CREAREA CULTURII SECURITĂŢII INFORMAŢIONALE ÎN CADRUL UNEI COMPANII

 

ROMAN MORARU, Departamentul Securitate BC Mobias Banca

All the operations for ensuring of informational security, must be executed in complex, and must include tasks targeted for creating "security minded" corporate culture. To create such a culture it is needed to divide all of the employers into the groups based on the branches of the responsibility and areas of decision making from point of view of information security. For each of this group's security awareness program must be set individually.

Studierea materialelor si practicii de pana acum din domeniul protectiei informatiei arata ca metodele tehnice si program de aplicare a principiilor securitatii informationale sunt bine documentate si este foarte greu de ales vre-un domeniu unde aceste metode nu sunt subiectul unei carti sau articol.

Necesitatea pentru instruirea adecvata a angajatilor in domeniul securitatii informationale a fost recunoscuta nu cu mult timp in urma. In cadrul unor organizatii din Statele Unite ale Americii aceasta instruire a devenit obligatorie. In orice caz in urma analizei informatiei din cadrul Intreprinderilor din Moldova si unor organizatii din strainatate instruirea nu este privita ca o prioritate de majoritatea din cei intervievati. Ca exemplu Organizatia Ernst & Young in anul 2003 a intervievat 1400 de companii din 66 de tari, dintre care numai 29% [1] din organizatii ofereau instruire angajatilor in domeniul securitatii informationale. Similar un alt studiu arata ca 13% din businessul din Anglia nu detine proceduri pentru educarea angajatilor privitor la responsabilitatile lor in acest domeniu.

Cu toate acestea, majoritatea literaturii publicate este concentrata la descrierea domeniilor tehnice a securitatii informationale si foarte putine materiale analizeaza acest domeniu din punct de vedere al instruirii personalului in domeniul securitatii informationale si crearea culturii securitatii informationale in cadrul unei organizatii. De exemplu in aceiasi carte "Information Security Management Handbook, Fifth edition" [2] din 1000 de pagini dedicate securitatii informationale crearii culturii securitatii informationale au fost dedicate in jur de 15 pagini. Plus la aceasta in orice publicatie este indicata importanta instruirii personalului si statisticile arata ca majoritatea incidentelor legate de furtul de mijloace banesti au fost depistate de personalul companiilor ce nu era direct implicat direct in aplicarea securitatii informationale o imagine clara cum trebuie de efectuat aceasta instruire nu exista.

Problemele ce influenteaza personalul sa nu reactioneze adecvat la instruirea in domeniul securitatii informationale:

  • Angajatii pot sa intalneasca dificultati din cauza vitezei mari de dezvoltare a companiei;
  • Angajatii pot avea dificultati din cauza complexitatii sistemelor din prezent;
  • Initiativele in urma analizei eficientei pot impune angajatii sa se concentreze la obligatiunile principale de serviciu, cele legate de SI raman pe ultimul plan;
  • Cei ce au organizat reorganizarea companiei pot sa subestimeze viteza de invatare a angajatilor a noilor obligatiuni si responsabititati, cat si a noilor tehnologii desigur;
  • O parte de angajati detin cunostinte minime in domeniul tehnologiilor informationale(calculatoarelor);
Rezistenta pe care o opun angajatii este un fenomen cunoscut, dar in domeniul securitatii informationale situatia este si mai grava din cauza neintelegerii de catre utilizatori de ce sunt necesare aceste modificari in domeniu. Aditional, elementele de control pot fi cateodata "greoaie" si impun o anumit lucru de rutina si activitati in plus. Daca angajatii nu sunt convinsi de necesitatea acestor pasi, ei probabil vor ignora pasii si initiativele managementului de varf. Pentru modificarea acestei situatii se propun urmatoarele masuri Pentru asigurarea crearii mediului de securitate in cadrul Companiei managerul responsabil de SI are la dispozitie patru tehnici prezentate in figura (Fig. 1):  

Fig.1

Sectia de marketing cuprinde activitatile indreptate spre promovarea departamentului securitatii informationale si serviciile prestate in organizatie. Personalul tinta vor a mesajului transmis va fi mai degraba toata compania, de cat fiecare angajat in parte.

Activitatile de suport si raspuns, pe de alta parte, sunt indreptate spre cerintele specifice ale utilizatorului(angajatului) si pot fi utilizate spre intarirea relatiilor dintre angajatii responsabili de securitatea informationala si utilizatori. Metodele de instruire au fost divizate in doua clase, reflectand distinctia dintre instruirea ce ofera cunostinte generale despre securitatea informationala si instruirea specifica unor domenii a SI. "Cerintele catre trainingul angajatilor" publicat de catre NIST in anul 1998 [3] efectueaza o divizare asemanatoare si defineste urmatoarele etape succesive:

  • Educare de baza;
  • Instruirea;
  • Educarea;
Educare de baza bazata este bazata pe competenta angajatilor si este indreptata spre dezvoltarea acestor capacitati necesare pentru indeplinirea activitatilor zi de zi. Instruirea si educarea in domeniul SI este cu mult mai specializata si in special este recomandata specialistilor in domeniu.

Aceasta distinctie dintre Educarea de baza, instruire si educare este foarte importanta deoarece, fiecare din aceste domenii sunt indicate diferitor grupe de angajati din cadrul Companiei, respectiv diferite grupe de angajati vor avea nevoie de diferite cunostinte din domeniul SI.

Scopul final a crearii culturii securitatii informationale din Companie este obtinerea participarii, prin intermediul initiativelor, angajatilor la procesul de dezvoltare a SI.

Literatura

    1. Auerbach Publications Information Security Fundamentals 2005
    2. Auerbach Publications Information Security Management Handbook, Fifth edition, 2005
    3. Artech House A Practical Guide To Managing Information Security 2004
    4. The CISM Prep Guide-Mastering the Five Domains of Information Security Management, 2003
    5. Introduction to Computer Security: The NIST Handbook
    6. NIST special publication 800-50, Building an Information Technology Security Awareness and Training Program
    7. Международное исследование по вопросам информационной безопасности, Ernst & Young, Ernst & Young
     

    1. Международное исследование по вопросам информационной безопасности, Ernst & Young
    2. Auerbach Publications, Information Security Management Handbook, Fifth edition, 2005, p 989
    3. Introduction to Computer Security: The NIST Handbook