Za?to su zaposleni nezainteresovani za informacionu bezbednost?
Izgra?ivanje pozitivnog stava zaposlenih u odnosu na zna?aj informacione bezbednosti podrazumeva mnogo vi?e od sprovo?enja edukacija, koliko god kvalitetne bile.
Iako naizgled apsurdno, i pored brojnih edukativnih kampanja, seminara, vebinara, konferencija,?radionica, kurseva, kratkih programa studija i ?ega sve ne, broj bezbednosnih incidenata neumitno raste.
Da li je to neminovnost koju ?emo i dalje pravdati defetisti?kom tvrdnjom da su napada?i ?uvek korak ispred“ ili ?emo priznati gre?ke i redefinisati strategije svoje odbrane.
Za po?etak konstatujmo svu besmislenost naslova ovoga teksta: "Za?to su ZAPOSLENI nezainteresovani za informacionu bezbednost?".
Biti zaposlen - samo je jedna od odrednica u ?ivotu ve?ine ljudi.
Uporedo s tim zaposleni su i ne?iji roditelji, partneri, ne?ija deca, bake i deke, stri?evi i tetke, kom?ije koje pozdravimo u mimohodu, ali i verni korisnici informati?kih proizvoda i usluga koje nekriti?ki rabe "od jutra do sutra".
Zaposleni su neko? bili i deca, i?li u ?kole i vrti?e, a potom ste?ena znanja i vrednosne stavove poneli na radna mesta, projektuju?i ih neposredno u svoje radno okru?enje.
?ta su to poneli sa sobom i da li su informati?ki pismeniji od nezaposlenih ili onih kojima tek sledi da tra?e posao?
U dru?tvima erodiranog vaspitno-obrazovnog sistema, s posustalom dru?tvenom odgovorno??u, empatijom i me?uljudskom solidarno??u, sprovo?enje edukacija namenjenih zaposlenima u cilju tzv. podizanja svesti (bilo u pogledu zna?aja informacione bezbednosti, ekologije ili ne?eg tre?eg), te?ko ?e nadoknaditi propu?tene ili nikad odr?ane lekcije u ?koli, vrti?u i porodici.
Ne?e nadoknaditi ni odsustvo ?kolskog i drugog obrazovnog medijskog sadr?aja koji su izgurali neki drugi, celodnevni, sa ili bez blagovremeno datog upozorenja, da ?Program nije preporu?ljiv za uzrast ispod … godina“.
O kakvom je to onda podizanju svesti re?, ako uop?te ima jo? ?ta da se "di?e".
Jednokratno, dvokratno. Parcijalno. S minus jedan. Podruma ili iz suterena.
Nije svest tepih pa da se di?e, da bi se usisala pra?ina.
Naravno, nakon ?to prvo plati?.
Pa slede?i put ... kad te se sete.
Bi?e da pri?u oko "podizanja svesti" valja izmestiti iz instant re?enja i vratiti je tamo gde joj je i mesto.
U sistem obaveznog vaspitanja i obrazovanja.
A dotle, dok ?ekamo da se to desi, pitanje sadr?ano u naslovu ovog teksta jo? uvek bi moglo imati smisla.
Osim edukacija ovoga ili onog tipa, izgra?ivanje pozitivnog stava zaposlenih u odnosu na zna?aj informacione bezbednosti - podrazumeva prethodno ostvarivanje jo? nekih preduslova, unutar same organizacije.
U suprotnom, sprovo?enje aktivnosti kojim bi se uspostavio i odr?avao potreban nivo informacione bezbednosti (bilo da prosti?u iz zahteva usvojenih standarda ili iz najboljih praksi u toj oblasti), zaposleni ?e i dalje do?ivljavati kao balast i (te?ku) "smara?inu", poklanjaju?i im nikakav ili minimalni zna?aj!
U najboljem slu?aju, kao ne?to - bez ?ega se mo?e.
Strategije tu nisu od velike koristi.
Posebno one bez Akcionog plana koji bi trebalo da sadr?i detaljne mere, spisak konkretnih aktivnosti i njihovih nosilaca, kao i zadate rokove realizacija koji su stvarni i mogu?i.
Dakle, koji su to preduslovi ?ije je postojanje u organizaciji neophodno da bi do edukacija uop?te do?lo i da bi iste imale pozitivan efekat?
Kako kod zaposlenih eliminisati odbojan stav prema informacionoj bezbednosti i motivisati ih da se pridr?avaju bezbednosnih pravila koja ?e smanjiti rizike od bezbednosnih incidenata?
E, pa ovako:
Kada neko ?eli da nam saop?ti da neki slo?eni sistem funkcioni?e besprekorno (a ve?ina organizacija*, to jeste!), verovatno ?e nam re?i da “Radi kao sat” ili ?e??e, ".. ko ?vajcarski sat!".
* ???????????????????????? ???? ???????????????? ?????????? ?????????? ???????? ?????????? ?????????? ?????? ??????? ????????????????????? ?????????????? ?? ????????????????? ????????????????? ???????????????????? ?? ??????????????????. ???????? ???????? ?????????????????????????? ???? ???????????? ???????????, ?????????????????? ???????? ?????? ?????????? ????????????? ???? ???????, ???? ????????????????? ??????????? ????????????????????????, ??????????? ???????????? ???? ?????? ?????????????? - ??????????, ???????????????? ?? ?????????????? ?????????????“. (??????????: ??????????????????)
Pore?enje nije slu?ajno.
Mehani?ki mehanizam sata predstavlja slo?en sistem zup?anika, opruga i drugih, brojnih komponenti, od ?ije ispravnosti i me?usobne uskla?enosti direktno zavisi da li ?e pokazivati ta?no vreme i tako ostvarivati svoju funkciju.
To su upravo oni isti preduslovi neophodni za pravilno funkcionisanje svake iole slo?enije organizacije, ?ije "delove" valja poslo?iti i njima pravilno upravljati.
A u takvim organizacijama, uklju?eni su brojni procesi. Po?ev od tehni?kih, organizacionih, kadrovskih, pa sve do normativnih.
Od njihovog pravilnog struktuiranja u odgovaraju?e sisteme i podsisteme i jasnog definisanja uloga i odgovornosti, uveliko ?e zavisiti funkcionalnost svake organizacije.
Ukoliko postoji, sistem upravljanja bezbedno??u informacija predstavlja?e samo jedan od brojnih - s kojima ?e se koegzistirati u odnosu neprestane i dinami?ke interakcije.
Kako bi se poslovni procesi u organizaciji nesmetano odvijali, svaki od tih sistema ili podsistema mora se funkcionalno uklopiti u hijerahijski vi?i, ba? poput delova popularne "matrjo?ke" koji tako lako kliznu, jedan - u drugi.
Sasvim je izvesno da postoje jasne korelacije izme?u na?ina odvijanja poslovnih procesa (uklju?uju?i i informacionu bezbednost kao va?an poslovni proces) i veli?ine organizacije, organizacione i vlasni?ke strukture, oblika rukovo?enja i jo? koje?ega - ne manje va?nog.
Upravo zbog toga, svi napori lica odgovornih za informacionu bezbednost bi?e poprili?no obesmi?ljeni - ukoliko nefunkcionalno struktuirana organizacija nije u stanju da podr?i njihove zahteve i omogu?i neophodne preduslove.
Ukoliko je organizacija nefunkcionalno struktiurana, ona ne?e ni bazi?no funkcionisati, a takvim organizacijma, su?tinski, informaciona bezbednost - i nije potrebna.
Atributi organizacije direktno ?e uticati na dizajn i implementaciju informacionih sistema, ali i primenjenih mera za?tite digitalnih i analognih podataka.
U birokratskim organizacionim strukturama (kakvih sam se uglavnom nagledao), uobi?ajeno je da rukovodioci najvi?eg ranga imaju zna?ajnu kontrolu i mo? nad dono?enjem odluka koje eksplicitno ili implicitno mogu uticati i na informacionu bezbednost.
Ovakvo dono?enje odluka prolazi manje instanci, ?ine?i ga potencijalno efikasnijim i br?im.
S druge strane, lako mo?e inhibirati inicijativu, kreativnost, i li?ni doprinos zaposlenog, minimalizuju?i njegov zna?aj i poimanje sopstvene uloge u odvijanju poslovnih procesa, pa i onih koji se ti?u informacione bezbednosti.
Naravno, od efikasnog i brzog dono?enje odluka i nema puno koristi, ako su iste lo?e ili pogubne po organizaciju.
Ali, ni to nije najgore.
Nefunkcionalno struktuirana organizacija direktno generi?e i nefunkcionalno pona?anje zaposlenih, ?to naj?e??e ima za posledicu - da njeni osnovni, proklamovani ili od strane zakonodavca zadati ciljevi, ostaju neostvareni ili u najboljem slu?aju fingirani, obesmi?ljavaju?i samo njeno postojanje.
Usled nedovoljnog znanja iz oblasti IT, nerazumevanja stvarnih opasnosti i ozbiljnosti posledica koje mogu proste?i iz bezbednosnih incidenata, zaposleni ?e kao neposredni sprovodioci donetih politika percipirati iste kao nepotrebne i nametnute, smatraju?i da je njihov jedini cilj nadzor i kontrola od strane organizacije kojoj pripadaju.
Pri svemu ovome, nedefinisane uloge i odgovornosti u kreiranju, sprovo?enju i kontroli donetih mera, kao i odsustvo izricanja bilo kakvih sankcija zbog njihovog kr?enja - dodatno ?e podsta?i neodgovorno pona?anje zaposlenih i poslati im negativnu poruku, da informaciona bezbednost i nije toliko va?na.
U takvim nefunkcionalnim organizacijama u kojima ne postoje preduslovi ni za uspe?no odvijanje unutra?nje komunikacije, najvi?e rukovodstvo ne?e uspeti da ljudskim resursima pribli?i zajedni?ke vrednosti - u vidu proklamovanih ili zakonom zadatih ciljeva, te njene vizije i misije kao temeljnih odrednica organizacije.
Na strani zaposlenih ovo se mo?e manifestovati u vidu nedovoljne posve?enosti organizaciji i radnim zadacima koje obavljaju, nerazvijenog ose?aja pripadnosti, odsustva "timskog duha", kao i nezainteresovanosti za sagledavanjem uzro?no-posledi?nih veza izme?u njihovog ?tetnog (ne)?injenja i sveukupne bezbednosti organizacije kojoj pripadaju.
Informaciona bezbednost ni u jednoj organizaciji ne po?iva na pojedincu, pa bio to i?Chief Information Security Officer ili kako ?emo ga ve? zvati. Ni na njegovom stru?nom timu ukoliko je skrajnut od strane tzv. top menad?menta, odnosno najvi?eg rukovodstva organizacije koje ne mo?e ili ni ne ?eli da razume zna?aj informacione bezbednosti.
Posledica ovakvog stava, ogleda?e se i u nedovoljnom izdvajanju iz bud?eta kojim bi njihove aktivnosti trebalo da budu finansirane.
I onda ako je sve ve? tako, za?to bi uspostavljanje i odr?avanje jedne slo?ene organizacije na funkcionalnom nivou, zahtevalo manje truda, vremena, pameti i invetivnosti, negoli izrada jednog zadivljuju?eg mehanizma poput ovoga, na slici dole?
Kako prevazi?i ovakav stav zaposlenih i njihovih rukovodioca? Kako od "smara?ine" do?i do prosvetljuju?eg "WoW" efekta i promene paradigme?
Za po?etak, organizacione strukture valjalo bi u?initi funkcionalni(ji)m.
Lak?e re?i, nego u?initi.
Zadatak nimalo lak, ?esto i nemogu?.
Ovo naro?ito u disfunkcionalnim dru?tveno-politi?kim sistemima u kojima logika uspe?nog poslovanja ustupa mesto politi?kim interesima, partijskim plenovima, korupciji i drugim vidovima dru?tveno ?tetnog pona?anja.
Ukoliko je to slu?aj, javna uprava kao lice svake dr?ave - prva ?e iskriviti svoj odraz u ogledalu.
Stoga, u ovom delu, fokusira?u se samo na funkcionalne organizacione strukture, iako se ba? njima neretko spo?itava odsustvo komunikacije i saradnje izme?u organizacionih celina, niska radna etika, odsustvo timskog duha, sporo dono?enja odluka i sl.
Sve i da je tako, a nije, sistem upravljanja informacionom bezbedno??u logikom svoga funkcionisanja otkloni?e eventualne manjkavosti, a imperativom me?usobne saradnje neminovno oja?ati kohezione sile unutar same organizacije.
Tamo gde postoje bar neki od preduslova o kojima je bilo re?i, uz odre?ene intervencije, uvo?enje sistema informacione bezbednosti - nije nemogu?a misija.
Zapravo, najve?i broj slu?ajeva kr?enja politika i procedura od strane zaposlenih i ne poti?e iz njihove zle namere, ve? iz (pogre?ne) percepcije, da bi ih dosledno sprovo?enje istih - ometalo u efikasnom izvr?avaju redovnih radnih zadataka.
Drugim re?ima, kr?enje ili nedosledno sprovo?enje bezbednosnih procedura od strane zaposlenih, naj?e??e su rezultat uverenja da ?e iste ometati njihovu produktivnost, zahtevati dodatno vreme ili energiju, odnosno zahtevati obavljanje poslova na na?in koji nisu navikli, remete?i njihove svakodnevne rutine.?
Iako su dodatno vreme i energija nesumnjivo neophodni, ovakav stav zaposlenih delimi?no mo?e biti i opravdan ukoliko poslodavac nije optimizovao i jasno definisao poslovne procese i uloge zaposlenih - ?ine?i ih nepotrebno komplikovanim i te?kim.
U svakom slu?aju, realno je o?ekivati da ?e usagla?enost radnih procesa s politikama informacione bezbednosti pove?ati obim poslova zaposlenih, ?to bi od strane pretpostavljenih trebalo podsticati, ali i uzeti u obzir prilikom ocenjivanja njihovog radnog u?inka - koje mo?e uticati na eventualno napredovanje ili dobijanje odre?enih bonusa.
S? tim u vezi, u okviru opisa poslova svakog radnog mesta, datog Pravilnikom o unutra?njem ure?enju i sistematizaciji ili nekim drugim, srodnim dokumentom, u vidu uop?tene formulacije morali bi biti navedeni i poslovi proistekli iz politika informacione bezbednosti, ?ime bi se naglasila obaveznost njihovog obavljanja i dao zna?aj koji im pripada.
Uporedo s tim rukovodstvo bi trebalo kontinuirano da radi na identifikaciji i smanjenju izvora stresa koji se reflektuje na zaposlene, imaju?i spoznaju da rad u stresnim uslovima mo?e uticati na njihovu doslednost i pa?nju u pra?enju i sprovo?enju bezbednosnih protokola, od kojih mo?e zavisiti funkcionisanje organizacije.
Kao i mehani?ki sat koji zahteva povremeno ?i??enje i servisiranje od strane iskusnog ?asovni?ara, tako i aktivnosti koje se odnose na uspostavljanje i odr?avanje dostignutog nivoa informacione bezbednosti - moraju biti predmet pra?enja, povremenih pregleda i stalnih pobolj?anja.
Me?utim, kao ?to postoje mali i veliki satovi, sa osnovnim ili vi?e drugih naprednih funkcija, tako i svaka organizacija predstavlja zaseban entitet i samo uz po?tovanje njenih osobenosti mogu se prona?i uravnote?ena i odr?iva bezbednosna re?enja.
Opcija copy/paste, nikada nije bilo re?enje.
Dobro izbalansiran sistem informacione bezbednosti trebalo bi da bude taman toliko “navijen” da ne inhibira nesmetano odvijanje poslovnih procesa, niti da zbog besmislenih zahteva CISO izaziva nepotrebnu tenziju kod zaposlenih. U suprotnom, ili ?e do?i do bezbednosnog incidenta ili "pucanja" i dezintegracije nekog od poslovnih procesa.
Na?alost, ni implementirana IT re?enja, koliko god savremena bila, ne mogu eliminisati rizike ?tetnog pona?anja zaposlenih. Ista mogu samo suziti manevarski prostor njihovoj inertnosti, neodgovornosti, slu?ajnim gre?kama ili nameravanoj insajderskoj sabota?i.
Upravo zbog toga ?to se rizici izazvani ljudskim faktorom ne mogu lako ni trajno eliminisati, organizacije kojima je stalo do informacione bezbednosti, u odsustvu bazi?nih, strate?kih re?enja na nivou dru?tva, moraju zaposlenima obezbedti kontinuiranu, a ne ad hoc edukaciju, kako bi im se na razumljiv na?in objasnio zna?aj informacione bezbednosti, odnosno svrha usvojenih procedura i razlozi zbog kojih bi istih trebalo da ih se pridr?avaju.
Objektivno, u percepciji zaposlenog, uspe?no obavljanje poslova navedenih u opisu njegovog radnog mesta, predstavlja samo ?ono“ - ?to mu donosi korist !
U vidu pozitivne ocene pretpostavljenih, li?ne promocije, napredovanja u slu?bi, slu?benih putovanja, li?nih privilegija, finansijskih i drugih bonusa i sl.?
Upravo zbog toga, na edukativnim sesijama zaposlenima je va?no ukazati da usled kr?enja usvojenih procedura mogu pretrperti i li?ne "gubitke" - u vidu finansijskih ili brojnih nematerijalnih, od kojih su neki ve? napred pobrojani.
O ljudskoj prirodi kao i aktuelnom vrednosnom sistemu dru?tva u kojem zaposleni obitava, u edukacijama ovog tipa - i te kako treba voditi ra?una! Pri odsustvu ?eljenog nivoa svesti, znanja i obrazovanja, empatije, pa i me?usobne solidarnosti, prakti?noj primeni saznanja iz oblasti psihologije, sociologije i drugih humanisti?kih nauka - u edukacijama mora imati mesta.
Ukoliko me?u zaposlenima postoji svest o zna?aju ostvarivanja zajedni?kog cilja (u ?emu god se isti ogledao - ostvarivanju profita, pove?anja udela na tr?i?tu, za?titi ljudskih prava itd.), na edukativnim sesijama potrebno ih je informisati i o posledicama ?tetnog pona?anja koje ih samo naizgled ne poga?aju, a pre svega, o mogu?im posledicama naru?ene reputacije - kao zajedni?ke vrednosti organizacije koju su gradile i generacije pre njih.?
Umesto zaklju?ka
Kako u realnom ?ivotu ?oveka najrazli?itiji stresovi i njihov intezitet ?esto ote?avaju ostavarivanje njegove uloge kao zaposlenog, u takvim okolnostima, informaciona bezbednost u njegovoj radnoj etici uobi?ajeno se pozicionira na poslednjem mestu.?
Nimalo ute?no pri ?injenici, da u svakom pa i u najsofisticiranijem sistemu informacione bezbednosti, najzna?ajniju ulogu - i dalje ima ?ovek.
Rukovodilac, zaposleni, dobavlja? usluga, krajnji korisnik, bilo ko - ko je u mogu?nosti da takav sistem o?uva ili?ga uru?i svojim namernim ili nenamernim delovanjem.
Kona?no i mehani?ki sat sa slike gore, da bi uop?te funkcionisao, mora biti u neprestanoj interakciji sa ?ovekom, bilo da ga ovaj navija ili samo nosi (pokre?u?i zglob ruke na kojem se nalazi).
Tvrdnja da je ?ovek najslabija karika u lancu informacione bezbednosti i dalje se tretira kao aksiom.
Sude?i po praksi, sasvim opravdano.
Pa ipak, da li je vreme, da izan?ala fraza da je “Informaciona bezbebednost jaka, koliko je jaka njena najslabija karika”, kona?no dobije pozitivnu konotaciju, a da se kroz primenu nekog novog standarda, koji bi se uklopio u porodicu 27000, zaposlenima bar malo olak?a izvr?avanje obaveza i na ovom planu.
Standarda koji bi se s aspekta me?usobne interakcije i me?uzavisnosti elemenata u sistemu informacione bezbednosti, posvetio pitanjima tih odnosa u zavisnosti od vrste organizacionih struktura, prirode i vrste poslovnih procesa, stilova liderstva, vrsta i na?ina komunikacije, vlasni?tva nad imovinom, primenjenog sistema odgovornosti, kao i drugih atributa od kojih u velikoj meri mo?e zavisiti pravilan izbor modaliteta upravljanja sistemom informacione bezbednosti.
Bez ikakve sumnje, sistem informacione bezbednosti na identi?an na?in ne mo?e biti koncipiran, pa ni sproveden, u strukturalno ili ve? kakvim, razli?itim organizacijama, poput lokalne samouprave, holdinga ili javnog preduze?a.
Upravo kao ni sistem upravljanja kvalitetom koji bi ovome trebalo da prethodi!
A kada je re? o upravljanje kvalitetom u javnoj upravi, kao va?nom preduslovu uspe?nog funkcionisanja sistema informacione bezbednosti, o hvaljenom modelu koji se bazira na samoproceni (Common Assessment Framework – CAF), mo?da - neki drugi put ...
Uostalom, sve vidite i sami.