Soluțiile de securitate, indiferent de complexitatea acestora, nu vor fi infailibile, întrucât persoane interesate vor găsi mereu vulnerabilități pe care să le exploateze. De la un simplu click pe un link malițios primit pe e-mail la scheme de inginerie socială complexe ori gestionarea necorespunzătoare a informațiilor în format fizic ori digital, toate acestea reprezintă provocări pentru factorul uman.
Este esențial să conștientizăm că fiecare angajat contribuie la securitatea organizației, fiind necesar ca aceasta să fie considerată o prioritate de către toate categoriile de personal, nu doar de către cei de nivelul structurii de securitate, departamentului IT sau managementului. Atitudinea fiecăruia face diferența și, din acest motiv, putem afirma, fără echivoc, că omul reprezintă deopotrivă cea mai valoroasă resursă pe care o deține o organizație, dar și principala verigă exploatabilă de către entități cu interese ostile. În fiecare zi gestionăm informații, la serviciu ori acasă, în relațiile personale ori profesionale. Unele informații necesită o protecție specială prin prisma importanței lor și a consecințelor pe care le poate produce cunoașterea lor de către persoane nepotrivite. Organizațiile din mediul privat își protejează informațiile pentru a avea un avantaj concurențial față de cei care nu le dețin și care activează în același domeniu. Entitățile din mediul public își protejează informațiile a căror diseminare neautorizată ar putea afecta interesele de securitate instituțională sau chiar națională. Indiferent de mediul de activitate, deținerea informației potrivite la momentul oportun reflectă puterea organizației într-un cadru determinat. Pentru a evita compromiterea informațiilor gestionate, este dezirabil ca organizația să cunoască și să înțeleagă amenințările de securitate cu care se poate confrunta.
Cultura de securitate într-o organizație
Cultura de securitate este o parte importantă a culturii organizaționale. Ea trebuie consolidată permanent pentru a evita potențialele incidente de securitate. Conștientizarea de către personalul organizației cu privire la riscurile și amenințările la care poate fi expus (într-un cuvânt awareness) reprezintă unul dintre principalii factori care contribuie la consolidarea culturii de securitate.
Între elementele care definesc cultura de securitate se numără regulile sau politicile de securitate, iar aici ne referim la legi, regulamente, coduri de etică, reguli scrise și nescrise etc. De cele mai multe ori, pentru personalul organizației, politica de securitate reprezintă un document cu multe pagini pe care toți îl semnează pentru a demonstra că l-au luat la cunoștință, dar pe care puțini îl citesc, iar și mai puțini îl înțeleg. Să ne imaginăm situația în care accesăm un site, iar pentru a continua navigarea este necesar să citim politica acestuia. De regulă, derulăm tot textul și bifăm direct acceptarea termenilor și a condițiilor de utilizare, fără a le mai citi.
De aceea, un prim pas pentru consolidarea culturii de securitate la nivelul angajaților organizației este formularea unor politici de securitate care să fie pe înțelesul tuturor sau cel puțin să fie prezentate într-o manieră ușor de asimilat. Un alt element care definește cultura de securitate este reprezentat de tehnologie, care conține atât o componentă tangibilă (hardware), cât și una intangibilă (software, model mental, pattern). Nu în ultimul rând, factorul uman este poate cel mai important element care definește cultura de securitate, contribuția lui la consolidarea acesteia și asigurarea securității organizației fiind tratate în detaliu în rândurile următoare.
Factorul uman
Acordăm o atenție specială factorului uman întrucât considerăm că acesta reprezintă cea mai valoroasă resursă pe care o deține o organizație. Fiind cea mai valoroasă resursă, aceasta trebuie protejată corespunzător. Oamenii sunt direct implicați în asigurarea securității organizației. În primul rând, ei sunt cei care gestionează informații, ei sunt cei care accesează calculatoare, sisteme și rețele informatice, devenind astfel principalul factor exploatabil. Totodată, oamenii au capacitatea de a recunoaște și gestiona – mai bine decât calculatoarele – noile modele/pattern-uri, și de aceea, sunt mai potriviți pentru a lua decizii privind securitatea informațiilor în cadrul organizației.
Factorul uman este cu atât mai important cu cât poate prezenta interes pentru entități ostile asociate unor actori statali sau non-statali (persoane, grupuri sau organizații) care urmăresc obținerea accesului neautorizat la informații sau sisteme prin intermediul acestora. Compromiterea informațiilor poate aduce prejudicii inclusiv securității naționale.
De regulă, oamenii vor să fie binevoitori, să-și îndeplinească responsabilitățile și să ofere servicii de bună calitate. Însă de aceste situații pot profita persoane cu intenții ilicite, care utilizează diverse tehnici psihologice de manipulare a percepției oamenilor astfel încât să câștige încrederea angajaților și să îi determine să divulge informații sensibile sau să întreprindă alte acțiuni în interesul lor.
Cultura de securitate implică toți membrii organizației. Fiecare angajat are responsabilitatea asigurării securității organizației și este esențial să conștientizăm că cea mai mare provocare în realizarea acestui deziderat este dată de comportamentul oamenilor – cum gestionează anumite situații, cum se raportează la principiul confidențialității. Acesta este cauza care stă la baza celor mai frecvente incidente de securitate. Comportamentul angajaților care generează incidente de securitate poate fi rezultatul neglijenței, lipsei de cunoaștere, de instruire sau intenției, iar din această perspectivă o cultură de securitate puternică poate contribui la minimizarea riscurilor la adresa organizației.
Un nivel scăzut al culturii de securitate reprezintă o vulnerabilitate pentru orice organizație. De aceea este important ca angajații să fie încurajați să respecte politicile de securitate, iar acest lucru să se realizeze alături de obligațiile contractuale asumate sau cele legale, datorită conștientizării necesității respectării acestora.
Exemplul oferit de conducere
Securitatea începe de la management. Conducătorii unei instituții sau companii trebuie să reprezinte un model de comportament pentru angajații din subordine și joacă un rol-cheie în formarea și consolidarea culturii de securitate la nivelul organizației pe care o coordonează – de la adoptarea unui comportament prudent la alocarea de resurse financiare, materiale, umane.
Lipsa sprijinului sau un sprijin scăzut din partea managementului transmite un mesaj confuz, influențând comportamentul personalului. De asemenea, este foarte important ca angajații să fie familiarizați cu viziunea organizației din care fac parte, respectiv cu rolul lor în îndeplinirea acesteia. O strategie de securitate cu obiective clar definite, politici, roluri și responsabilități reprezintă o necesitate și un pas important spre dezvoltarea culturii de securitate.
Asigurarea implementării măsurilor de securitate implică alocarea unui buget adecvat. Securitatea nu trebuie percepută ca un cost, ci ca o investiție pe termen lung, care necesită eforturi comune, constante. O astfel de investiție reprezintă o modalitate eficientă de a reduce riscurile și consecințele asociate lipsei acesteia. Mai mult, implementarea unui sistem eficient de protecție a informațiilor gestionate ar influența pozitiv competitivitatea, creșterea economică, inovația, precum și menținerea unui mediu securitar adecvat.
Abstract
The security incidents that have taken place over time have shown that one cannot talk about total security. Moreover, studies show that most problematic situations are caused by the human factor. One of the safest managerial investments is in the continuous training of human resources in order to ensure organizational security. Although it may seem a small step, being aware of the fact that professional membership ensures access to data that is not for extensive access represents an essential component of protecting the values and objectives of the entities.
Autor: Tiberiu Matei
