HR odpowiedzialny za cyberbezpieczeństwo? Sprawdź, dlaczego warto o to zadbać!

SHARE

Minęły już czasy, gdy za cyberbezpieczeństwo był odpowiedzialny przede wszystkim dział IT. Ze względu na to, jak wszechobecna stała się technologia cyfrowa w naszych organizacjach, nie da się już łączyć tych dwóch dziedzin tak istotnych dla rozwoju biznesu. 

 


 

Jak w takim razie powinniśmy potraktować cyberbezpieczeństwo? 

 

Odpowiedź na to pytanie znajduje się w danych. Wedle statystyk z Wielkiej Brytanii, ponad 96% wszystkich cyberprzestępstw można by zapobiec poprzez podstawowe przestrzeganie prostych procedur i polityk. Innymi słowy, o bezpieczeństwie zasobów cyfrowych firmy decyduje... jej kadra. 

 

Tego samego zdania jest Christos Dimitriadis, prezes zarządu globalnej organizacji ISACA zajmującej się cyberbezpieczeństwem IT, który uważa, że częścią doskonałej strategii bezpieczeństwa cyfrowego jest odpowiedni  dobór ludzi. Ma to na celu  zmaksymalizowanie  odporności firmy na zagrożenia cyfrowe. Jak twierdzi Dimitriadis, kluczową rolę w owym procederze odgrywa dział kadr

 

Oznacza to, że zwalczanie zagrożeń cybernetycznych nie polega już na wyborze odpowiedniego pakietu oprogramowania. Chodzi o efektywne  szkolenie pracowników na masową skalę, aby dbali o bezpieczeństwo swoich urządzeń biznesowych. Nietrudno więc zauważyć istotność działu  HR, który nie tylko ma zadbać o owe szkolenia, ale także  musi  zatrudnić  osoby posiadające właściwe kwalifikacje, w zarządzaniu bezpieczestwem  IT. 

 

Jak możemy zauważyć, środek ciężkości względem  cyberbezpieczeństwa  powinien przenieść się z działu IT na HR. Tym samym kadry muszą znaleźć się w centrum wysiłków firmy w tym zakresie oraz wspierać zachowanie ciągłości działania. Jeżeli nie przekonał Cię powyższy wstęp, postaramy się dokładnie wytłumaczyć, jakie korzyści się z tym wiążą.  

 

26

 

Ochrona pracowników szczególnie narażonych na ryzyko 

 

Uzyskanie dostępu do odpowiednich systemów często nie jest możliwe w próżni. Najczęściej grupy cyberprzestępcze potrzebują pomocy z wewnątrz, by zdobyć informacje potrzebne do przeprowadzenia skutecznego ataku.

 

Chociaż do włamania może dojść w ciągu kilku minut, większość hakerów planuje je miesiącami, aby upewnić się, że ich plany się powiodą. 

 

Powszechną taktyką cyberprzestępców jest przeszukiwanie mediów społecznościowych w poszukiwaniu pojedynczych pracowników, którzy mogą okazać się nielojalni. Celowo wyszukują tych, którzy wyrażają rozczarowanie swoim pracodawcą, lub tych, którzy nie lubią władzy, i starają się przerwać ich psychologiczną więź z firmą, nakłaniając ich do robienia rzeczy, których normalnie by nie zrobili. 

 

Zadaniem działu kadr jest więc znalezienie sposobu na identyfikację osób w organizacji, które mogą być podatne na wpływy z zewnątrz i które mogą potencjalnie zagrozić cyfrowemu bezpieczeństwu firmy. Nie jest to łatwe zadanie, ale, dzięki ilości danych cyfrowych generowanych przez każdą osobę w organizacji, możliwe. 

 

HR może zacząć od dokładniejszego monitorowania pracowników przechodzących przez tak zwane "zdarzenia wyzwalające" - takie jak: degradacja, zwolnienie lub dyscyplinowanie - które mogą stanowić wystarczającą zachętę do podjęcia działań przeciwko pracodawcy. Działy HR muszą być świadome, że większość pracowników zrobi coś złośliwego w ciągu 30 dni od zdarzenia, co stanowi okres, w którym dział może być w stanie podwyższonej gotowości. Szczególnie w kwestii odejść z firmy, działy HR muszą wdrożyć odpowiednie środki, aby zapobiec cyfrowemu sabotażowi pracowników, zanim dowiedzą się, że będą odchodzić z firmy. 

 

25

 

Zapobieganie naruszeniom bezpieczeństwa 

 

Jeśli dojdzie do naruszenia bezpieczeństwa, rozwiązanie problemu nie jest już wyłącznie obowiązkiem działu IT. Jest to również kwestia kadrowa, zwłaszcza jeśli w sprawę zaangażowani są pracownicy. Pierwszą lekcją dla specjalistów HR jest to, że muszą być odpowiedzialni za działania swoich pracowników. W wielu organizacjach działy personalne będą próbowały zrzucić winę na innych, twierdząc, że to sami pracownicy są odpowiedzialni za naruszenie danych. Jednak zwykłe przerzucanie winy na innych przynosi efekt odwrotny do zamierzonego i pozostawia organizacje podatne na cyberprzestępczość. 

  

Drugi wniosek jest taki, że dział kadr musi wdrożyć odpowiednie procedury pozwalające mu reagować na incydenty w sposób miękki.  Oznacza to, że jeśli np. w social mediach pojawią się negatywne wpisy pracownika na firmę lub szefa, kadry powinny zareagować zgodnie z ustalonym procesem reakcji (np. zgłosić przełożonemu, żeby zaczął obserwować to zachowanie lub zasugerować działowi IT wykonanie  specjalnego monitoringu). 

 

HR natomiast powinno obsłużyć incydent typowo "miękko" czyli zacząć rozmawiać z niezadowolonym pracownikiem, stopniowo gasząc ognisko złych emocji. Warto tu nawet powołać specjalny zespół, w skład którego powinny wchodzić osoby, przeprowadzające dogłębną ocenę każdego naruszenia i przedstawić raporty odpowiednim menedżerom. Cel zespołu powinien być trojaki:  

  1. zidentyfikować, co poszło nie tak,  
  1. porozumieć się z odpowiednimi władzami ,
  1. upewnić się, że każde naruszenie zostało jak najszybciej uszczelnione.  

Działy HR powinny opracować cele świadczenia usług zgodne z planem ciągłości działania i sporządzić raport z incydentu. 

 

27

 

Zadbanie o etyczne praktyki  

 

Firmy często stają przed prawnym wymogiem ochrony danych klientów. W rezultacie, wiele z nich wprowadziło rygorystyczny monitoring pracowników i surowe kodeksy dyscyplinarne.  Takie podejście generuje zarówno koszty, jak i korzyści. Korzyścią jest zmniejszenie ryzyka naruszenia bezpieczeństwa. Ale kosztem jest utrata kapitału społecznego - pracownicy po prostu nie lubią być cały czas obserwowani przez swoich przełożonych. 

 

W tym wypadku pojawia się zatem miejsce na interwencje kadr.  Specjaliści HR są zobowiązani do upewnienia się, że każdy monitoring pracowników jest etyczny. Pracownicy nie powinni na przykład, być przedmiotem nadzoru, gdy są poza biurem lub korzystają z komputerów domowych i prywatnych urządzeń osobistych. Co więcej, specjaliści IT mogą nie rozumieć niektórych bardziej delikatnych kwestii związanych z nadzorem pracowników: jest to obszar, w którym dział kadr będzie w stanie doradzić. 

 

Branie odpowiedzialności 

 

Jak już wspomniano, wzięcie odpowiedzialności za bezpieczeństwo IT nierzadko stanowi spory problem. W wielu firmach HR uchyla się od swojej roli w zapobieganiu naruszeniom danych, twierdząc błędnie, że odpowiedzialność za nie ponosi wyłącznie dział IT. Jednak brak odpowiedzialności może stać się poważnym problemem w organizacjach, w których działy personalne nie biorą na siebie winy. Dlatego menedżerowie i kadra kierownicza firmy muszą jasno powiedzieć kadrom, że są one odpowiedzialne za wszelki element ludzki w naruszeniach bezpieczeństwa, motywując je do podjęcia działań naprawczych. 

 

28

 

Identyfikacja zagrożeń 

 

HR musi być czymś więcej niż tylko administracyjnym ramieniem firmy: musi być stale czujny na nowe zagrożenia, z którymi firma może się zetknąć i opracowywać strategie przekazywania tych informacji pracownikom. 

 

Zdecydowana większość firm wdraża zaawansowane oprogramowanie, aby zapobiec naruszeniom - oprogramowanie, które sprawia, że uzyskanie dostępu do krytycznych systemów bez elementu błędu ludzkiego jest niezwykle trudne. Ale podczas gdy jedna możliwość zostaje zamknięta, otwiera się inna. Grupy cyberprzestępcze werbują obecnie pracowników, lub stosując strategie, takie jak phishing, które mają na celu skłonienie ich do przekazania krytycznych informacji w celu uzyskania dostępu do systemów firmy. 

 

Działy HR muszą wiedzieć, z jakimi rodzajami zagrożeń firma może się spotkać, a następnie edukować swoich pracowników w tym zakresie. Niektóre firmy, na przykład, będą narażone na ryzyko phishingu e-mailowego, w którym hakerzy będą próbowali wykraść informacje, podając się za kogoś, komu pracownik ufa. E-maile mogą również zawierać złośliwe oprogramowanie w plikach do pobrania, więc HR może być zmuszony do edukowania pracowników o zagrożeniach związanych z załącznikami do e-maili. 

  

Istnieją również prawdziwe błędy pracowników, które hakerzy mogą wykorzystać. Proste błędy, takie jak wysyłanie poufnych informacji na niewłaściwy adres, pozostawianie odblokowanych urządzeń w miejscach publicznych, zgubienie smartfona lub łączenie się za pośrednictwem niezabezpieczonych sieci, mogą narazić organizacje na niebezpieczeństwo. Ponownie, zadaniem działu kadr jest zidentyfikowanie konkretnych zagrożeń, na jakie narażona jest firma, a następnie edukowanie pracowników w zakresie ograniczania tych zagrożeń. Dział kadr musi nawiązać sojusz z pracownikami i skłonić ich do wytężonej pracy na rzecz wspólnego celu, jakim jest zwiększenie bezpieczeństwa. 

 

Zadbaj o cyberbezpieczeństwo w swojej organizacji i wypełnij nasz darmowy audyt. Zajmie Ci to 10 min, a dowiesz się, jakie obszary w Twojej firmie potrzebują usprawnień. 

 

blog

 

Ocena wdrożonych rozwiązań

Zachęcamy do przetestowania nas i naszej wiedzy bez żadnych zobowiązań i ryzyka. Bezpłatnie zweryfikujemy aktualnie wdrożone narzędzia i procedury w Twojej firmie.