Współpraca przedsiębiorstw z branży motoryzacyjnej wymaga wysokiego poziomu ochrony przetwarzanych i wymienianych danych. Na jego zapewnienie w dużym stopniu wpływa też czynnik ludzki.
Ochrona danych i zapewnienie bezpieczeństwa informacji nie zależą jedynie od spełnienia europejskich (rozporządzenie RODO/GDPR) i krajowych (nowa Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych) wymagań prawnych. Za bezpieczeństwo danych odpowiada także personel danego przedsiębiorstwa: przedstawiciele kierownictwa oraz pracownicy liniowi.
Uwarunkowania wpływające na wzmocnienie bezpieczeństwa informacji na poziomie czynnika ludzkiego można podzielić na trzy grupy: wiedzę pracowników, ich nastawienie oraz kulturę organizacji panującą w firmie.
Wiedza pracowników
Pracownicy mogą zdobyć odpowiednią wiedzę o ochronie danych dzięki udziałowi w szkoleniach. Ich celem powinno być nie tylko przekazanie informacji teoretycznych, ale również praktycznych umiejętności i zachowań, których stosowanie w codziennej pracy może wpłynąć na zwiększenie poziomu bezpieczeństwa informacji (np. wyjaśnienie, jak szyfrować dokumenty przed wysyłką mailową). Równie ważne jest, aby uczestnicy szkolenia poznali konsekwencje płynące z niewłaściwego postępowania w zakresie ochrony danych (np. związane ze zniszczeniem lub utratą ważnych dla organizacji danych).
Szkolenia powinny być skierowane do określonych grup pracowników, a przy tworzeniu ich programów trzeba brać pod uwagę mechanizmy bezpieczeństwa adekwatne do potencjalnych ryzyk. Przykładowo: członkom zespołów sprzedaży, którzy spotykają się z klientami poza siedzibą firmy, należy przedstawić zagrożenia płynące z łączenia się ich komputerów z otwartymi sieciami Internetu bezprzewodowego, dostępnymi w miejscach publicznych.
Co więcej, uzyskana przez pracowników wiedza dotycząca wymagań, zagrożeń i dobrych praktyk w obszarze cyberbezpieczeństwa może być dla nich przydatna również na niwie pozazawodowej (w kwestii ochrony ich prywatnych danych).
Nastawienie pracowników
Postępowanie pracowników zgodnie z obowiązującymi w firmie politykami cyberbezpieczeństwa również przekłada się na wzmocnienie poziomu bezpieczeństwa informacji. Duże znaczenie ma budowanie wśród personelu świadomości, że nawet najbardziej drobna aktywność (np. stosowanie złożonych haseł do logowania do komputerów, zamykanie na klucz szaf z dokumentami) jest istotna, aby dane firmy były bezpieczne. Mogą do tego służyć wewnętrzne newslettery lub system e-learningowe, jak też włączanie pracowników do prac nad doskonaleniem ochrony danych (uwzględnianie ich inicjatyw i propozycji).
Dzięki temu pracownicy będą nie tylko rozpoznawać potencjalnie niebezpieczne sytuacje (np. pozostawione na drukarkach dokumenty) i reagować, gdy one wystąpią (w opisanym przypadku: zabierać dokumenty z urządzenia i przekazywać je odpowiedniej osobie), ale też unikać niewłaściwych zachowań do nich prowadzących.
Kultura organizacyjna
Czynnikiem wzmacniającym bezpieczeństwo danych w przedsiębiorstwie jest też obowiązująca w nim kultura organizacyjna. Kierownictwo wyższego i średniego szczebla powinno zwiększać wśród pracowników zainteresowanie bezpieczeństwem informacji oraz potrzebę aktywnego uczestnictwa we właściwej ochronie danych. Można to osiągnąć np. poprzez nagradzanie pracowników, którzy z własnej inicjatywy podjęli działania służące zwiększeniu poziomu bezpieczeństwa informacji w firmie.
Nie bez znaczenia jest też wprowadzenie mechanizmów zgłaszania incydentów związanych z ochroną danych (zrozumiałych dla pracowników i wygodnych w użyciu). Gdy jednak dojdzie do incydentu związanego z ochroną danych, wówczas ważne jest nie tylko, aby skutecznie zażegnać niepożądaną sytuację, ale też wykorzystać dostępne narzędzia i procedury, aby uniknąć jej powtórzenia w przyszłości.
Warto badać, czy i w jakim stopniu pracownicy wykorzystują zdobytą wiedzę i umiejętności w sferze bezpieczeństwa informacji. Mogą do tego służyć np. ankiety i audyty kontrolne (realizowane przez niezależne i obiektywne podmioty zewnętrzne) lub symulowane ataki (np. fałszywe telefony służące wyłudzeniu danych). Analiza wyników pozwoli m.in. ustalić, czy są obszary, w których trzeba wprowadzić działania doskonalące w rodzaju dodatkowych szkoleń lub akcji informacyjnych wśród pracowników.
Piotr Ubych,
Menedżer ds. Usług Ochrony Danych,
Grupa DEKRA w Polsce