Edukacja daje bezpieczeństwo

Małe i średnie firmy w Europie nie przywiązują dostatecznej wagi do szkolenia nowych pracowników. Braki edukacyjne bezpośrednio wpływają na wzrost ryzyka związanego z bezpieczeństwem i ochroną krytycznych danych.

Małe i średnie firmy w Europie nie przywiązują dostatecznej wagi do szkolenia nowych pracowników. Braki edukacyjne bezpośrednio wpływają na wzrost ryzyka związanego z bezpieczeństwem i ochroną krytycznych danych.

Dobrego pracownika łatwo stracić i bardzo trudno znaleźć kogoś na jego miejsce. Coraz więcej firm musi zmagać się z problemem prowadzenia rekrutacji, ponieważ coraz większa liczba Europejczyków uznaje, że częste zmiany miejsca pracy są korzystne dla ich kariery. W Wlk. Brytanii na przełomie lat 2005-2006 pracę zmieniło 7 mln ludzi. Oznacza to, że blisko 25% pracujących w ciągu ostatnich 12 miesięcy rozpoczęło pracę w nowym miejscu. To sprawia, że pracodawcy są coraz częściej zmuszani do zatrudniania osób bez doświadczenia w danej branży, czy na podobnym stanowisku.

Zatrudnienie nowych pracowników to jednak tylko połowa sukcesu. Równie ważne, jeśli nie ważniejsze, jest efektywne wprowadzenie ich do nowego środowiska i przekazanie wszystkich niezbędnych do wykonywania ich obowiązków informacji. Bardzo ważnym aspektem procesu wdrażania do obowiązków nowych osób jest szkolenie związane z zagrożeniami dotyczącymi bezpieczeństwa organizacji. Braki w procesie edukacji nowych pracowników stwarzają duże ryzyko utraty lub kradzieży danych, a także narażają firmy na przestoje i straty finansowe spowodowane atakami hakerów.

Tymczasem z badań przeprowadzonych na zlecenie firmy McAfee wynika, że zaledwie 32% małych i średnich firm w Europie postrzega bezpieczeństwo jako ważny element wdrażania nowych pracowników. Nie powinno więc dziwić, że jedynie 39% przedsiębiorstw ma opracowane instrukcje dla pracowników dotyczące zawartości poczty elektronicznej czy języka, jakiego należy używać w korespondencji, i tylko 28% firm ma odpowiednie procedury dotyczące użytkowania komputerów stacjonarnych, a 23% ma podobne wytyczne w kwestii używania komputerów przenośnych.

Firmowa wina

Pomimo tego, że zaledwie co trzecia firma postrzega bezpieczeństwo jak istotny element wdrażania nowych pracowników i ma przygotowane odpowiednie materiały szkoleniowe, to większość uważa, że odpowiedzialność za zdarzenia związane z zagrożeniem bezpieczeństwa spoczywa na pracownikach. W każdym razie są oni w większym stopniu odpowiedzialni niż pracodawcy. Przykładowo, ponad 50% przedsiębiorców uważa, że pracownik, który nawet nieświadomie przyczynia się do epidemii wirusów w firmowej sieci, powinien zostać pociągnięty do odpowiedzialności, a blisko 70% jest skłonnych obarczyć winą pracownika za kradzież komputera przenośnego.

Biorąc to pod uwagę, dziwi brak dokładania starań do tworzenia kompletnych procedur wprowadzających pracowników w zasady funkcjonowania organizacji. Trudno więc zaprzeczyć, że firmy narażają na niebezpieczeństwo sprzęt i dane na własne życzenie. Warto też zwrócić uwagę na liczne przypadki spraw sądowych będących skutkiem wysłania przez pracowników wiadomości e-mail uznanych przez odbiorców za obraźliwe lub naruszające zasady poufności kontraktów zawieranych z klientami. Bardzo często w takich przypadkach sąd orzeka o winie firmy, a nie pracownika. Precyzyjne określenie granic odpowiedzialności pracowników staje się absolutną koniecznością. Ich odpowiedzialność musi zostać wyraźnie oddzielona od odpowiedzialności pracodawcy.

"Podczas gdy dla wielu firm odpowiednie przygotowanie nowych pracowników to priorytet, duża część nie przykłada większej wagi do ich zachowania, sposobu wykorzystania komputerów czy polityki związanej z korzystaniem z Internetu" - przekonuje Greg Day, analityk ds. bezpieczeństwa w Mc-Afee. "Niedopatrzenia tego typu połączone z brakiem chęci do podnoszenia świadomości pracowników znacznie zwiększają ryzyko nieświadomego, czy celowego popełnienia błędu naruszającego polityki bezpieczeństwa" - dodaje.

Ostrożnie z kontrolą

Świadomość zagrożeń, jakie stwarzają źle przeszkoleni pracownicy, jest coraz powszechniejsza. Efektem tego procesu jest rozszerzanie obszaru i stosowanie nowych metod kontroli pracowników. Warto jednak zwrócić uwagę, że w tej kwestii należy postępować bardzo ostrożnie. Pracownicy mają bowiem świadomość monitorowania ich zachowań, a jednocześnie istnieje bardzo silne przekonanie, że buduje to zaufanie pomiędzy pracodawcą a pracownikiem. Kluczem do rozwiązania tego problemu jest zachowanie równowagi pomiędzy kontrolowaniem aktywności pracownika a uszanowaniem jego autonomii oraz utrzymaniem otwartych i zdrowych relacji. Zaufanie jest z pewnością jedną z najbardziej cenionych wartości w miejscu pracy. Zastosowanie przesadnych procedur kontrolnych prowadzi do bezpowrotnej jego utraty.

Firmy limitują dostęp do krytycznych informacji poprzez ograniczenie dostępu sieciowego lub drukowanie i izolację najważniejszych dokumentów. Niewiele firm udostępnia najważniejsze dokumenty wszystkim pracownikom - łącznie z nowymi osobami - w intranecie lub przez współdzielony folder w sieci. "Proces wprowadzania nowego pracownika stwarza idealną okazję do wzbudzenia czujności pozostałych zatrudnionych. Jest to raczej proces kształtowania zaufania i jasnych procedur dotyczących pracy i stosowanych zabezpieczeń, niż lista zakazów i nakazów. Szkoda, że tylko część ankietowanych postrzega ten proces w podobny sposób" - uważa Billy Hamilton Stent, dyrektor w firmie badawczej Loudhouse Research.

Powaga sytuacji

Chociaż następuje to powoli, świadomość małych i średnich europejskich firm dotycząca konieczności poświęcenia należytej uwagi procesowi szkolenia, także w obszarze bezpieczeństwa nowych pracowników, wzrasta. Dzieje się tak dlatego, że firmy zaczynają dostrzegać znaczenie pierwszej fazy relacji pomiędzy pracodawcą a pracownikiem dla przyszłej współpracy. Okres ten ma ogromny wpływ na późniejsze wykonywanie zadań przez pracowników. Z pewnością w przypadku przedsiębiorstw z sektora MSP o wiele łatwiej o nawiązanie właściwych relacji niż w przypadku dużych firm, ryzyko to jednak istnieje. Zagrożenia związane z wirusami i robakami komputerowymi, niestosowaną korespondencją czy utratą danych, mogą w równie negatywnym stopniu wpływać na organizację bez względu na ich rozmiary.

Tekst powstał na podstawie raportu McAfee Employee Education Gap Report. Badanie, które stanowiło źródło danych, zostało przeprowadzone przez brytyjską firmę analityczną Loudhouse Research w grudniu 2006 r. na grupie ponad tysiąca osób odpowiedzialnych w firmach za wprowadzanie nowych pracowników. Analitycy skoncentrowali się na europejskich firmach zatrudniających od 50 do 250 osób.

Jak redukować ryzyko?

Dobry punkt wyjścia dla podnoszenia ogólnego bezpieczeństwa organizacji stanowi zastosowanie się do pięciu porad sformułowanych poniżej:

  1. Niczego nie przeoczyć!

    Proces należy rozpocząć od sprawdzenia aktualnych materiałów przekazywanych nowym pracownikom pod kątem zawartości informacji związanych z potencjalnymi zagrożeniami bezpieczeństwa. Powinny one poruszać wszystkie kwestie dotyczące wszelkiego rodzaju ryzyka. Przegląd materiałów pozwala czasem na wykrycie niedociągnięcia w ogólnym podejściu do bezpieczeństwa w całej organizacji.

  2. Spojrzeć oczami pracownika!

    Kolejnym krokiem jest ocena stanu wiedzy pracowników w zakresie kwestii związanych z bezpieczeństwem, m.in. na temat informacji prawnych dołączanych do korespondencji elektronicznej, spamu, czy zasad korzystania ze sprzętu komputerowego w delegacji.

  3. Odpowiedzialność!

    Koniecznym elementem procesu podnoszenia bezpieczeństwa jest jasne określenie zakresu odpowiedzialności poszczególnych pracowników w związku z bezpieczeństwem organizacji. Informacje zawarte na stronach internetowych instytucji administracji rządowej czy organizacji handlowych stanowią często doskonały punkt odniesienia dla takich rozważań.

  4. Niezależna analiza!

    Nie należy stronić od pomocy z zewnątrz. Zaproszenie do współpracy niezależnej firmy, partnera biznesowego, czy klienta w celu sprawdzenia procedury wprowadzającej pozwala zyskać nową perspektywę. Informacje dostarczone przez firmy zewnętrzne pozwalają zaś lepiej ocenić proces i zidentyfikować miejsca, w których należy go usprawnić.

  5. Wirtualni szefowie ds. bezpieczeństwa!

    Wreszcie, konieczne jest wskazanie pracowników, którzy będą odpowiedzialni za zachowanie odpowiedniego poziomu czujności w stosunku do potencjalnych zagrożeń, oraz zapewnienie wysokiego poziomu świadomości pracowników w obszarze bezpieczeństwa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200