Multe programe de securitate eşuează din cauza unei lipse de comunicare eficientă şi totală. O mare parte din RS, sau personalul acestora, provin din medii tehnice şi consideră că soluţiile tehnice sunt suficiente oricărei probleme. Este necesar ca fiecare program de securitate să aibă două componente comunicative şi ca fiecare program să beneficieze de suficiente resurse şi atenţie. Cele două componente esenţiale sunt programul de conştientizare şi programul de comunicare executivă. Fără toate acestea, şansele ca programul să eşueze şi ca bugetul departamentului de securitate să fie cheltuit cresc dramatic.

Programul de conştientizare

Angajaţii, angajatorii, consultanţii, colaboratorii şi partenerii de afaceri folosesc calculatoarele din firmă în fiecare zi pentru a-şi îndeplini sarcinile asumate. Înţeleg oare aceştia impactul pe care politicile de securitate ar trebui să-l aibă asupra comportamentului lor? Programul de conştientizare este cursul care îi învaţă ceea ce au nevoie. Programul de conştientizare variază de la ore de curs la broşuri care trebuie citite şi semnate de angajaţi pentru a se stabili că ei au văzut informaţia. Programele de conştientizare sunt încercări de a schimba comportamentul indivizilor. Prin urmare, tehnici de marketing de bază sunt relevante pentru design-ul unui program de conştientizare.

Programul de comunicare executivă

Acest program presupune o comunicare permanentă între RS şi PR sau forurile superioare cu privire la eforturile şi succesele obţinute în menţinerea la un nivel acceptabil a securităţii firmei. Securitatea poate fi considerată drept o sursă de costuri şi nu un beneficiu în afaceri deci este vital ca managerii să înţeleagă beneficiile şi procesele de securitate. Una dintre greşelile cele mai mari pe care un RS o poate face este să nu informeze asupra incidentelor rezolvate cu succes. În acest fel se va crea impresia că securitatea nu produce şi că a fost implementată degeaba.

Informarea personalului din cadrul firmei asupra măsurilor de securitate impuse vizează cu precădere două direcţii:

  • conştientizarea personalului privind necesitatea adoptării de măsuri de securitate a datelor în cadrul firmei;
  • informarea acestora asupra (noilor) restricţii care se impun.

În paralel cu aceasta trebuie făcute şi programe de pregătire a angajaţilor în lucru cu calculatorul pentru a se evita pierderile de date cauzate de folosirea improprie a tehnicii de calcul de către angajat.

În unele cazuri, angajaţii au fost nemulţumiţi de adoptarea noilor măsuri de securitate (mai ales de limitarea accesului la Internet). O parte dintre angajaţi tratau calculatorul (PCul, personal computer) ca pe un calculator .personal. şi efectuau foarte multe operaţii fără restricţie (transfer de fişiere între utilizatori, configurare după bunul-plac a programelor etc.). Evident că o restricţionare va crea nemulţumiri. Am observat însă că, după trecerea unei perioade de câteva zile, maximum o săptămână, lucrurile reintră în normalitate şi angajatul se împacă cu ideea că nu mai poate să facă ce vrea pe calculator.

2 Comments to “Informarea personalului despre măsurile de securitate impuse”

  1. Bocskai Csaba says:

    Buna ziua!
    Sunt incepator in domeniul administrarii retelelor. Imi puteti spune unde gasesc legile referitoare la acest fel de activitate? In special ma intereseaza legea legata de parole (cine si din ce motiv are voie/trebuie sa stie parolele de la servere etc).
    Un link catre un articl sau mai degraba o lege m-ar ajuta enorm de mult.
    Va multumesc!

    Cu stima,
    Csabi

  2. Bună Csabi,
    nu există o lege în acest sens. Fiecare firmă îşi stabileşte propria politică de securitate în funcţie de riscurile la care se supune, de organigramă. În orice caz, trebuie să fie o decizie a managementului, rolul IT-ului fiind acela de a-i prezenta riscurile pe care le implică o varianta sau alta.

    Ca “legi” este bine să citeşti standardele (ISO 15408, 27001) ghidurile (ITIL, COBIT) şi ce “best practices” mai găseşti.

    La modul cel mai simplist de abordare, ar fi patru principii de luat în considerare:
    – need to know – cine trebuie să ştie în mod obligatoriu;
    – segregarea activităţilor – separarea activităţilor de administrare de cele de control, în primul rând;
    – continuitatea afacerii – dacă “dispare” una din persoane, firma trebuie să-şi continue activitatea;
    – trasabilitate – orice activitate sensibilă trebuie monitorizată.
    Mai departe, depinde de coplexitatea businessului.