CREAREA CULTURII SECURITĂŢII INFORMAŢIONALE ÎN CADRUL UNEI COMPANII
ROMAN MORARU, Departamentul Securitate BC Mobias Banca All the operations for ensuring of informational security, must be executed in complex, and must include tasks targeted for creating "security minded" corporate culture. To create such a culture it is needed to divide all of the employers into the groups based on the branches of the responsibility and areas of decision making from point of view of information security. For each of this group's security awareness program must be set individually. Studierea materialelor si practicii de pana acum din domeniul protectiei informatiei arata ca metodele tehnice si program de aplicare a principiilor securitatii informationale sunt bine documentate si este foarte greu de ales vre-un domeniu unde aceste metode nu sunt subiectul unei carti sau articol. Necesitatea pentru instruirea adecvata a angajatilor in domeniul securitatii informationale a fost recunoscuta nu cu mult timp in urma. In cadrul unor organizatii din Statele Unite ale Americii aceasta instruire a devenit obligatorie. In orice caz in urma analizei informatiei din cadrul Intreprinderilor din Moldova si unor organizatii din strainatate instruirea nu este privita ca o prioritate de majoritatea din cei intervievati. Ca exemplu Organizatia Ernst & Young in anul 2003 a intervievat 1400 de companii din 66 de tari, dintre care numai 29% [1] din organizatii ofereau instruire angajatilor in domeniul securitatii informationale. Similar un alt studiu arata ca 13% din businessul din Anglia nu detine proceduri pentru educarea angajatilor privitor la responsabilitatile lor in acest domeniu. Cu toate acestea, majoritatea literaturii publicate este concentrata la descrierea domeniilor tehnice a securitatii informationale si foarte putine materiale analizeaza acest domeniu din punct de vedere al instruirii personalului in domeniul securitatii informationale si crearea culturii securitatii informationale in cadrul unei organizatii. De exemplu in aceiasi carte "Information Security Management Handbook, Fifth edition" [2] din 1000 de pagini dedicate securitatii informationale crearii culturii securitatii informationale au fost dedicate in jur de 15 pagini. Plus la aceasta in orice publicatie este indicata importanta instruirii personalului si statisticile arata ca majoritatea incidentelor legate de furtul de mijloace banesti au fost depistate de personalul companiilor ce nu era direct implicat direct in aplicarea securitatii informationale o imagine clara cum trebuie de efectuat aceasta instruire nu exista. Problemele ce influenteaza personalul sa nu reactioneze adecvat la instruirea in domeniul securitatii informationale:
Fig.1 Sectia de
marketing cuprinde activitatile indreptate spre promovarea departamentului
securitatii informationale si serviciile prestate in organizatie.
Personalul tinta vor a mesajului transmis va fi mai degraba toata
compania, de cat fiecare angajat in parte.
Activitatile de suport si raspuns, pe de alta parte, sunt indreptate spre cerintele specifice ale utilizatorului(angajatului) si pot fi utilizate spre intarirea relatiilor dintre angajatii responsabili de securitatea informationala si utilizatori. Metodele de instruire au fost divizate in doua clase, reflectand distinctia dintre instruirea ce ofera cunostinte generale despre securitatea informationala si instruirea specifica unor domenii a SI. "Cerintele catre trainingul angajatilor" publicat de catre NIST in anul 1998 [3] efectueaza o divizare asemanatoare si defineste urmatoarele etape succesive:
Aceasta distinctie dintre Educarea de baza, instruire si educare este foarte importanta deoarece, fiecare din aceste domenii sunt indicate diferitor grupe de angajati din cadrul Companiei, respectiv diferite grupe de angajati vor avea nevoie de diferite cunostinte din domeniul SI. Scopul final a crearii culturii securitatii informationale din Companie este obtinerea participarii, prin intermediul initiativelor, angajatilor la procesul de dezvoltare a SI. Literatura
|