Information Security Management System
Jednoduché řešení pro získání nebo soulad s ISO 27001
Information Security Management System
Jednoduché řešení pro získání nebo soulad s ISO 27001
Zaměstnanci jsou, jak ostatně píši ve svém předchozím článku Na co nezapomenout před nástupem nového zaměstnance, nejdůležitějším aktivem společnosti. Ale co je kladem, může být i záporem a z pohledu bezpečnosti velkým rizikem. Mým záměrem není vás vystrašit ani předpovídat problémy, které možná ve vaší společnosti nikdy nenastaly (a doufejme ani nenastanou). Naopak bych vás chtěla tímto blogem motivovat k minimalizaci možného rizika tím, že kromě zavedení ISMS také náležitě připravíte vaše zaměstnance na změnu.
Zaměstnanci jsou motorem změny
Společnosti, které teprve zavádějí ISMS, se pravděpodobně setkávají s velkou vlnou nevole, kterou ostatně přináší jakákoliv změna. Nejčastějším důvodem negativních emocí je strach, a to strach pramenící z neinformovanosti. Neinformovanosti o tom, co to přinese, proč se to dělá, kdo to bude dělat, co to bude stát a jaký se očekává výsledek.
Buďte transparentní a sdílní
Jak z toho ven? Komunikujte! Vysvětlete vašim zaměstnancům, proč chcete ISMS zavádět. Pokud míváte (a většina z nás mívá) pravidelné porady celé společnosti nebo jednotlivých týmů a oddělení (a tím nemyslím ze zjevných důvodů poradu vedení), sdělte zaměstnancům co nejdříve, že chcete zavést ISMS. Nebojte se vysvětlit, proč mají být například informace předávané mezi vámi a vašimi zákazníky chráněné či proč chcete zlepšit stávající procesy ve společnosti, a jakou v této změně vidíte přidanou hodnotu. Zaměstnanci snáze pochopí vaše následné kroky.
Naslouchejte
Nezapomeňte si vyslechnout také jejich názor, zda se jim takováto změna zdá smysluplná, nebo nikoliv. Důvod je prostý – vaši zaměstnanci jsou ti, kteří ISMS budou pohánět. Bez jejich zájmu najít v něm smysl a začlenit do své každodenní pracovní náplně změny, které jeho nastavení přináší, nemá chystaná změna smysl. Hrozí vám, že skončíte s naštvanými zaměstnanci, na které „to bylo hozeno“, nic o změně nevědí, nerozumí ji a nechtějí, protože bez potřebné znalosti kontextu a přínosu v ní snadno vidí jen „práci navíc, za kterou jim nikdo ani nepoděkuje“.
Komunikace je klíčem i pro společnosti, které již ISMS zavedené mají. Pokud se nacházíte v této fázi, nezapomeňte zůstat transparentní i u zavádění procesů a nastavování směrnic. Lidé je budou mnohem lépe dodržovat a dělat, co je potřeba, pokud budou vědět proč. A tím „proč“ nemyslím tak často slýchané univerzální vysvětlení „protože to vedení řeklo“.
Zapojte zaměstnance
Pokud opominu on-boarding nováčků a výměnu informací v rámci porad, vaši zaměstnanci přijdou poprvé do styku s ISMS nikoliv až po zavedení a následném školení, ale již v jeho průběhu. Pokud si zavádíte ISMS sami nebo ve spolupráci s konzultační společností, vždy je potřeba vytvořit interní tým lidí, který se tomu bude věnovat. Nepředpokládejte automaticky nezájem ze strany vašeho týmu. Předtím, než určíte osobu, která bude za procesy zodpovídat, zkuste zjistit, zda toto téma někoho zajímá. Tito zaměstnanci si pak mohou nastavit pravidla tak, aby jim to „sedlo“.
Co tím myslím? Když si pravidla vymyslí zaměstnanci sami a případně je někdo „zvenku“ jen reguluje, aby byla v mezích ISMS, jste na nejlepší cestě k úspěchu firemního ISMS a jeho dodržování. Pokud byste mi chtěli oponovat, že by zaměstnanci, kterým by byl úkon svěřen, zvolili automaticky co nejlehčí pravidla a změny by měly nulový přínos, zamyslete se raději ještě jednou.
Nepodceňujte své zaměstnance, právě oni znají svou práci nejlépe a dovedou rozpoznat, jak na ni aplikovat ISMS, aby jim to dávalo smysl a těžila z toho následně i společnost jako celek!
Víc lidí víc ví
Řekněme, že jsem vás přesvědčila, abyste pro zavedení ISMS využili vlastní zdroje. Důležité je ale nenechat změny na jednom člověku. Někdy se na tuto pozici přihlásí lidé, kteří opravdu milují dlouhé směrnice, čas trávený jejich pročítáním a hledáním cest k jejich aplikaci, nicméně je vždy lepší, pokud na to člověk není sám. V týmu se lépe překonávají nástrahy a v oblasti ISMS jich jistě pár vyvstane. Také se tak lépe „rozprostře“ možná nelibost ostatních zaměstnanců (za předpokladu, že jim jsou pravidla direktivně nařízena bez vysvětlení důvodů a zamýšleného výsledku, což už, jak jsme si řekli v úvodu, není správná cesta, takže se tomu jistě vyhnete). Tým, ve kterém se sdílejí názory na danou problematiku a je složený z odborníků či nadšenců, pak dokáže vysvětlit i zbytku společnosti, který se zapojit nechtěl, o co jde. Ostatní si rovněž raději vyslechnou své kolegy (i když je součástí týmu externí konzultant jako regulátor směru) než externí poradce („nejsou naši zaměstnanci = neznají společnost = nastavili pravidla špatně“).
I pravidla mohou být čtivá a snadno pochopitelná!
Při seznamování s ISMS (ponechme stranou téma školení, které probereme v jiném článku) nezapomeňte na „uživatelskou přívětivost“ směrnic. ISMS – ISO 27001 pochází z Velké Británie a tam milují rozsáhlé dokumenty. Vy ale „britský původ“ vašich směrnic ctít nemusíte. Myslete při vytváření a psaní pravidel na to, že je budou muset posléze přečíst všichni vaši zaměstnanci od recepční až po šéfa pobočky. Jedním z vašich cílů při vytváření ISMS směrnic by tak měla být srozumitelnost a jednoduchá forma. Neváhejte využít příklady z běžného života k ilustraci pravidel během školení. Nehledě na to, že mnohé z principů ISMS vaši zaměstnanci využijí i mimo svět kanceláře – například znalosti ohledně nastavení hesel, šifrování či rozpoznání podvodných e-mailů.
KYBERNETICKÉ ÚTOKY: SLOVNÍČEK POJMŮ
Pomůžeme vám překonat úskalí spojená s kybernetickou bezpečností.
Projděte si našeho průvodce běžným žargonem nejmodernějších pojmů a taktik kyberpodvodníků.
Škola hrou
Už Komenský věděl, že hra je nejefektivnější způsob učení se novým věcem a návykům. I nudné téma můžete nějak ozvláštnit a udělat pro zaměstnance zábavnější. Pro účely školení můžete využít například nástroje pro vytváření soutěžních kvízů, jako je Kahoot či Mentimetr, a zapojit vaše zaměstnance. Nebo si například můžete základy a principy ISMS vytisknout a nalepit na ledničku ve firemní kuchyňce. Fantazii se meze nekladou.
Vrána k vráně sedá
Pokud principy ISMS vezme za své hned v úvodu jejich nastavování několik vašich zaměstnanců (důležité zde je i vedení), je velká pravděpodobnost, že je ostatní budou následovat. Vše dobře naplánujte a vyberte si k tomu ty správné lidi, kteří se budou chtít na zavádění pravidel a jejich následném vylepšování podílet. Uvidíte, že společně najdete správnou cestu k aplikaci ISMS ve vaší firmě!
Pamatujte na základní principy:
- Transparentnost: Sdělte vaše záměry ohledně ISMS zaměstnancům, i co se týká budoucích směrnic, které chcete nastavit/změnit. Vysvětlete jim, proč se ISMS zavádí či proč se stávající směrnice mění a co je cílem (například úprava pravidel pro vytváření a používání hesel pro zvýšení jejich bezpečnosti).
- Zapojení a vytvoření týmu ze zaměstnanců: Nenechávejte zavedení změn jen na externích společnostech!
- Pochopitelné a uchopitelné směrnice: Málokdo si radostně a se zájmem přečte 40stránkovou směrnici a ještě méně lidí si z toho něco odnese. Nezapomeňte tedy, že by směrnice měla obsahovat především to nejdůležitější, co mají zaměstnanci dodržovat.
- Škola hrou: Zkuste zaměstnancům proces seznamování se s novými pravidly nějak oživit a zatraktivnit. Nebojte se zapracovat informační bezpečnost do své firemní kultury.
- Buďte příkladem: Hlavně vedení by mělo ukázat, že je ISMS důležité a samo vedení jej dodržuje. Buďte tou první vránou, ke které si ostatní přisednou.
Author
