Vloga zavesti zaposlenih pri varovanju informacij

V informacijski dobi, v kateri trenutno živimo in delamo, predstavljajo informacije eno od ključnih dobrin, ki so pomembne za razvoj in delo posameznega podjetja ali posameznika. Zbiranje in obdelava velikih količin pomembnih informacij terja njihovo ustrezno varovanje in upravljanje. Pomen informacijske varnostni in varovanja informacij v podjetjih se iz leta v leto povečuje. Tudi kot posledica uvedbe Splošne uredbe o varstvu podatkov (ali bolj znane kot GDPR), ki določa obveznost zagotavljanja razpoložljivosti, zaupnosti in celovitosti osebnih podatkov, so se podjetja začela zavedati, da predstavlja ustrezno varovanje informacij pomemben element v njihovem poslovanju. Z ustreznim varovanjem pomembnih informacij podjetje prepreči uhajanje poslovnih skrivnosti, povečuje konkurenčno prednost, ugled podjetja in zmanjšuje finančne posledice morebitnih vdorov ter materialne in moralne škode, ki za podjetje ob vdorih in izgubah pomembnih informacij nastane.

Sistem upravljanja varovanja informacij “SUVI”

Sistem upravljanja varovanja informacij v podjetju “SUVI” ali ang. information security management system “ISMS” predstavlja sistematičen pristop k upravljanju občutljivih informacij v podjetju z namenom njihovega ustreznega zavarovanja. V osnovi gre za sistem politik in pravil ravnanja z občutljivimi informacijami v podjetju, kontrol, sistemov in ljudi, ki omogoča prepoznavo groženj za varstvo občutljivih informacij v podjetju ter njihovo obravnavo z namenom zagotavljanja ustreznega varstva občutljivih podatkov v podjetju.

Velikokrat se podjetja, ko se odločijo za postavitev ali izboljšanje sistema upravljanja varovanja informacij ali prilagoditve poslovanja podjetja skladno z zakonodajo s področja varstva osebnih podatkov, obrnejo na nas z vprašanjem katero dokumentacijo morajo sprejeti, da bodo skladni z GDPR ali s standardom informacijske varnosti ISO 27001. Pri odgovoru na tako vprašanje moramo najprej ugotoviti, kakšen je namen sistema varovanja informacij. Ključen namen sistema varovanja informacij je ustrezno varovanje zaupnosti, celovitosti in razpoložljivosti pomembnih informacij. Podjetje mora pri sprejemanju dokumentacije upoštevati namen, zaradi katerega sploh želi izboljšati področje varstva informacij, predvsem pa sprejeti dokumentacijo, ki bo podlaga za ustrezno ravnanje zaposlenih in drugih oseb v podjetju, da se bodo osebni podatki in druge občutljive informacije obdelovale v skladu z zakonskimi normami in na način, da se zagotovi njihovo zaupnost, celovitost in razpoložljivost. Pri tem je potrebno vedeti, da zgolj sprejetje pred-pripravljenih tipskih pravilnikov ali politik ravnanja, ki ne ustrezajo kontekstu ali dejanskim potrebam podjetja, nikakor ne pomeni skladnosti podjetja z zakonodajo na področju varstva osebnih podatkov ali sistemom varovanja informacij.

Ko se vodstva v podjetjih odločajo za postavitev ali izboljšanje informacijske varnosti v podjetju, se velikokrat usmerijo predvsem v nabavo in implementacijo novih strojnih in programskih rešitev ter sprejetje ustreznih dokumentiranih pravil in politik ravnanja v podjetju, pozabljajo pa na zavest zaposlenih in drugih oseb, ki v podjetju delujejo. Programsko in strojno opremo lahko v večji meri nastavimo, da deluje v skladu z našimi varnostnimi politikami in smernicami informacijske varnosti in praviloma bo v skladu z nastavitvami tudi delovala. Pravila in politike ravnanja zaposlenih v podjetju lahko poljubno zapišemo in sprejmemo, vendar če ostanejo le črka na papirju ter v praksi dejansko ne zaživijo, jih zaposleni in druge osebe, ki delujejo v podjetju ne ponotranjijo, zato na povečanje varnosti informacij v podjetju nimajo posebnega koristnega vpliva. Podjetje mora poleg implementacije ustrezne programske in strojne opreme v podjetju ter sprejetja ustreznih internih pravil za ravnanje zaposlenih v podjetju, velik poudarek nameniti tudi povečevanju zavesti zaposlenih o razlogih in pomenu izboljševanja informacijske varnosti za podjetje.

Pomen zavesti zaposlenih v sistemu varovanja informacij

Sistem informacijske varnosti v podjetju je toliko močan kot je močan njegov najšibkejši člen. Velikokrat predstavljajo najšibkejši člen prav zaposleni oziroma druge osebe, ki delujejo v podjetju. Ali bodo pravila ravnanja in politike v realnosti uspešne, je odvisno predvsem od zavesti in pripravljenosti zaposlenih, ali se bodo po sprejetih internih pravilih ravnali. Delodajalec seveda ima možnosti, da zaposlene do določene mere prisili k ravnanju po sprejetih internih pravilih v okviru delovnopravne odgovornosti zaposlenih, ki morajo delo opravljati po navodilih delodajalca ter se ravnati v skladu s sprejetimi internimi akti pri delodajalcu, vendar bo za uspešno delovanje sistema informacijske varnosti ali ustrezne obdelave osebnih podatkov v podjetju ključno zavedanje zaposlenih o pomenu implementiranih internih pravil na področju informacijske varnosti in uveljavljene programske ter strojne opreme v podjetju. Zaposleni morajo razumeti in ponotranjiti pomen implementiranih pravil, posledic za podjetje, ki nastanejo v primeru nastanka kršitev varstva informacij ter posledic za zaposlene v primeru nastanka varnostnega incidenta. Zaposleni in druge osebe, ki delujejo v podjetju, morajo razumeti razlog za redno periodično spreminjanje gesel, generiranje ustreznih varnih gesel, ustrezno uporabo mobilnih naprav, ustrezno izvajanje politike čiste mize in praznega zaslona ter drugih ravnanj na področju informacijske varnosti. Zaposleni se morajo zavedati, da implementirana pravila, ki velikokrat terjajo spremembe ustaljenih delovnih navad in ravnanj zaposlenih, pomenijo povečanje varnosti informacij v podjetju in nikakor niso sama sebi namen.

Kako povečati zavest zaposlenih na področju informacijske varnosti

Podjetje mora že na začetku uvajanja sistema varnosti informacij v podjetju ali izvajanja prilagoditve poslovanja podjetja na zakonodajo s področja varstva osebnih podatkov, v proces vključiti ključne zaposlene, ki pri svojem delu upravljajo s pomembnimi informacijami. Zaposleni morajo biti aktivno vključeni v pripravo pravilnikov in politik na katere lahko podajo svoje predloge za prilagoditev pravil na delovni proces podjetja. Pomemben element pri povečevanju zavesti zaposlenih na področju informacijske varnosti predstavljajo tudi periodična izobraževanja zaposlenih, kjer se zaposlenim natančno predstavi sprejeta pravila ter pojasni pomen pravil obrazložen na dejanskih primerih iz prakse. Izvajanje periodičnih izobraževanj zaposlenih je predmet pregledov v primeru inšpekcijskih pregledov s strani informacijske pooblaščenke, ki preverja, ali so bili zaposleni z ustreznim ravnanjem na področju varstva osebnih podatkov seznanjeni. Pomemben dejavnik pri povečevanju zavesti zaposlenih na področju varnosti informacij predstavlja tudi vsebina sprejetih internih pravil. Vsi sprejeti pravilniki naj bodo prilagojeni kontekstu podjetja, saj tako odražajo dejanske potrebe na področju informacijske varnosti, zato sprejemanje pred pripravljenih vzorcev pravilnikov, ki niso prilagojeni na dejanske potrebe in kontekst podjetja, ni ustrezno. Neprilagojeni vzorci pravilnikov zmanjšujejo pripravljenost zaposlenih za ravnanje v skladu s takimi pravili, saj so lahko norme navedene v tipskih pravilnikih za posamezno podjetje nesmiselne, neustrezne, preveč omejujoče ali ne sovpadajo z možnostmi in resursi, ki jih ima v danem trenutku podjetje na voljo na področju zagotavljanja informacijske varnosti.

Ko boste naslednjič v vašem podjetju želeli izboljšati informacijsko varnost ali sistem upravljanja z osebnimi podatki, upoštevajte zavest zaposlenih o pomenu ustrezne obdelave podatkov ter varnosti informacij kot ključen element pri zagotavljanju ustrezne informacijske varnosti v podjetju.

Jaka Uršič Mag. prava,
ISO 27001 Lead audiator certifikat

Več podatkov s področja informacijske varnosti je na voljo na spletni strani Varnost podatkov.