Културата на информационната сигурност е свързана с нагласите, поведенията, ценностите и знанията, на служителите в дадена организация при взаимодействието им със системите и процедурите на организацията. Добрата култура в информационната сигурност може да подпомогне и минимизира заплахата от човешкия фактор в пробивите на сигурността в организациите.
Изграждането на добра култура в информационната сигурност започва още преди постъпването на служителя на работа. В този етап ние можем да изследваме и проверим ценностите и нагласите на бъдещите ни служители и да преценим как те биха се вписали в културата на нашата организация, включително и в културата на информационна сигурност.
Веднъж станали част от организацията ни, започваме да работим в посока управление на знанията им по информационна сигурност и техните поведения.
Как да управляваме знанията на нашите служители за по-добра информационна сигурност?
На първо място чрез обучения. Всеки един служител при постъпване на работа е задължително да премине първоначално обучение по основи на информационната сигурност. Флексибъл бит предлага това обучение напълно безплатно като част от мисията на компанията ни за изграждане на осведоменост.
В компании, които са сертифицирани по ISO 27001; за IT специалисти, мениджъри, отдел човешки ресурси и при заемане на позиция с по-високо ниво на достъп трябва да се проведат последващи фокусирани обучения. Във Флексибъл Бит сме разработили тези обучения, в които се включва не само техническа насоченост, но процедурна в контекста на ISO 27001 и с насоченост към психологическите аспекти. Свържете се с нас, за да ви предложим най-подходящото за вас!
Естествено въвлечени в дневните задачи в определен момент човек губи инерция и тук идват на помощ кампаниите във връзка с информационната сигурност. Те могат да бъдат различни:
- информиращи мейли с ангажиращо съдържание, които да напомнят за заплахите, както и да провокират и напомнят за желаните поведения т.е те ни помагат да работим освен със знанията, но и с поведенията на нашите служители
- фишинг кампании – държат на щрек служителите, доразвиват знанията за това как работят фишинг атаките, показват ни кога и кой е добре да мине опресняващо обучение, към какво да бъде насочено.
- излъчване на шампиони по сигурността – служители с интерес към сигурността, които помагат да се разшири посланията за сигурност на ниво екип.
Процедурите
По въпросите за информационната сигурност се работи активно от години, тъй като заплахите нарастват с всеки изминал ден. С цел въвеждане на добри практики, които са универсални и защитават компанията ни, са въведени редица стандарти, които са свързани с информационната сигурност, част от тях са ISO 27001, NIST CSF. Естеството на тези стандарти и рамки изисква създаването на политики, процеси и правила по сигурността, които освен да се създават, трябва и да се следват. Именно следването на правилата се оказва един от най-големите проблеми в организациите.
Първо, за да се следват правилата е добре да се знаят, т.е е задължително всеки един служител, при постъпването му на работа, да е запознат с процедурите, които трябва да се спазват. Може веднъж да се запознае с тях чрез документ и в следващ етап посредством обучение.
Важно е обаче освен да знаем процедурите, да ги спазваме. Как да стане това?
Това става чрез различни методи, някой споменахме по-горе, други са свързани с това правилата да са създадени за конкретната организация и да отговарят на процесите й. Както казахме горе, стандартите задават обща рамка, но дават възможност тя да се адаптира за нуждите на конкретна организацията, тъй като това е важен фактор въведените политики и правила да се спазват, т.е приложимост, осведоменост и разбиране на процесите и процедурите.
