ego i Johnsona, a także Centrach Badawczych w Ames i Langley. Jeden z komputerów wyświetlał nawet dane z numerami IP!- co mogłoby dać przestępcom łatwą drogę do włamania się do systemów.

Sytuacja ta ukazuje, że nawet taka organizacja jak NASA nie przestrzega konkretnych procedur bezpieczeństwa i ochrony danych. Powodem nieszczęścia było to, że dyrektorzy ośrodków nie byli poinformowani o tym, że niektóre komputery nie przeszły weryfikacji.

Odnosząc sie do głównego tematu- taka sytuacja powinna poskutkować dodtakowymi szkoleniami pracowników, pozwolić stworzyć takie procedury, aby podobne zdarzenia nie miały miejsca w przyszłości i jak najbardziej jestem za zaostrzeniem kar dla tak nieodpowiedzialnych pracowników.

http://di.com.pl/news/34921,0,NASA_sprzedala_komputery_z_tajnymi_da...

Permalink Reply by Tadeusz Lemańczyk on March 29, 2011 at 6:13am

"chciałbym zwrócić uwagę na rozwiązania stosowane w przeszłości, czyli w okresie „świetlanego” socjalizmu, a być może stosowane dzisiaj w krajach o systemach politycznych obowiązujących np. w Korei Północnej" - a w zagadnieniu "O pewnym aspekcie dostępu do informacji niejawnych" ( http://fedcba.ning.com/group/bi/forum/topics/o-pewnym-aspekcie-dost... ) już Pan był? Wojna, także ta "zimna", zawsze miała swoje unikalne charakterystyki w obszarze bezpieczeństwa informacji, i to niezależnie od ustroju ( http://fedcba.ning.com/xn/detail/2516803:Comment:10416 ). :-)

Permalink Reply by Alicja Wlekła on April 4, 2011 at 4:34pm

Na początku na swoim przykładzie, chciałabym się odnieść do wspomnianego tu wątku szkoleń z zakresu BHP. Nikt chyba nie wątpi w to, jak ważne są takie szkolenia, zresztą obowiązkowe dla pracowników podejmujących pracę na nowych stanowiskach i oczywiście okresowo powtarzane. Wydaje się, że jest to temat, o którym się dużo mówi, i że każdy wierzy w ich sens. Ale czy na pewno? Zatrudniając się w pewnej firmie i będąc tak pracownikiem produkcji przekonałam się, że nie. Szkolenie BHP miało raczej charakter szkolenia organizacji pracy w zakładzie (jakie są zmiany, kiedy przysługują przerwy itp.), natomiast to, co powinno być ważne, tym bardziej przy pracy na produkcji- bezpieczeństwo pracowników- zostało mi przekazane w formie listy z około 15 punktami i zapewnieniem, że jeśli nie będą przestrzegane to pracownik ma odciągane 100zł od wypłaty za każdy przypadek niestosowania się do tych nakazów. Szkolenie było? Było. Tak więc warunek spełniony, ale czy to naprawdę chodzi tylko o spełnienie jakiegoś wymogu? Myślę, że moje doświadczenie może podzielić nie jedna osoba z tego forum. Szkolenia choć ważne, niestety są często tylko po to, żeby firma nie ponosiła z tego tytułu konsekwencji.

Analizując temat szkoleń z zakresu bezpieczeństwa informacji natknęłam się na ciekawe badania „Globalny stan bezpieczeństwa informacji 2011” http://www.pwc.com/pl/pl/biuro-prasowe/globalny-stan-bezpieczenstwa...

„Badanie ‘Globalny stan bezpieczeństwa informacji 2011’ ujawniło, że wiele firm nie jest przygotowanych na ryzyka wynikające z użytkowania portali społecznościowych, blogów, portali wiki i innych aplikacji Web 2.0, w tym utratę lub wyciek informacji, utratę reputacji, nielegalne pobieranie pirackich materiałów czy kradzież tożsamości. Sześćdziesiąt procent respondentów odpowiedziało, że ich organizacja nie wdrożyła jeszcze zabezpieczeń wspierających komunikację Web 2.0, a 77% że nie stworzyła nawet żadnych polityk bezpieczeństwa odnoszących się do użycia tych technologii.”

Warto zapoznać się z badaniami, bo w pewien sposób obrazują jak w rzeczywistości wygląda zaangażowanie przedsiębiorstw w ochronę informacji. „Wycieki informacji” miały miejsce już wiele lat wstecz. Kiedyś na zasadzie tego, że np. nielojalny pracownik sprzedawał oryginalne receptury firmy, przynosząc przy tym niemałe straty dla zakładu. Dziś sprawa ta wydaje się być jeszcze bardziej skomplikowana poprzez globalne stosowanie systemów informatycznych. Niestety wiedza społeczeństwa na temat bezpieczeństwa informacji jest jeszcze niewielka, dlatego też często nie zdajemy sobie sprawy z tego jak ważne jest to, by odpowiednio chronić dane umieszczone w pamięci naszego komputera.

Wycieki danych powodują ogromne szkody dla firm, ale też dla zwykłych użytkowników komputera. Wgłębiając się w temat znalazłam takie przykłady(http://www.iso27000.pl/index.php?option=com_content&view=articl...):

„Najbardziej aktualnym przykładem dużego wycieku danych jest ostatnie wydarzenie dotyczące ujawnienia loginów, haseł i adresów e-mail 700 tysięcy użytkowników portalu Filmweb.pl. Podjęte natychmiast działania pokazały, że nie doszło jednak do złamania zabezpieczeń systemów informatycznych, co oznacza, że nastąpiła kradzież danych z wnętrza organizacji.
Ujawnienie powyższych informacji stanowi zagrożenie nie tylko ze względu na konta założone w danym portalu, ale również w innych serwisach, a co gorsze – skrzynki e-mailowe. Są one być łatwym łupem, gdyż wielu internautów wykorzystuje te same hasła nie tylko do wielu kont, ale i poczty elektronicznej.

Innym przykładem jest sytuacja z początku lipca, kiedy to z serwisu thepiratebay.org wyciekły nazwy użytkowników, skróty haseł, adresy e-mailowe oraz adresy IP około 4. milionów użytkowników. W tym przypadku była to kradzież z przełamaniem zabezpieczeń, co nie zmienia faktu, że ujawnienie tych danych mogło narazić na niebezpieczeństwo wielu użytkowników.”

Uważam, że kwestia szkoleń z tego zakresu stanie się popularna w przypadku jak to się mówi „Mądry Polak po szkodzie”. Takie szkolenia są nam jak najbardziej potrzebne i jeśli będą w odpowiedni sposób przeprowadzane to zdecydowanie podniosą kwalifikacje pracowników, ale też przede wszystkim bezpieczeństwo firmy.

Permalink Reply by Ilona Kruszyńska on April 9, 2011 at 9:31pm

Uświadamianie pracowników jest procesem mającym na celu podniesienie świadomości personelu z zakresu bezpieczeństwa informacji firmy. Jest to krytyczny element projektowania bezpieczeństwa w każdej instytucji. Każdy pracownik, który ma styczność z informacją musi wiedzieć, jaka jest jego rola w utrzymaniu bezpieczeństwa informacji.

Trafne było wskazanie przez Katarzynę Rutkowską książki Andrzeja Białasa Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie. Z racji tego, że nikt z moich poprzedników nie kierował się w swojej wypowiedzi tym podręcznikiem ja pozwolę sobie na to:) Autor dość dokładnie opisuje proces, jakim jest uświadamianie pracowników:

Działania te mają doprowadzić do wypracowania pożądanych nawyków wśród personelu, do poprawienia jego czujności na symptomy wszelkiego typu naruszeń oraz do ułatwienia prowadzenia rutynowych czynności związanych z bezpieczeństwem podczas wykonywania codziennych obowiązków służbowych.

Natomiast nawiązując do pytania: Jakie potrafilibyście wymienić działania uświadamiające oraz rodzaje szkoleń? większość moich poprzedników wskazała szkolenia. Oczywiście uważam jak większość, że jest to istotny i ważny element w procesie uświadamiania pracowników, ale nie jedyny. Możemy spotkać wiele form działań uświadamiających, takich jak:
- plakaty uświadamiające;
- wydawnictwa periodyczne i ulotki;
- biuletyny wewnętrzne;
- prezentacje multimedialne;
- quizy, komiksy.

Ciekawe warianty programu uświadamiającego wskazuje podręcznik Bezpieczeństwo informacji, którego autorem jest Donald L. Pipkin:

Można chyba przyjąć, że każda instytucja ma gazetkę ścienną. Jest to znakomita sposobność, aby zorganizować forum bezpieczeństwa w postaci regularnej kolumny w tej gazetce.(…) Na gadżetach, takich jak długopisy, podkładki pod myszy i kubki do kawy, można umieszczać komunikaty, które stoją przed oczami użytkowników przez długi czas.

Podsumowując, uświadamianie pracowników jest bardzo ważnym krokiem w programie bezpieczeństwa firmy. Każdy pracownik, który ma dostęp do informacji, musi mieć możliwość uczestniczenia w programie uświadamiania. Program ten musi być aktualny i zrozumiały dla wszystkich uczestników.

Permalink Reply by Agnieszka Figurska on May 5, 2012 at 11:14am

Jednym z ważnych tematów szkoleń przeprowadzanych w zakładach pracy winien być temat bezpieczeństwa informacji. Pracownik mający dostęp do ważnych i tajnych informacji może nie mieć pojęcia o sposobach pozyskiwania tych informacji przez osoby trzecie.

Celem tych szkoleń nie powinno być tylko jak przestrzegać procedur, ale również należy uświadomić pracownika, co te procedury mają zabezpieczać oraz w jakim celu są wprowadzane. Pracownik, który będzie rozumiał sens procedury, będzie jej sumienniej przestrzegał.

We współczesnym świecie szybki rozwój techniki powoduje, że technologie szpiegowskie rozwijają się w bardzo szybkim tempie, dlatego też szkolenia powinny być przeprowadzane regularnie. Innym z ważnych powodów, dla którego należy je powtarzać jest mentalność ludzka, na przykład człowiek pracujący w zakładzie, w którym nie doszło do wycieku informacji, zakłada, że nie dojdzie do próby ich pozyskania.

Moim zdaniem dyskusyjną sprawą jest, czy częsta zmiana procedur zachowania bezpieczeństwa jest wskazana, gdyż z jednej strony powoduje wysiłek intelektualny pracownika, co skutkuje bardziej przemyślanym działaniem i nie popadaniem w rutynę. Z drugiej jednak strony zmniejsza możliwość wyrobienia u pracownika pozytywnych nawyków.