isms-na-co-nezapomenout

Lidé a ISMS

Na co nezapomenout před nástupem nového zaměstnance?

ISMS: Na co nezapomenout před nástupem nového zaměstnance?

ISMS (Information Security Management System) doporučuje zavést různé procesy, které by měly společnosti pomoci se správným pojetím informační bezpečnosti. Nedefinuje přesné povinnosti, jimiž se doslovně řídit – jak tomu bývá u zákonů – ale spíše rámec, který je potřeba naplnit. Jakým způsobem, jakým procesem a s použitím jakého nástroje toho docílit, je jen a jen na vás a vaší společnosti.

Pro společnost, která potřebuje certifikaci pouze formálně, tedy pověstný „papír pro papír“, se může zdát efektivní použití šablony
a rychlé zavedení řešení. Ostatním ale rychlost a zdánlivá jednoduchost takového kroku nepřinese očekávaný výsledek. Mnozí možná vůči špatně pojatému ISMS zatrpknou a tři písmenka I-S-O v nich budou vyvolávat spíše nechuť než pocit bezpečnosti.

Najít správnou cestu může být složité. Jako příklad z běžného života to dobře ilustruje nákup oblečení. V běžném životě občas také narazíte na obchod, kde vám hned první kalhoty zkrátka „sednou“, vybrali jste si správnou velikost, barva i střih vám sluší. Mnohem častěji byste však potřebovali nohavice prodloužit či zkrátit, povolit nebo zabrat pas… A co teprve, kdyby měly v obchodě kalhoty jen modré, ale vám by se ke zbytku obsahu vašeho šatníku více hodily černé! Nejlepším řešením by nakonec bylo zajít do krejčovství, kde by vás odborník změřil a ušil vám kalhoty na míru…

Stejně tak je to i se zavedením Information Security Managementu a ISMS šablonami. Proto jsme pro vás připravili sérii článků na téma ISMS a jak nejlépe celou oblast uchopit z pohledu nastavení, řízení a bezpečnosti. A především nabídneme rady, jak do celého procesu zahrnout ten nejdůležitější článek úspěšného ISMS: lidi, tedy vaše současné a také budoucí zaměstnance.

Liška v kurníku

Představte si videohru s výmluvným názvem „Liška v kurníku“. Cílem této hry je získat informace, know-how, znalosti a tak dále. Čím více, tím lépe.

Vy jste v pozici hráče. Vaší rolí je hrát nového zaměstnance. Prostředím hry je vaše společnost.

Jakou strategii hry zvolíte? Co, kde a jak můžete ve vaší společnosti snadno zjistit? Máte hned od začátku přístup k CRM nebo podobnému podnikovému systému obsahujícímu citlivá data vašich kolegů nebo zákazníků? Přizvali vás jako nováčka na důležitý projekt, abyste nezahálel a „nasál atmosféru“ nového pracovního prostředí? Máte k dispozici projektovou dokumentaci? Nemáte dvouměsíční výpovědní lhůtu a během následujících tří měsíců můžete svou působnost kdykoliv ukončit?

A nyní pomyslně zmáčkněte tlačítko PAUSE, přestaňte „hrát“ a zamyslete se. Jak dlouho by vám opravdu trvalo překonat všechny úrovně takovéto hry ve vaší firmě, abyste na jejím konci získali dostatek informací?

A pamatujte, o co horší a delší bude váš „hráčský“ zážitek, o to lépe máte ve firmě nastavené ISMS.

Ochraňte aktiva své společnosti:

Na co si je potřeba dát pozor?

 

Aktiva: Informace o vašem podnikání, klientech či zaměstnancích

Hrozba: Zneužití informací novým zaměstnancem

Zranitelnost:

Volně přístupné systémy pro zaměstnance bez jasně dodržovaných rolí.

Chybějící role mentora pro nové zaměstnance.

Nedůsledné či chybějící prověřování před nástupem nových zaměstnanců.

 

Jak důležitá jsou pro vás tato aktiva?

Co se stane, pokud je někdo zneužije, předá konkurenci nebo část smaže?

Pravidlo „Dvakrát měř, jednou řež“

Když zavádíte nebo již máte ISO 27001 (ISMS) zavedené, logicky si odvodíte, že vaším cenným aktivem jsou zaměstnanci, tedy ti, kteří by v ideálním případě měli být hlavním hnacím motorem ISMS. Většinou není problém implementovat základní prvky ISMS do úvodního školení nových zaměstnanců, ale to je již krok číslo dvě v rovnici společnost–ISMS–zaměstnanci. Jaký je ten první? Prověření. Prověření potenciálního kandidáta před tím, než mu dáte přístupy do vašich informačních systémů, k vašim informacím, vašemu know-how. Prvotní prověření by mělo přijít v okamžiku zkoumání životopisu. V dnešní době sociálních sítí jde snadněji zkontrolovat (při dodržení účinné legislativy), zda dotyčný kandidát informace o své osobě nepřikrášluje. Druhou stranou mince jsou pak informace, které opomine (možná i záměrně) uvést. Netvrdím, že by vaše HR oddělení mělo trávit hodiny prověřováním jediného člověka, nicméně u zásadních rolí, které byste si měli ve společnosti definovat, je „dvakrát měř, jednou řež“ pravidlem, jež se rozhodně vyplatí dodržovat.

Definice zásadních rolí

Jaká pozice je pro firmu zásadní? Ředitel? Vyšší management? Manažerské role jsou samozřejmě důležité, ale z pohledu informační bezpečnosti tomu tak být nemusí. Zamyslete se, kdo ve skutečnosti ve vaší společnosti ví všechno? Kdo vlastní podnikové know-how? Kdo má přehled o tom, kde jsou uložená důležitá data? Kdo má přístup k informacím o vašich zákaznících? Je to IT, obchod, marketing, finance? Snažte se definovat, kdo je pro vás z hlediska bezpečnosti informací důležitý, a ideálně přidejte k dané roli dalšího člověka, aby osoba, která tuto práci vykonává, byla zastupitelná.

„Běžně se nepřiřazují vysoká oprávnění, ale delegují se separátní role na konkrétní činnost. Dnes již běžným krokem jsou silná oprávnění na vyžádání. Jednak pak vidíte, kdy (a na co) je nováček potřeboval, za druhé tušíte, jak přemýšlí (zdali vůbec toto oprávnění potřeboval), a v neposlední řadě tak máte logy jeho činnosti. Také vidíte, jak dotyčný postupuje, zda si poradí sám – byť tím překročí směrnice –, nebo zda se přijde zeptat.“

Ondřej Žáček, Security Consultant SoftwareONE Czech Republic

Černý scénář

Nyní si představte následující scénář. Na zmíněnou zástupnou pozici jste našli vhodného kandidáta. Prověřili jste si, co měla tato osoba napsáno v životopise, zavolali jste na číslo v něm uvedené a uchazeče jste přijali. Nový zaměstnanec po nástupu získá (samozřejmě ihned po školení na ISMS) veškeré přístupy jaké má i role, které má pomáhat. Během krátké doby se rozkouká, ví, kudy na toaletu, kde je bufet, ale také to, kde je seznam vašich zákazníků. Rovněž má přístup do interních platforem pro spolupráci, jako je například Microsoft Teams, kde uchováváte informace o projektech… A jednoho dne v rámci zkušební doby nečekaně skončí a rychle se „vypaří“. Se všemi údaji, které jste mu hned na začátku jeho pracovního poměru dali či mu k nim umožnili přístup. Jistě, učinili jste tak ve svém zájmu, aby se nový zaměstnanec naučil, co je potřeba, a po uplynutí zkušební doby mohl být efektivním členem týmu. Ale nesmíme zapomínat, jak velký vliv na náš život – pracovní i osobní – mají nové technologie a jak velké množství dat jejich používáním každodenně sdílíme či jejich prostřednictvím uchováváme. To, co jsme kdysi vídávali pouze v televizi, je nyní realitou: voláme z hodinek, tablet se nám vejde do kapsy u kalhot… Je zkrátka důležité nezapomínat na to, že nástupem nového zaměstnance vlastně do svého fungujícího, živého a jinak zvenku velmi chráněného pracovního organismu můžete teoreticky přizvat lišku (abych se vrátila k původní metafoře), která toho využije a nerušeně vykrade váš kurník.

Eliminace možných rizik

Jistě, je potřeba nebýt paranoidní, zároveň je ale klíčové znát možná rizika. Umět vybalancovat tyto váhy, kdy na jedné straně stojí bezpečnost informací a na druhé straně potřeba zaučení nového zaměstnance, není rozhodně jednoduché. A ano, pokud vás bude chtít někdo záměrně obelstít, tak či onak s velkou pravděpodobností uspěje. Nicméně je vhodné to takovýmto lidem neusnadňovat, zamyslet se, jestli u některých rolí není vhodnější důsledný pre-screening, a zjistit, kam všude nový zaměstnanec potřebuje opravdu plný přístup. Zda jej lze případně omezit či zda do některých systémů pro začátek nepostačí nahlížení za přítomnosti jiného již prověřeného zaměstnance.

Závěr

Bezpečnost informací je vždy citlivou oblastí a neexistuje univerzální postup, jak ji zajistit. Můžete zvolit cestu silných restrikcí s tím, že se během zkušební doby nový zaměstnanec skoro nikam nedostane (a tedy nemůže vaši společnost zneužít) i za cenu jeho (možného) nezapracování se do společnosti. Anebo vůbec s rizikem, které přichází od nového zaměstnance, nepočítat a doufat, že když pustíte slepici do kurníku, není ve skutečnosti převlečenou liškou.

Jak nalézt rovnováhu? Zamyslete se a identifikujte role, které jsou pro vás důležité ze stránky informační bezpečnosti. Vše si sepište
a udělejte si malou analýzu rizik ve vztahu k nastupujícímu zaměstnanci. Při prověřování životopisu nespoléhejte jen na daný telefonní kontakt (například můžete zavolat do uvedené společnosti a veřejně dostupnou kontaktní linkou požádat o spojení s XY, což není porušením zákonných předpisů zahrnujících osobní údaje). Vytvořte si ve spolupráci s HR checklist toho, na co se zaměřit a co je potřeba zkontrolovat.

Vypracujte zaučovací plán, kam a kdy dostane nováček přístup, a opravdu omezte přístupy na nezbytný rozsah tak, aby dotyčný sice pochopil firemní procesy důležité pro vykonávání své role, ale k citlivým údajům zatím neměl přístup. Důležité je také heuristické posouzení činností, které dotyčný ve své roli má běžně vykonávat (čas, činnost, drive získané role…).

 

Možné nástroje a metody pro využití výše uvedených postupů:

  • Privileged Identity Management
  • Privileged Access Management
  • Red Forest Tiering
  • CyberARK, BeyondTrust

 

A pokud se liška ve vašem kurníku přeci jen objeví, napáchá škodu a pak zmizí, určitě se jako bývalý zaměstnavatel nebojte říct pravdu, pokud vás ona „škodná“ uvedla jako kontakt pro svého nového potenciálního zaměstnavatele. Buďte upřímní a kolegiální vůči ostatním společnostem, pokud kandidát – váš bývalý zaměstnanec – úmyslně vyvolal incident, pracoval s informacemi nevhodným způsobem či je přímo zneužil. Když to neuděláte, jen tím problém přesunete na jinou společnost a umožníte lišce řádit v novém kurníku!

Information Security Management System

Jednoduché řešení pro získání nebo soulad s ISO 27001

Chci vědět více
  • Security

Vložit komentář k článku

Přidejte komentář, abychom věděli, co si o tomto tématu myslíte.

Přidat komentář

Autor

Katerina Hutova

Kateřina Hůtová

ISMS Manager, SoftwareONE Czech Republic

Související články

Jak probudit v zaměstnancích zájem o ISMS?
  • 03 června 2021
  • Kateřina Hůtová
  • Security

Jak probudit v zaměstnancích zájem o ISMS?

Zaměstnanci jsou nejdůležitějším aktivem společnosti.
Z pohledu bezpečnosti pro vás ale zároveň mohou představovat velké riziko.

ZÁZNAM WEBINÁŘE: Information Security & NIS 2
  • 25 května 2021
  • Security

ZÁZNAM WEBINÁŘE: Information Security & NIS 2

Poslechněte si záznam našeho webináře SoftwareONE Academy věnovaného oblasti informační bezpečnosti!

ZÁZNAM WEBINÁŘE: M365: Bezpečnostní služby na míru vašim potřebám | SoftwareONE Blog
  • 20 května 2021
  • Security

ZÁZNAM WEBINÁŘE: M365: Bezpečnostní služby na míru vašim potřebám

Poslechněte si záznam našeho webináře SoftwareONE Academy věnovaného technologiím Microsoft 365 a jejich zabezpečení!