Z nielicznymi wyjątkami, pracownicy są zatrudnieni na podstawie ich zdolności do pełnienia swojej roli w organizacji. Niektórzy posiadają zestawy umiejętności technicznych unikalnych dla głównego produktu lub usługi, podczas gdy inni posiadają umiejętności i zdolności pasujące na przykład do funkcji wspierających.
Niezależnie od roli, jaką pełnią w firmie, można założyć, że większość z nich nie przeszła formalnego szkolenia w zakresie zarządzania ryzykiem i zagrożeniami dotyczącymi informacji, danych i bezpieczeństwa.
Konsekwentna ochrona informacji, danych i systemów przed zamierzonymi cyberatakami stanowi ogromne wyzwanie dla firm. W przeciwieństwie do ogólnego rozporządzenia o ochronie danych (GDPR), ustanowionego w celu ochrony danych osobowych, zarządzanie informacjami, danymi i cyberbezpieczeństwem jest na ogół działaniem dobrowolnym - choć coraz częściej jest pilną koniecznością ekonomiczną i wpływa na ciągłość działania.
Błąd ludzki głównym źródłem ryzyka
W niedawnym badaniu przeprowadzonym przez DNV dotyczącym zarządzania informacjami o prywatności podkreślono, że firmy jako główne źródło ryzyka wskazały głównie błąd ludzki (44,5%), a następnie brak świadomości wśród pracowników lub słabą kulturę organizacyjną (27,7%). Ponadto zmniejszają inwestycje w technologie i kładą większy nacisk na szkolenie i świadomość pracowników. Podobna sytuacja ma miejsce w odniesieniu do zarządzania informacjami, danymi i cyberbezpieczeństwem.
Gdy błąd ludzki i brak świadomości są uważane za główne zagrożenia, często oznacza to, że nie zbudowano skutecznej kultury organizacyjnej. Można to łatwo złagodzić poprzez wdrożenie formalnego modelu wspierania systemu zarządzania. Każda organizacja będzie doświadczać przejściowych zasobów, na przykład z powodu ścierania się i zatrudniania nowych zasobów. Wymaga to szkolenia nowo zatrudnionych lub odświeżenia świadomości obecnych pracowników w regularnych odstępach czasu. Mogą to być szkolenia online, mniejsze grupy szkoleniowe lub bardziej rozbudowane szkolenia dla całego personelu zaangażowanego w zarządzanie danymi.
Inwestycje w bezpieczeństwo IT nadal mają zasadnicze znaczenie, ale ponieważ osoby fizyczne coraz częściej stają się potencjalnym słabym punktem, muszą być centralnym elementem każdego podejścia do bezpieczeństwa informacji.
Systemy zapewniają niezawodne podejście
Aby zapewnić regularne szkolenia dla wszystkich pracowników, w sposób który chroni organizację, a jednocześnie nie odwraca uwagi od codziennych zadań, potrzebna jest struktura. Potrzeba ta jest najlepiej spełniana poprzez model systemu zarządzania oparty na najlepszych praktykach zawartych w międzynarodowej normie ISO/IEC 27001 dotyczącej systemu zarządzania bezpieczeństwem informacji. Określa ona szczegółowe wymagania dotyczące regularnych szkoleń i świadomości, aby zapewnić spójny poziom w całej organizacji. Prowadzi to do zwiększenia zaangażowania i upoważnia pracowników do myślenia w kategoriach "bezpieczeństwa informacji", pomagając im lepiej zarządzać "niepewnością" związaną z ryzykiem lub zagrożeniami. Doświadczenie pokazuje, że wdrożenie modelu systemu zarządzania pomaga organizacji w budowaniu i doskonaleniu kultury bezpieczeństwa.
Oprócz ogólnego szkolenia pracowników, w grę wchodzą także inne kwestie. Niezbędna jest obecność wewnętrznych ekspertów w danej dziedzinie, odpowiednio przeszkolonych, którzy są punktem centralnym związanym z zapytaniami lub wątpliwościami wśród personelu. Ważne jest również, aby kierownicy wyższego szczebla wykazywali zaangażowanie i pokazywali, że od wszystkich oczekuje się przestrzegania tych samych zasad. W przeciwnym razie pracownicy mogą zacząć kwestionować, dlaczego oczekuje się od nich czujności i przestrzegania procedur, skoro liderzy organizacji są z nich zwolnieni.
Przy rosnących kosztach biznesowych związanych z informacjami, danymi i cyberatakami, inwestycje w szkolenia są czymś, na co niewiele organizacji może sobie pozwolić. Inwestowanie w podnoszenie kompetencji jest zawsze konstruktywnym podejściem, a korzyści z tego płynące są znaczne. Połączenie tego z wdrożeniem certyfikowanego systemu zarządzania informacjami ISO/IEC 27001 zapewnia jeszcze bardziej solidne, odporne i niezawodne podejście.
