Pristupi povećanju svijesti o informacijskoj sigurnosti kod zaposlenika u poduzećima

Članovi tima:

*Josipa Tadić
*Nadja Kosojević

--Nadja.kosojevic 16:42, 21. studenog 2015. (CET)

Sadržaj 1 Uvod 2 Općenito o učenju 3 Pristupi 3.1 Formalni pristup 3.2 Neformalni pristup 4 Primjer - Sfera 8 IT d.o.o. 5 Zaključak 6 Literatura

Uvod

Nekoliko je načina kako se kvalitetno može zaštiti informacijski sustav i tako osigurati sigurnost u poduzeću, prikazani su na slici Slika 1. Elementi zaštite informacijskog sustava. To su tehnološki načini zaštite, zatim pravni načini zaštite i ostali – kompjutorska etika i obrazovanje te međunarodna suradnja^[1].
Svi ti načini daju najveću učinkovitost ako su u međudjelovanju, to jest ako se koriste istovremeno. U ovom wiki članku, mi ćemo se osvrnuti na aspekt obrazovanja – to jest na načine kako kod zaposlenika podići svijest o tome da se moraju ponašati na propisane načine kako bi doprinijeli zaštiti informacija i informacijskog sustava poduzeća u kojem rade, te na taj način i doprinijeli poslovanju poduzeća.

Slika 1. Elementi zaštite informacijskog sustava (samostalna izrada)

josipa.tadic 16:20, 13. siječnja 2016. (CET)

Općenito o učenju

Prva asocijacija kod većine ljudi kada se spomene učenje je učenje iz knjiga ili pripremljenih materijala, skripti i slično, zatim iz video materijala ili službene dokumentacije. Rijeđe se dogodi da se ljudi sjete da mogu učiti iz iskustva drugih, prenositi znanje usmeno, zatim da postoje kreativniji načini učenja, poput podsjetnika, plakata s porukom i tako dalje. Nadalje, ljudi u učenju mogu biti samostalni ili mogu učiti zajedno s nekime u paru ili grupi. Tako da učenje možemo na jedan način podijeliti na samostalno i grupno. Isto tako, prema gore navedenom, mogli bismo tipove učenja podijeliti na formalno i neformalno (Slika 2. Učenje), ovisno o tome gdje se održava (škole, tečajevi ili je neslužbeno i usputno) i drži li edukacije stručna osoba ili ne. Osobno smatram da je najbolje kombinirati tipove učenja, iz formalnog dobiti više informacija, a neformalni tip koristiti kao ponavljanje i podsjetnik. Što se tiče samostalnog ili grupnog učenja, to svaki čovjek zna najbolje za sebe kako mu odgovara.

Slika 2. Učenje (samostalna izrada)

Općenito, teorije učenja mogu se podijeliti u tri skupine: bihevioristički pristup, kognitivistički pristup te teorije socijalnog učenja (Slika 3. Teorije učenja). Nama su za ovu temu najzanimljivije dvije teorije. Jedan je kognitivistički pristup jer se bavi unutrašnjim promjenama u znanju, vrijednsotima, mišljenju ili stavovima i jer se bavi modelom ljudske obrade informacije, to jest načinima na koji ljudi opažaju podražaje iz okoline, kako se te informacije obrađuju u radnom pamćenju te kako se te informacije povezuju s ranije usvojenim znanjima i kako se tog cjelokuponog znanja dosjećaju. Druga teorija je teorija socijalnog učenja zbog toga što se proučava proces učenja i ishodi u socijalnom okruženju. Velika važnost se pridaje učenju promatranjem drugih osoba, to jest kako se drugi ponašaju te promatranjem posljedica koje tuđe ponašanje uzrokuje u okolini^[2].

Slika 3. Teorije učenja (samostalna izrada)

Također, važno se osvrnuti i na stilove učenja , kojih je također tri, a to su vizualni stil učenja, auditivni stil te kinestetički stil (VAK), prikazani na slici 4. Stilovi učenja. Vizualni stil odnosi se na osobe koje najlakše pamte tako da vide slike, a koriste vidni dio mozga. Auditivni stil se odnosi na ljude koji pamte slušajući, dok se kinestetički odnosi na one koji pamte pomoću pokreta ili dodira. Svaka osoba može koristiti sva tri stila, ovisno o tome što uči, ali jedan je dominantniji nad drugima^[3].

Slika 4. Stilovi učenja (samostalna izrada)

Načela učenja odraslih

Odrasli imaju ponešto drugačiji način učenja od djece, pa se tako i podučavanje odraslih razlikuje od poučavanja djece (pedagogije) i pojam koji označava znanost koji se bavi učenjem odraslih je andragogija. Kod pedagoškog pristupa najvažniju ulogu ima nastavnik, dok kod andragogije se ta važnost usmjerava na ono što radi učenik, to jest polaznik jer polaznik ima iskustvo koje mu može pomoći u učenju. Autori donose 10 načela koji se odnose na odrasle u procesu obrazovanja, a svakako mogu pomoći i onima koji održavaju edukacije da bolje shvate i razumiju svoje polaznike^[3]:

• motivacija – odrasli se motiviraju za učenje ukoliko za to imaju razlog, svrhu ili cilj
• kontrola – odrasli su navikli imati kontrolu nad svojim životom pa tako i nad učenjem. Najčešće su samousmjereni i nije im teško preuzeti odgovornost za vlastito učenje
• iskustvo – svjesno ili ne, odrasli povezuju nova znanja s prethodnim znanjima i iskustvima
• različitost – svaka osoba je jedinstvena i po znanju i iskustvima te se to može korisno upotrijebiti kako bi se oplemenilo učenje, primjerice putem grupnih diskusija, dijeljenja iskustava i slično
• godine – iako se s godinama smanjuje brzina i sposobnost učenja, pojačava se razina i dubina razumijevanja novog sadržaja
• cilj – odrasli žele ono što nauče moći primjeniti što prije, također žele jasno i sistematično prikazane nove informacije kako bi učenje teklo što brže
• relevantnost (važnost) – odrasli žele znati zašto nešto uče i je li primjenjivo, to jest koliko je to važno za njih i okolinu u kojoj će to znanje primjenjivati
• navike – pošto odrasli često imaju već oblikovane navike, ako se u procesu učenja od njih traži da ih prilagode ili izmjene, može doći do pružanja otpora pa je potrebno uložiti dodatne napore kako bi se polaznike uvjerilo u korisnost toga što uči, a vjerojatno će i samo učenje biti sporije, to jest polazniku će trebati više vremena da prihvati promjene
• promjene – nadovezuje se na prethodno načelo, ali ima ljudi koji lako prihvaćaju promjene. Kod problema prihvaća promjena najčešće dolazi prilikom potrebe za promjnenom stavova, uvjerenja, oblika ponašanja i načina djelovanja
• poštovanje – pošto odrasli ljudi zahtijevaju poštovanje, to jest očekuju ga, treba im ga iskazati tako da se poštuje i njihovo mišljenje i ideje, iako ne moraju nužno biti i u pravu

josipa.tadic 15:31, 17. siječnja 2016. (CET)

Pristupi

Mana kompjutorske znanosti je ta što je to relativno nova znanost, za razliku od medicine, prava, ekonomije i ostalih disciplina, pa stoga nema ni razvijenu i uspostavljenu etiku niti neka propisana pravila ponašanja. S godinama kako se bude razvijala, vjerojatno će razviti i na tom aspektu, a tome će najviše pridonijeti ljudi, ako budu svjesni potrebe pravila i etičnog ponašanja. Do uspostavljanja pravilnog ponašanja doći će kada svi budu svjesni da treba pažljivo i savjesno koristiti informatičku opremu, sustave i isto tako baratati informacijama. Čovjek predstavlja najveću opasnost za informacijsku sigurnost jer je shvatio da može kriminalnim radnjama postići ono što želi i dobiti što treba, a tada se javila i potreba za zaštitom od takvih radnji. No često radnje ne moraju biti unaprijed osmišljene i namjerne da bi se naštetilo informacijskom sustavu, čovjek može nenamjerno negativno utjecati na sustave, primjerice ako je nestručan, ne mari, nije motiviran i slično. To je posebno izraženo u zajednicama ljudi koje ne pridaju dovoljno pažnje informatičkom obrazovanju, teško prihvaćaju promjene u tehnologijama i ne vode brigu o eventualnim negativnim posljedicama svog ponašanja. Pošto se sve više i više radnji i djelatnosti oslanja na korištenje informacijske tehnologije, takva ponašanja treba mijenjati jer štete mogu biti i prevelikih razmjera, ovisno o kojim sustavima se radi, a jedan od načina mijenjanja takvog ponašanja je informatičko obrazovanje i osvješćivanje ljudi o važnosti informacijskih sustava. Općeniti prijedlozi vezani uz obrazovanje, etično ponašanje i suzbijanje računalnog kriminala i tako dalje su:

• Stalno obrazovanje i konstantno podizanje svijesti o opasnostima i posljedicama računalnog kriminala
• Razvoj moralnih normi vezan uz korištenje računala i sustava, a posebno interenta kako bi ljudi razvili odgovornost prema sebi i drugima
• Podizanje svijesti o pažljivom korištenju informatičkih resursa i nužnosti toga
• Preventivno djelovanje putem svih vrsta medija
• Poticanje da se slučajevi zloupotrebe trebaju prijavljivati nadležnim tijelima te upoznati ljude s njihovim načinom rada
• Uvođenje takvih tema u sklopu informatičkog obrazovanja u obrazovne instuticije, posebno u visokoobrazovne institucije te dodatne edukacije kadrovima u (visoko)obrazovnim institucijama
• Praćanje promjena trendova i tehnologije te novih načina zloupotrebe, kao i s novih načina zaštite i suzbijanja kriminalnih radnji
• Upoznavanje s aktulanim zakonima i propisima, posebice s onima koji se odnose na zaštitu privatnosti, zaštitu od računalnih kriminalnih radnji, zaštitu intelektuanog vlasništva
• Konstantno obrazovanje sudaca, policije, odvjetnika i ostalih koji sudjeluju u suzbijanju računalnog krimala
• Stalno stručno osposobljavanje kadrova zaduženih za sigurnost i zaštitu informacijskih sustava

To sve dakako zahtjeva velike napore i ulaganja cijele države, ali isto tako i pravnih osoba, trebaju i sami osigurati zaštitne mjere kao i edukacije svih zaposlenika u poduzeću koji na ikoji način sudjeluju u korištenju informacijskog sustava poduzeća^[1]. Time dolazimo do najvažnijeg dijela teme ovog rada – što se može učiniti kako bi se zaposlenicima povećala svijest o sigurnosti informacijskih sustava.

josipa.tadic 18:00, 17. siječnja 2016. (CET)

Za poslovanje svake organizacije bitno je odrediti ciljeve i prioritizirati ih te na taj način uskladiti sve potrebne resurse za nesmetano poslovanje. Jedan od bitnih i nezaobilaznih dijelova poslovanja organizacija u današnjoj turbulentnoj okolini predstavlja informacijsko-komunikacijska tehnologija (ICT) koja svakako doprinosi efektivnosti i efikasnosti poslovanja. No, pri upotrebi informacijskih sustava (IS) u poslovanju, potrebno je obratiti veliku razinu pažnje i posvetiti dosta vremena na sigurnost IS-a kako bi svi potrebni podaci i informacije vezane za poslovanje bile sigurne i dostupne samo u domeni poslovanja koje je za određene informacije i podatke zaduženo i propisano u dokumentima organizacije poslovanja svakog poduzeća.

Da bi se ostvarila razina dobrog poslovanja i sigurnosti podataka i informacija, potrebno je pravovremeno i na pravi način educirati sve zaposlenike o načinima zaštite, ali i načinima mogućih kompromitiranja navedenih resursa poduzeća.

Neke od najčešćih grešaka, prikazane na Slici 5. Pogreške zaposlenika, koje zaposlenici mogu namjerno ili nenamjerno prouzročiti su:

• greške u radu s poslovnim aplikacijama

• nesvjesno ili namjerno odavanje povjerljivih podataka poduzeća

• greške u razvoju i održavanju IS-a poduzeća

• neprimjereno rukovanje informatičkom opremom

Slika 5. Pogreške zaposlenika (samostalna izrada)

Provođenje edukacije povećanju svijesti o informacijskoj sigurnosti kod zaposlenika u poduzećima može se izvršavati na više različitih načina. Takvi načini obuhvaćeni su unutar dva glavna pristupa:

Formalni

Neformalni

--Nadja.kosojevic 17:00, 16. siječnja 2016. (CET)

Formalni pristup

Formalni pristup predstavlja način edukacije na formalnoj razini poslovanja poduzeća, odnosno, uključuje rad posebnog odjela informacijske sigurnosti u poduzeću ili stručnjaci koje poduzeće može outsourcingom unajmiti da radi isti posao.

Kod formalnog pristupa moguće je provesti certificiranje zajedno ili odvojeno sa tečajevima i ostalim oblicima edukacije gdje svaki odjel unutar poduzeća treba dobiti potrebne informacije o sigurnosti poslovanja organizacije.

Što se tiče razvoja svijesti o informacijskoj sigurnosti, potrebno je predstaviti i procijeniti sigurnost i napraviti analizu „AS IS“ stanja unutar poslovanja organizacije. Na taj način moguće je kontinuirano implementirati i educirati te razviti svijest o informacijskoj sigurnosti jer ona predstavlja sastavni dio svakog poslovanja. ^[4]

Certificiranje

Certificirati se mogu cijela poduzeća ili samo određene osobe koje su tada zadužene za održavanje informacijske sigurnosti u poslovanju. Takve osobe moraju imati određenu razinu kompetencije koju moraju dokazati tako da prvo ostvare zadovoljavajuće rezultate pri certificiranju te su tako ovlaštene za provođenje određenih mjera sigurnosti informacijskog sustava u organizaciji. Takvi certifikati nazivaju se stručnim certifikatima kojima se dokazuje da je osoba kompetentna, odnosno, postigla je razinu specijalističkih znanja i vještina te je u mogućnosti iste prenositi na druge putem organizacije ili reorganizacije informacijske sigurnosti u nekom poduzeću ili edukacijama ljudskih resursa za poduzeća i šire. ^[4]

Certifikati su bitni jer njihovim uvođenjem u poslovanje dobiva se višestruka korist: i za pojednice/zaposlenike i za poslodavce.

Koristi za pojedince/zaposlenike (Prema http://www.cis.hr/files/dokumenti/CIS-DOC-2011-01-001.pdf):

• Lakše zaposlenje – certifikat omogućuje postojanje veće kompetencije za budućeg zaposlenika te samim time predstavlja veliku prednost pred ostalim necertificiranim kandidatima, isto tako vrijedi i za zaposlenika

• Bolja plaća – poslodavac je spreman izdvojiti više novca za plaće certificiranim radnicima koji imaju dokaz o višoj razini znanja i vještina koje je zaposlenik postigao certificiranjem

• Napredak u karijeri – s obzirom na veću razinu znanja od necertificiranih kolega, certificirani zaposlenik može lakše napredovati

• Dokaz o poznavanju tehnologije – certifikat zaposleniku jamči visoku razinu znanja i kompetencija te iskustva koje je usvojio certificiranjem

• Dodatna podrška proizvođačima opreme – certifikat omogućuje pristup proizvođaču opreme, točnije, službi podrške, programskim nadogradnjama te priliku za testiranje novih verzija prototipa službe podrške.

Koristi za poslodavce (Prema http://www.cis.hr/files/dokumenti/CIS-DOC-2011-01-001.pdf):

• Jednostavnija selekcija kandidata – certifikat prikazuje da kandidat ima višu razinu znanja i iskustva od ostalih necertificiranih kandidata

• Produktivnost zaposlenih s certifikatom – s obzirom na veću razinu znanja i iskustva, produktivnost je, također, veća od ostalih zaposlenih

• Podrška proizvođača opreme – certificirani zaposlenici mogu komunicirati s proizvođačima opreme kod kojih su se certificirali te tako omogućuju bolje poslovanje na toj domeni i uvid u testiranje novih verzija prototipa službe podrške

• Zaposlenici s certifikatom rjeđe mijenjaju posao – certificirani zaposlenici mogu lakše napredovati te su stoga zadovoljni i ne mijenjaju poduzeća toliko često

• Zaposlenici s certifikatom znaju iskoristiti sve mogućnosti opreme – polaganjem certifikata, zaposlenici dobivaju veću količinu znanja o opremi te ju tako znaju i bolje iskoristiti

U današnje vrijeme postoji velik izbor certifikata koji se mogu izabrati te implementirati u poduzeće ovisno o njihovim ciljevima i mogućnostima koji određeni certifikat nudi.

Prema ^[4] postoje tri vrste i domene stručnih certifikata:

1. Certifikati proizvođača određene tehnologije

2. Certifikati treće strane, odnosno, strane neovisne od konkretnog proizvođača i njegove tehnologije

3. Certifikati vodećih strukovnih udruga

Certifikati vodećih strukovnih udruga su potpuno neovisni od drugih, vanjskih utjecaja, osim utjecaja struke, kao što su ISO certifikati i ISACA-ini certifikati. ISACA(Information Systems Audit and Control Association)provodi certificiranje na šriokoj domeni informacijske sigurnosti.

ISACA certifikati uključuju sljedeće:

• CISA (Certified Information Systems Auditor)

• CISM (Certified Information Security Manager)

• CGEIT (Certified in the Governance of Enterprise IT)

• CRISC (Certified in Risk and Information Systems Control)

Tečajevi i seminari

Tečajevi i seminari se mogu održavati u sklopu poduzeća i njegovog poslovanja, a mogu se obavljati i van domene poduzeća.

U svakom slučaju poduzeće, odnosno, odjel ili zaposlenik zadužen za održavanje informacijske sigurnosti je zadužen i za provođenje takvih događanja u skolpu rada organizacije s ciljem povećanja znanja, vještina i kompetencija u cjelosti kod zaposlenika.

Samim time, povećala bi se i razina zadovoljstva zaposlenih jer bi se svakako uočio napredak u poslovanju i koristi za poduzeće.

Implementacija programa edukacije na tečajevima i seminarima odvija se najčešće SETA programom (Security Education, Training and Awareness). ^[4] Implementacijom SETA programa omogućuje se smanjenje postotka sigurnosnih proboja od strane zaposlenika, a svrha uvođenja SETA programa je podizanje svijesti zaposlenika, razvijanje vještina i znanja kod zaposlenika, izgradnja znanja u dubljoj domeni informacijske sigurnosti.^[5]

Slikom 6. Usporedni okvir SETA programa po određenim razinama koje uključuju edukacije, treninge i podizanje svijesti, moguće je objasniti koliko je takav pristup važan te kako se i u kojem obujmu potrebno znanje može prenijeti na zaposlenike, s obzirom na razine znanja, ciljeva, načine učenja, mjerenje znanja i potreban vremenski okvir.

Slika 6. Usporedni okvir SETA programa ^[5]

Implementacijom SETA programa zaposlenike se treba educirati s ciljem da znaju u svoje poslovanje i konkretne zadatke za koje su zaduženi uvesti i konstantnu svjesnost o informacijskoj sigurnosti, kako zaštititi podatke i vrijedne informacije potrebne na poslovanje i čemu služe sve zaštite podataka i informacija. Također, navedenim ciljevima potrebno je dodati i motivaciju kao pokretač razloga praćenja i stalnog usavršavanja znanja u domeni informacijske sigurnosti.

--Nadja.kosojevic 17:00, 16. siječnja 2016. (CET)

Neformalni pristup

Neformalni pristupi edukacije prate formalne pristupe te se mogu svakodnevno primijeniti na poslovanje i dnevni ciklus rada svakog zaposlenika. Neformalni pristup tako obuhvaća sve pomoćne tehnike edukacije o informacijskoj sigurnosti prije, tijekom ili čak nakon provedbe same edukacije zaposlenika. ^[4]

U pomoćne tehnike ubrajamo:

• brošure
• sigurnosni plakati
• podsjetnici na zaslonima računala
• video materijali
• oglasne ploče
• letci
• križaljke s tematikom informacijske sigurnosti
• razne igre
• diskusije
• slogani ispisani na podlozi miša
• slogani ili logo ispisani na šalici za kavu
• slogani ili logo ispisani na majici
• slogani ili logo ispisani na olovci

Pomoćne tehnike, odnosno, predmete koje svakodnevno zaposlenici susreću i koriste u poslovanju, tijekom radnog vremena stalno podsjećaju na potrebu za uključivanjem informacijske sigurnosti u poslovanje.

Plakati, osim najčešćeg cilja – prodaje proizvoda ili usluge, imaju za cilj podsjetiti zaposlenike na važnost sigurnosti u poslovanju te skrenuti pozornost na određeni sigurnosni zahtjev ili potrebu.

Brošure i bilteni su još jedan način kako lako proširiti i promovirati informacijsku sigurnost. Prihvatljiva su neformalna metoda jer je njihova izrada jeftina, a na jednom mjestu sadrže glavne informacije o npr. novim oblicima prijetnji ili drugim problemima koji se javljaju u istoj domeni. Također, na njima se mogu pronaći i rješenja ili barem naputci koji vode do informacija gdje se rješenja mogu pronaći.

Upotrebom takvih neformalnih načina širenja svijesti o važnosti informacijske sigurnosti, pojačava se percepcija zaposlenika koja je stečena drugim načinima prezentacije, nego što je standardnim predavanjima i edukacijama.

--Nadja.kosojevic 17:00, 16. siječnja 2016. (CET)

Primjeri neformalnog obrazovanja

Jedan od primjera za plakat, za brošure ili screensaver je sljedeća slika 7. Primjer 1.

Slika 7. Primjer 1 (Izvor: infosecawareness)

Još jedan primjer može biti križaljka koja se prazna podijeli zaposlenicima, korisna je i za razbibrigu u pauzi od posla.

Slika 8. Križaljka (vlastiti primjer i izrada)

josipa.tadic 19:57, 17. siječnja 2016. (CET)

Primjer - Sfera 8 IT d.o.o.

Sfera 8 IT d.o.o. je mikropoduzeće iz Varaždina koje se primarno bavi popravljanjem računala. S tri zaposlenika pod novim imenom djeluje otprilike zadnjih pola godine. Više o poduzeću može se naći na njihovoj web stranici Sfera 8 IT. Njihov informacijski sustav je mali, imaju računala na kojima rade, nekoliko externih diskova, licence za softvere s kojima rade te mobilne uređaje. Kako bi smanjili troškove, iznajmili su prostor na serveru drugog poduzeća, te koriste brojne besplatne alate i softvere. U razgovoru s direktorom predloženo im je da prvo sastave dokument s politikom sigurnosti i dodijele jednoj osobi ulogu koja bude vodila brigu o zaštiti i sigurnosti informacijskog sustava (direktor trenutno), a tijekom izrade predloženo je da se prvotno osvrnu na popis informacijske imovine. Daljnji koraci bili bi popisivanje izvora i oblika prijetnji te popisivanje kako se te prijetnje manifestiraju, a zatim da procijene koliko su svi troje kao zaposlenici svjesni rizika i toga kako mogu pridonijeti sigurnosti ili kako mogu ugroziti sustav. Mi smo im (i za potrebe ovog praktičnog dijela) dale primjer kako popisati informacijsku imovinu i otkriti izvore i oblike prijetnji te popisati manifestaciju toga, te smo ih usmjerile kako procijeniti koja je imovina prioritetna, koliko godišnje smije biti nedostupna te koji su im najbitniji faktori za provođenje poslovanja (električna energija, internet i tako dalje). Iako to nije striktno vezano uz temu, savjete smo im dale kako bi dobili širu sliku zašto je uopće važno brinuti o sigurnosti informacijskog sustava. Savjetovale smo im i da u politiku sigurnosti uvrste i plan aktivnosti u slučaju manifestacije nekog od rizika. Također, uz navedeno, dale smo im savjete gdje mogu potražiti edukacije te smo im savjetovale da mogu sigurnost poslovanja prilagoditi prema besplatnim NIST normama, pošto nemaju financijsku mogućnost za išta drugo. Ono što je važno za ovo malo poduzeće je otkriti kojoj osobi su potrebna koja konkretna i nužna znanja o sigurnosti te naći najbolji i najefikasniji način kako tu osobu educirati. Osim formalnog pristupa koji bi barem direktoru bio koristan (da može dalje prenositi znanje u poduzeće), predložile smo korištenje neformalnog pristupa, pošto je poduzeće malo i atmosfera u poduzeću je opuštena. Edukacije smo posebno naglasile jer se educiranjem zaposlenika može smanjiti rizik (Slika 9. Utjecaj edukacija na rizik), što je puno bolje nego ga zadržavati ili izbjegavati, a preusmjeravanje rizika smo im također predložile tamo gdje je to moguće.

Slika 9. Utjecaj edukacija na rizik (samostalna izrada)

josipa.tadic 19:38, 17. siječnja 2016. (CET)

Konkretno, u poduzeću koriste računala i exetrne diskove, za koje smo zajedno s direktorom definirale oblike prijetnji.

Za externe diskove kao oblik informacijske imovine mogući su sljedeći oblici prijetnji:

• Krađa/gubitak – nisu kriptirani – mogućnost krađe i zloupotrebe svega što je pohranjeno na njima (na nekima se nalaze važni poslovni dokumenti i backup izvornog koda na kojem trenutno rade) – rizik VISOK, prioritet zaštite VISOK
• Pregorjevanje/ formatiranje/ držanje blizu magnetnih držača za vijke – nestanak važnih poslovnih dokumenata i backupova izvornog koda (postoji sigurnosna kopija na drugim medijima) – rizik NISKE razine
• Zaraza malicioznim kodom – nestanak/modificiranje/zloupotreba važnih poslovnih dokumenata i backupova izvornog koda (postoji sigurnosna kopija na drugim medijima) – rizik VISOKE razine

Procjena svijesti zaposlenika o mogućnim rizicima je da je ona uglavnom niska (imali su već susreta s gubitkom nebitnih dokumenata ili dokumenata koje su imali pohranjene na drugom mediju), ali nisu svjesni važnosti kriptiranja diska i postavljanja lozinke za slučaj krađe. Djelomično su svjesni mogućnosti zaraze malicioznim kodom, ali ne i svih mogućnih scenarija koji se mogu tada dogoditi.

josipa.tadic 19:38, 17. siječnja 2016. (CET)

Za računala (laptop) kao oblik informacijske imovine mogući su sljedeći oblici prijetnji:

• Gubitak/krađa - nisu kriptirani diskovi – mogućnost krađe i zloupotrebe svega što je pohranjeno na njima (na nekima se nalaze važni poslovni dokumenti i backup izvornog koda na kojem trenutno rade), jednostavne login lozinke, postoji staro računalo ili privatno na kojem se može nastaviti raditi – rizik VISOK, prioritet zaštite VISOK
• Zaraza malicioznim kodom – nestanak/modificiranje/zloupotreba važnih poslovnih dokumenata i backupova izvornog koda (postoji sigurnosna kopija na drugim medijima), postoji staro računalo ili privatno na kojem se može nastaviti raditi – rizik VISOKE razine
• Pregorjevanje/kvar/ formatiranje – nestanak važnih poslovnih dokumenata i backupova izvornog koda (postoji sigurnosna kopija na drugim medijima), postoji staro računalo ili privatno na kojem se može nastaviti raditi – rizik NISKE razine

Procjena svijesti zaposlenika o mogućnim rizicima je da je ona uglavnom srednje razine (kako kod kojeg točnije jer su već imali susreta kvarom računala, gubitkom bitnih i nebitnih dokumenata, ali najbitnije dokumenate su imali pohranjene na drugom mediju), ali nisu svjesni važnosti kriptiranja diska i postavljanja lozinke za slučaj krađe. Djelomično su svjesni mogućnosti zaraze malicioznim kodom, ali ne i svih mogućnih scenarija koji se mogu tada dogoditi.

--Nadja.kosojevic 21:06, 17. siječnja 2016. (CET)

Edukacije i akcije koje smo im predložile (zajedno izradile) su:

• Izrada politike sigurnosti – obavezno i revidirati to jednom godišnje, a prilikom uvođenja nove informacijske tehnologije također revidirati
• Pratiti stranicu http://www.poslovni.hr/konferencije jer se tu mogu naći korisne informacije vezane uz seminare, konferencije, novosti i slično – posjetiti ukoliko bude
• Pratiti stranicu http://www.xiphos.hr/edukacija/cisotreningprijava/23-edukacija jer oni povremeno odražavju edukacije na temu sigurnosti
• Pratiti stranicu http://poslovna.edukacija.hr/tecaj/informacijska-sigurnost/3184/ jer oni održavaju edukacije na temu sigurnosti
• Brošure ili newsletteri na mail koje bude slao direktor zaposlenicima (jednom mjesečno barem pronaći neku temu vezanu uz nešto što je korisno za sigurnost poduzeća), plakat u uredu ili poneki letak, napraviti podloge za miš s nekom slikom koja podsjeća da se treba paziti na zaštitu i sigurnost IS-a
• Koristiti stranice poput http://infosecawareness.in/tips/#/0 kao ideje za plakate, brošure, screensavere...
• Direktor razgovarati s ostalim poduzećima, diskutirati, govoriti o iskustvima (mogu i zaposlenici)
• NIST norme
• Pratiti zakone i propise
• ...

Zaključak

Zaštita informacijskog sustava unutar poduzeća, kao i izvan njega, odnosno, privatna zaštita podataka predstavlja vrlo bitnu domenu za koju bi svatko trebao izdvojiti određeno vrijeme i uložiti trud u edukaciju o istome, gdje bi se postigao cilj sigurnosti podataka i informacija koje ne bi smjele biti javno dostupne iz svojevrsnih legitimnih razloga. Da bi se navedeni cilj ostvario, potrebno je određeno vrijeme i trud uložiti u edukaciju o informacijskoj sigurnosti. Postoje razni načini kako to ostvariti, a neke od njih smo spomenuli ranije u ovoj temi.

Kombinirajući i prilagođavajući načine učenja i usvajanja novih sadržaja zajedno sa prilagodbom određenoj skupini ljudi, moguće je postići zapanjujuće rezultate. S obzirom na stilove učenja te načela učenja koja se temelje na pedagoškim i andragoškim načelima, potrebno je analizirati skupinu kojoj se sigurnost informacijskih sustava prezentira te na taj način ostvari željeni učinak, odnosno, što bolju motivaciju te prijenos informacija na pravi način toj, već spomenutoj skupini ljudi koju čine zaposlenici poduzeća ili drugačije skupine ljudi koje u interesu imaju usvojiti nova znanja u domeni informacijske sigurnosti.

Informacijska sigurnost predstavlja posebno delikatan sustav kojemu bi sve organizacije trebale posvetiti određeni broj sati rada, što uključuje detaljne analize postojećeg sustava te implementaciju i edukaciju svih zaposlenika s ciljem boljitka i efektivnije, kao i efikasnije, provedbe rada u poduzeću. Kombinacijom formalnih (certificiranje, tečajevi, seminari) i neformalnih (plakati, brošure,…) pristupa prilikom edukacije, moguće je ostvariti pomak te zaposlenike motivirati da usvoje način razmišljanja koji u svakom mogućem trenutku ima uključenu svijest o sigurnosti sustava unutar poduzeća i mogućim sigurnosnim probojima od različitih strana te kako se zaštititi od navedenih propusta i/ili proboja sigurnosti.

Navedenim primjerom, pokušale smo objasniti da se educirati mogu, ne samo velike organizacije, već i manja poduzeća kojima je potrebna određena informacijska sigurnost. Kombiniranjem potrebnih znanja i vještina u domeni informacijske sigurnosti sa postojećim i dostupnim resursima kojima poduzeće raspolaže, brojem zaposlenika i svih ostalih utjecajnih faktora, moguće je ostvariti optimalnu razinu svjesti i načina obrane od neželjenih sigurnosnih događaja, zajedno sa eliminacijom ili smanjenjem negativnih posljedica za određeno poduzeće.

Stoga, ne treba čekati, već je potrebno odmah osigurati edukacije koje bi mogle donesti samo pozitivne razultate u poslovanje organizacija i poduzeća sa radom odjela informacijske sigurnosti, kao i svih ostalih odjela i poslova koji su potrebni za pravilno poslovanje.

--Nadja.kosojevic 22:55, 17. siječnja 2016. (CET)

Literatura

• [1] Dragičević, Dražen, Kompjuterski kriminalitet i informacijski sustavi, 2. izmijenjeno i dopunjeno izd., IBS, Zagreb, 2004., ISBN 953-99830-0-2, str. 211 - 240

• [2] Pavlin-Bernardić, Vlahović-Štetić, Cjeloživotno obrazovanje i učenje, dostupno na unizg

• [3] Agencija za strukovno obrazovanje i obrazovanje odraslih, dostupno na asoo

• [4] Krakar, Zdravko, „Korporativna informacijska sigurnost“, FOI, Varaždin, 2014., ISBN 978-953-6071-45-6, str. 352, 359, 361, 380, 389.

• [5] Hadjina, N., „Planiranje, projektiranje, izgradnja i održavanje sustava upravljanja informacijskom sigurnošću“, Zavod za primijenjeno računarstvo, str.7

josipa.tadic 17:00, 13. siječnja 2016. (CET)

--Nadja.kosojevic 22:57, 17. siječnja 2016. (CET)