W pewien sposób ustaliliśmy, że anonimowość w sieci może i istnieje, ale w rzeczywistości jest ona często tylko pozorna, i może dobrze. Powinny bowiem istnieć instytucje, które wiedzą lub mogą sprawdzić co, kto, jak i kiedy robi w sieci, dla których nie bylibyśmy anonimowi. Chodzi tu nie tylko o jakieś poważniejsze przestępstwa, ale również o możliwość zwrócenia się do tych instytucji o pomoc gdy ktoś wypisuje o nas nieprawdę czy nawet nęka nas. Co o tym myślicie?
Jeśli chodzi o normę PN-ISO/IEC 17799 to wprawdzie nie do końca pochlebnie się o niej wypowiedzieliście jednak zawsze od czegoś trzeba zacząć, więc jeśli mamy mieć w firmie odpowiednią politykę bezpieczeństwa i ją uaktualniać zastosować się do ciągłego jej doskonalenia, to norma ta wydaje się zawierać odpowiednie wytyczne do chociażby samego wprowadzenia tej polityki na początek.
Jeśli chodzi o to, że zwykle za problemami związanymi z bezpieczeństwem informacji stoi człowiek, to nie jest to niczym dziwnym w wielu dziedzinach to właśnie on jest najsłabszym ogniwem, często nie np. technika lecz on jest winny. Wiadomym jest więc, że nawet jeśli zastosujemy odpowiednie, wyszukane systemy zabezpieczania informacji to mogą one nic nie dać ze względu na błąd lub też celowe działanie człowieka. Dlatego też ważnym wydaje się być dobór pracownika do naszej firmy, tak jak napisał TQM "nie ma czegoś takiego jak 'zaufany pracownik'", ale można się starać dobrać odpowiednią osobę na dane stanowiska wybierając "mniejsze zło" tzn. jeśli dana osoba ma bardzo dobrą opinie to prawdopodobieństwo, że przyczyni się np. do wycieku danych jest, choć może mniejsze niż u osoby, która już to kiedyś zrobiła.
Dlatego przed zatrudnieniem należy jak radzi nam już wspomniana przeze mnie norma w pkt. 8.1: "Zaleca się określenie wymagań bezpieczeństwa przed zatrudnieniem w odpowiednim opisie stanowiska pracy oraz zasadach i warunkach zatrudnienia. Zaleca się, aby wszyscy kandydaci do zatrudnienia, wykonawcy oraz użytkownicy reprezentujący stronę trzecią byli starannie sprawdzani, szczególnie w przypadku naboru na wrażliwe stanowiska" dalej "Zaleca się, przeprowadzenie weryfikacji wszystkich kandydatów do zatrudnienia...zgodnie z odpowiednimi przepisami prawa, regulacjami wewnętrznymi i etyką oraz proporcjonalnie do wymagań biznesowych, klasyfikacji informacji, która ma być udostępniona oraz dostrzeżonych ryzyk. Zaleca się, aby weryfikacja zawierała:
- dostępność satysfakcjonujących referencji
- sprawdzenie przedstawionego życiorysu
- bardziej szczegółowe sprawdzenia, takie jak sprawdzenie zadłużenia lub karalności"
Na czym jeszcze ta weryfikacja mogłaby polegać? Czy poświęcanie dużej ilości czasu na dokładne sprawdzenie pracownika ma sens?
Dalej norma mówi nam jeszcze o konieczności podpisywania umów o zachowaniu poufności i nieujawnianiu informacji o czym konkretniej jest w punkcie 6.1.5: "Zaleca się, aby umowy o zachowaniu poufności i nieujawnianiu informacji...były sformułowane w sposób prawnie skuteczny. W celu określenia wymagań dla takich umów zaleca się uwzględnienie następujących elementów:
- definicji informacji jakie mają być chronione
- spodziewanego czasu trwania umowy, łącznie z przypadkami, w których obowiązek zachowania poufności może być bezterminowy
- odpowiedzialności i działań sygnatariuszy podejmowanych w celu uniknięcia nieupoważnionego ujawnienia informacji
- zasad zwrotu lub niszczenia informacji przy zakończeniu umowy
- działań podejmowanych w przypadku naruszenia warunków umowy"
Co sądzicie o tych umowach? Jakieś pomysły jak ukarać pracowników, którzy mimo takich umów próbują zazwyczaj anonimowo je łamać lub je łamią?
Odpowiedź z Cytatem
Napisał Mad_Dud
Copyright © 2006-2024 - HACK.pl. Wszelkie prawa zastrzeżone.