Nie od dziś wiadomo, że dane osobowe, informacje o kontrahentach, o ofertach i umowach, pomysły i strategia  – obszary najbardziej kluczowe dla działania organizacji w dobie postępu technologicznego i liczby mobilnych urządzeń – wymagają zastosowania szczególnych środków bezpieczeństwa.

Grupa DEKRA od wielu lat pracuje nad rozwiązaniami, które w skuteczny sposób pozwalają przedsiębiorcom zabezpieczyć dane finansowe, osobowe czy know-how przed niekontrolowanymi wyciekami. Pomaga klientom w trakcie audytów i szkoleń m.in. w dziedzinie bezpieczeństwa behawioralnego i organizacyjnego, zarządzania bezpieczeństwem informacji oraz wdrażania strategii zarządzania ryzykiem.

DEKRA od pewnego czasu oferuje certyfikację w zakresie normy ISO 27001 i 27002, która określa wymagania dla systemu zarządzania bezpieczeństwem informacji. Norma ISO 27002 powstała jako merytoryczne rozwinięcie ISO 27001 i stanowi wytyczne implementacyjne oparte o rekomendowane „dobre praktyki”. Innymi słowy, jest to zbiór minimalnych zabezpieczeń dla informacji w organizacji, który pozwala na ewaluację stanu zabezpieczeń. W zakresie działalności DEKRA nie mogło oczywiście zabraknąć audytu ochrony danych osobowych (czyli analizy zgodności z rozporządzeniem RODO/GDPR). DEKRA zarówno w obszarze bezpieczeństwa informacji (ISO 27001, 27002),  ISO 22301 (zarządzanie ciągłością działania) i RODO prowadzi szkolenia.

Spotkanie miało formę śniadania biznesowego, którego głównym elementem był wykład prowadzony przez specjalistów DEKRA, tj. Piotra Ubycha i Tomasza Romanika, poświęcony dwóm głównym filarom, na których opiera się cyberbezpieczeństwo w organizacjach – technologii i człowiekowi. O ile nierzadko spotykałem się z omawianiem pierwszego filaru w sposób bardzo szczegółowy, z informacją o najnowszych funkcjonalnościach systemów z zakresu security IT, to z drugim elementem, wydaje mi się, że jest spory problem. Organizacje potrafią wdrożyć zaawansowane narzędzia zapewniające bezpieczeństwo, ale do problemu uświadomienia kadry niewiele firm i instytucji podchodzi w sposób rzetelny. Prowadzącym zadałem pytanie „Co możemy zrobić, żeby zminimalizować ryzyko braku ochrony danych, a co za tym idzie straty finansowej, trudno policzalnej utraty konkurencyjności i zaufania kontrahentów?” i uzyskałem następujące odpowiedzi:

Pierwszym filarem bezpieczeństwa są rozwiązania techniczne. Właściwe zabezpieczenia stosowane np. w przypadku procesów realizowanych poza chronionymi strefami  (praca zdalna, smartphony), bezpieczne postępowanie z nośnikami danych, bezpieczna wymiana danych pomiędzy systemami, z wykorzystaniem silnych algorytmów szyfrujących oraz zaufanych certyfikatów – to przykładowe obszary dla których każda organizacja powinna przeprowadzić analizę ryzyka i  uwzględnić dostępne technologie zabezpieczające. Istnieją dobre praktyki lub też specyficzne wymagania OEM, które narzucają konkretne rozwiązania technologiczne, takie jak stosowanie ochrony antywirusowej serwerów i stacji, stosowanie bezpiecznych algorytmów szyfrowania (np. AES-256), etc. – odpowiedział Piotr Ubych, Menedżer Produktu ds. Ochrony Danych, DEKRA Certification Sp. z o.o.

Nawet najbardziej zaawansowane rozwiązania techniczne nie ochronią nas przed ryzykiem utraty cennych informacji i danych jeśli pominiemy drugi istotny filar bezpieczeństwa jakim jest czynnik ludzki. Bardzo często brak wiedzy czy świadomości, nawyki naszych pracowników mogą doprowadzić do sytuacji zagrożenia. Na pewno większość z nas otrzymała kiedyś email z nieznanym załącznikiem, podejrzanym linkiem, który, jeśli kliknięty wprowadza osobiste lub poufne informacje do pozornie przyjaznego (i znajomego) konta. Na pewno słyszeliśmy też historie o zgubionych firmowych laptopach i smartfonach, przez pomyłkę zostawionych w taksówce, na lotnisku. Jak się zabezpieczyć przed ludzkim zmęczeniem, przeoczeniem, nieświadomością? Po pierwsze zdiagnozować bariery organizacji w zakresie pożądanych postaw i zachowań pracowników. Po drugie edukować, w sposób cykliczny, wielowymiarowy (wykłady, case studies, warsztaty). – stwierdził Tomasz Romanik, Menedżer Regionalny, Trener/Audytor, DEKRA Certification Sp. z o.o.

Należy pamiętać, że najsłabszym ogniwem w „układance” zwanej bezpieczeństwem jest człowiek i bez świadomości zagrożeń i wiedzy, co powinno się robić, a czego nie, nawet najlepsze zabezpieczenia są nieskuteczne. Dlatego cieszy mnie podejście DEKRA do zagadnienia bezpieczeństwa informatycznego, że równie uważnie, a nawet z jeszcze większą starannością, traktuje czynniki behawioralne zapewniające ciągłość działania organizacjom.