Információbiztonság. Bubán Márton EIVOK-6. Információbiztonsági Szakmai Fórum

Hasonló dokumentumok
Információbiztonság fejlesztése önértékeléssel

Nemzetközi jogszabályi háttér I.

A Nemzeti Elektronikus Információbiztonsági Hatóság

Információbiztonság irányítása

Pécsi Tudományegyetem Közgazdaságtudományi Kar

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Minőségcélok és tevékenységek Magyarországon, a GYEMSZI Minőségügyi Főosztály tevékenysége. Dr. Kárpáti Edit

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

ITSZK 2.0 INTEGRITÁS TANÁCSADÓ SZAKIRÁNYÚ KÉPZÉS TOVÁBBFEJLESZTÉSE

2013. évi L. törvény ismertetése. Péter Szabolcs

Az NKI bemutatása EGY KIS TÖRTÉNELEM

Jogalkotási előzmények

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

The Leader for Exceptional Client Service. szolgáltatások

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Üzleti kommunikáció TANTÁRGYI ÚTMUTATÓ. I. évfolyam. 2013/2014 I. félév

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

Digitális Oktatási Stratégia

Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban

Dr. Muha Lajos. Az L. törvény és következményei

STRESSZ KEZELÉS MESTERFOKON

INFORMATIKAI BIZTONSÁG ALAPJAI

Bevezetés az Informatikai biztonsághoz

Katasztrófavédelmi felkészítés

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Technológia az adatszivárgás ellen

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

AZ OFI KIEMELT PROGRAMJÁNAK ELŐZMÉNYEI A CALDERONI ADATBÁZIS. Topár Gábor szakmai projektvezető TÁMOP

2013 L. - tapasztalatok Antidotum 2015

M5004 FELADATOK. f) elegendő előny esetén meg tudja kezdeni a program előkészítését, és a feltételek megteremtését ISMERETEK

A válság és a különleges jogrend kapcsolata, különös tekintettel a NATO Válságreagálási Rendszerével összhangban álló Nemzeti Intézkedési Rendszerre

Smart City Tudásbázis

Belső Biztonsági Alap

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Hogyan lehet elsajátítani a Projektmenedzsment? - Projektmenedzsment kompetenciák fejlesztése

A CYBER interdependencia gyakorlatok nemzetközi és hazai tapasztalatai

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Kormányzati kiberbiztonsági koordináció eredményei, stratégiai elvárások az NKE képzésével kapcsolatban

IT biztonsági törvény hatása

SH/8/1 Alapellátás-fejlesztési Modellprogram

A XXI. század módszerei a könyvvizsgálók oktatásában avagy a digitális kompetenciák és digitális tanulás fejlesztése

Védelmi Vonalak - Compliance

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az IT biztonság szerepe a könyvvizsgálatban

Projektmenedzsment sikertényezők Információ biztonsági projektek

ÁROP KÉPZÉS A KONVERGENCIA RÉGIÓKBAN LÉVŐ ÖNKORMÁNYZATOKNAK FENNTARTHATÓ ÖNKORMÁNYZAT E- TANANYAGOKAT BEMUTATÓ KONFERENCIA

Az áldozattá váló gyermekek segítése az iskolában resztoratív technikákkal Negrea Vidia , ELTE, Iskolapszichológiai Módszertani Bázis

OM azonosító: INTÉZKEDÉSI TERV. (Az intézményi tanfelügyelet eredményeire épülő terv) 1. PEDAGÓGIAI FOLYAMATOK

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Informatikai projekteredmények elfogadottságának tényezői

ITIL SZIMULÁCIÓ ÜZLETI ELŐNY, HATÉKONY TANULÁS, JÁTÉK ÉS SZÓRAKOZÁS EGYBEN!

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

ÉLET A FELHŐBEN - HATÉKONYSÁGNÖVELÉS CLOUD TECHNOLÓGIÁVAL. Baranyi Fanni Microsoft Online Szolgáltatások Értékesítési Szakértő

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

TANTÁRGYI ÚTMUTATÓ. Szervezeti magatartás és vezetés tanulmányokhoz

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

Intézkedési terv intézményi tanfelügyeleti látogatás után

Az NKI bemutatása. Tikos Anita Nemzeti Kibervédelmi Intézet

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Vállalati adatvédelem

Digitális kompetenciák fejlesztése a pedagógus-továbbképzésben

TOGAF elemei a gyakorlatban

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Tudásdepó Expressz A könyvtári hálózat fejlesztése a Keményben az élethosszig tartó tanulás érdekében TÁMOP 3.2.4A 11/

A KÉPZÉS SZEREPE AZ INTEGRITÁS FEJLESZTÉSBEN

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Bevezetés. Adatvédelmi célok

Kompetencia alapú oktatás (tanári kompetenciák) NyME- SEK- MNSK N.T.Á

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

SZAKDOLGOZAT TÉMAJEGYZÉK rendészeti igazgatási szak biztonsági szakirány:

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

A KOMPLEX ALAPPROGRAM BEVEZETÉSE A KÖZNEVELÉSI INTÉZMÉNYEKBEN EFOP

elearning TAPASZTALATOK ÉS TERVEK A ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMEN

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

TANTÁRGYI ÚTMUTATÓ. Üzleti kommunikáció. tanulmányokhoz

Aktualitások a minőségirányításban

Szy Ildikó DEMIN 2014.

Szabályozási kihívások

A Jó Állam építőkockái. előadó: dr. Gál András Levente június 14.

Csenger Város Polgármesteri Hivatalának szervezetfejlesztése és folyamatvizsgálata

TUDATOS VEZETÉS vezetőfejlesztő program

A BETEGBIZTONSÁG FEJLESZTÉSI LEHETŐSÉGEI. 40. Betegbiztonsági Fórum június 8.

Pécsi Tudományegyetem Közgazdaságtudományi Kar

Eredmények /

A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése

INTEGRITÁS TANÁCSADÓK

LOGISZTIKAI KONTROLLING

Az információbiztonság-tudatosság vizsgálata az osztrák és a magyar vállalkozások körében

Dr. Konczosné dr. Szombathelyi Márta Tehetség- és motivációs modell kidolgozásának kérdései a SZE TMDK kapcsán

Dunavarsány Polgármesteri Hivatalának Szervezetfejlesztése

Mit várunk el az alkalmazottainktól? Készítette: dr. Paál Csaba

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

INTEGRITÁS MENEDZSMENT

Lámpás tudástár Üzleti tervezés

A PROJEKTTERVEZÉS GYAKORLATI KÉRDÉSEI: SZAKÉRTŐ SZEMÉVEL. Pályázatíró szeminárium, Stratégiai partnerségek Január 16.

Átírás:

Információbiztonság 1 tudatosság fejlesztése Nagy vonalakban egy szervezet információbiztonsági kultúrájának fejlesztéséről Bubán Márton EIVOK-6. Információbiztonsági Szakmai Fórum 2018.10.04

Információbiztonság tudatosság szerepe Az információ birtoklásából, az önmagunk képességeinek ismeretéből származó stratégiai előnyt Szun Vu a következőképpen fogalmazta meg a Szun Ce (Szun útja) szerzőként jegyzett A háború művészete című művében: Ezért mondják, hogy aki ismeri az ellenséget és ismeri önmagát, száz csatában sem kerül veszélybe. Aki nem ismeri az ellenséget, ám ismeri önmagát, egyszer győz, másszor kudarcot vall. Aki sem az ellenséget, sem önmagát nem ismeri, minden csatában vereséget szenved. 2

Információbiztonság tudatosság szerepe A téma súlyát tekintve az információbiztonság komplex védelmének, irányítási rendszerének kialakításakor a biztonságtudatos viselkedés a legfontosabb védelmi vonal, mely terület fejlesztése preventív védelmi intézkedés. Minden rendszer annyira sebezhető, sérülékeny, mind ahogy a leggyengébb eleme: egy információs rendszer védelmi kontrolljainak teljes körűnek, valamennyi rendszerelemre kiterjedőnek így a humán faktorra vonatkozóan is, folyamatosnak és zártnak kell lennie. 3

Információbiztonság tudatosság szerepe A téma időszerűségét igazolják a közelmúltban a világon végig söprő zsarolóvírus támadások, napvilágra került, nagy rendszereket érintő adatszivárgások, nemzetbiztonsági kibervédelmi eszközök és adatok kompromittálódása, az egyre erősödő, a kibervédelmi és támadó potenciált érintő fegyverkezési verseny, illetve a civil területen a szervezett bűnözés megjelenése az elektronikus rendszerekkel szemben végrehajtott támadások területén. 4

Információbiztonság tudatosság szerepe Mindig az embert kell meggyőzni arról, hogy tegyen magáért, az egészségéért még a betegséget megelőzően, így a kiberbiztonság tekintetében is magának az embernek a biztonságtudatosságát kell növelni az elkerülhető incidensek megelőzésének érdekében. Mint minden preventív eszköz, az információbiztonság tudatosság képzés hatékonyabb és olcsóbb mint az incidenst követő korrektív eszközök, eljárások, folyamatok. 5

Információbiztonság tudatosság fejlesztésének alapjai egyfajta megközelítés Szövetséges Egyesített Információs Műveleti Doktrína (Allied Join Doctrine for Information Operations) AJP-3.10 NATO dokumentációja: Psychological Operations (PSYOPS) mint lélektani műveletek; Presence, Posture and Profil (PPP) mint megjelenés, viselkedés és arculat; Operations Security (OPSEC) mint műveleti biztonság; Information Seurity (INFOSEC) mint információbiztonság; Key Leader Engagement (KLE) mint kulcsfontosságú vezetőkkel kapcsolatos tevékenység; Computer Network Operations (CNO) mint számítógép hálózati műveletek; Civil-Military Cooperation (CIMIC) mint civil- katonai együttműködés. 6

Információbiztonság tudatosság fejlesztésének alapjai Az információbiztonsági kockázatok kezelése részben az érintett kockázathoz tartozó fizikai, adminisztratív vagy logikai kontrollok bevezetése, részben a megjelölt műveleti alkalmazási területek által érintettek biztonságtudatossági képzése útján valósítható meg. A képzési rendszer kidolgozásánál az egyes műveleti területek célcsoportjai részére tekintettel az eltérő fenyegetésekre eltérő formai és tartalmi elemeket, módszereket szükséges használni. 7

Információbiztonság tudatosság fejlesztésének alapjai Innen már csak egy logikai lépés, hogy a civil területen egy vállalatban dolgozók vonatkozásában az eltérő munkakörök, szerepkörök, illetve az információfeldolgozás és hozzáférés módja, valamint a feldolgozott információk minősítése/besorolása alapján leképezésre kerüljön az információbiztonság tudatosság fejlesztésénél módszertani, formai és tartalmi szempontból diverzifikált képzések kialakítása. 8

Információbiztonság tudatosság fejlesztésének alapjai Érdekes adat: Magyarországi általános iskolai informatikai képzéssel egy tanuló mindösszesen 180 órát tölt el, ami a teljes minimális órakeret kevesebb mint 2%-a. A közép és felsőfokú oktatás is hasonlóan elhanyagolja az IBT fejlesztét. 9

Információbiztonság tudatosság fejlesztésének alapjai Az alapok hiányában nagyon fontos, hogy legyen egy egységes, alapozó jellegű, általános információbiztonság tudatosság tartalmi elem, mely vagy az egyes területek diverzifikált képzéseibe kerüljenek beépítésre, vagy pedig egységes módon egy minden felhasználó részére kötelező alapképzési kurzust/modult kell kialakítani. 10

Információbiztonság tudatosság fejlesztésének alapjai 2015-ben kiadott Digital Security Risk Management for Economic and Social Prosperity OECD kiadványban általános irányelvek szintjén megmaradt a tudatosság alapelve a következő formában: Tudatosság, szakértelem, képességfejlesztés, a felvezető szöveg pedig a következő: Minden érintettnek meg kell ismernie a digitális biztonságot fenyegető kockázatokat, és kezelésének módjait A megközelítés a 13 év alatt a biztonság szükségszerűsége irányából a kockázat menedzsment irányába lépett, azonban a felhasználói tudatosság súlya továbbra is kiemelt. 11

Információbiztonság tudatosság fejlesztésének alapjai Személyes tapasztalataimra támaszkodva meg tudom erősíteni: a legsúlyosabb információbiztonsági incidensünk egységes, megfelelően konfigurált piacvezető végponti védelmi szoftver mellett következett be, amit a felhasználónak nem megfelelő biztonságtudatos magatartása okozott. 12

Információbiztonság tudatosság Képzési rendszere nagyvállalati gyakorlat A felhasználók, illetve egyéb érintettek információbiztonságot érintő képzés elemei az egyes kontrollok, fenyegetések, illetve a védelem irányítási és architektúrális elemei között szétszórva jelennek meg. Nem tartom helyesnek ezt a fajta megközelítést, a terület fontosságát tekintve egy külön egységes blokkban szervezve kell megjelennie a képzési rendszernek, hiszen az információbiztonságot meghatározó többi védelmi kontrollhoz hasonlóan a képzés folyamatos fejlesztést igényel. 13

Információbiztonság tudatosság Képzési rendszere Social engineering jelenség Kevin D. Mitnick határozta meg, mely magyarul, nem szó szerinti fordítással azt jelenti, hogy a social engineering során a támadó az áldozat emberi tulajdonságait kihasználva, befolyásolás, meggyőzés, manipuláció, megtévesztés útján szerez meg információt technológia felhasználásával vagy anélkül. 14

Információbiztonság tudatosság Képzési rendszere Social engineering jelenség A social engineering téma beépítése javasolt a vezetők, erőforrásgazdák képzésébe, ugyanis jelentősen hozzájárulna egy social engineering támadás meghiúsításához: megfelelő ismereteket nyújtana a felhasználónak az árulkodó jelek elrejtésére és azok felismerésére a támadó tevékenységében, testbeszédében. 15

Információbiztonság tudatosság Képzési rendszere Social engineering jelenség Adathalász támadással összefüggő pszichológiai manipulációs eszköztár kibontása, illetve a védekezési technikák ismertetése véleményem szerint nagyban hozzájárul egy általános, minden felhasználóra kiterjesztett információbiztonság tudatosság fejlesztését célzó alapképzés sikeréhez. 16

Információbiztonság tudatosság Képzési rendszere lehatárolás 1 Valamennyi információs rendszert használó munkatárs vegyen részt a képzésen, ez az alap, az egységes alapképzés; Valamennyi erőforrás, illetve folyamatgazda részére az alapképzésen túl, kiegészítő oktatás útján szükséges képzéseket tartani, melyek során a vezetői információbiztonság irányában történő elkötelezettség és támogató szerep erősítését kell elérni: a minőségszemélet, az informatikai biztonság, biztonságszemlélet a kapcsolódó szabályozók ismerete, az incidens, katasztrófa, ügymenet folytonosságot érintő területeken elvárt magatartás; 17

Információbiztonság tudatosság Képzési rendszere lehatárolás 2 Valamennyi, információbiztonság szempontjából operatív feladatellátással érintett munkatárs részére az alapképzésen túl, kiegészítő oktatás kialakítása szükséges, az alábbi operatív, támogató és véleményformáló képesség fejlesztését megcélozva: elvárt információbiztonsági magatartások erősítése, incidenskezelés operatív végrehajtásával kapcsolatos tevékenységek fejlesztése, kapcsolódó szabályozási környezet ismerete és a benne foglaltak alkalmazása, információbiztonsági kontrolloknak történő megfelelőség területein. 18

Információbiztonság tudatosság Képzési rendszere - Forma Általános információ biztonság tudatosság fejlesztő képzés [e-learning, alapképzés, valamennyi felhasználó részére: belépéskor, illetve évente legalább egy alkalommal] 19 Információbiztonság megteremtésében, fenntartásában érintett résztvevők részére kiegészítő kurzus [e-learning, kompetenciafejlesztés, közreműködők részére] Vezetői kiegészítő kurzus [e-learning, kompetenciafejlesztés, vezetők részére] Informatikai üzemeltető kör részére workshop [jelenléti, informatikusok részére, évi 2 alkalommal] Biztonsági személyzet részére workshop [jelenléti, biztonsági személyzet részére, évi 2 alkalommal] Vezetők részére konzultáció [jelenléti, vezetők részére, évi 3 alkalommal]

Információbiztonság tudatosság Képzési rendszere Alapképzés Bevezető; Alapfogalmak ismertetése; Szabályozási környezet ismertetése; Fenyegetettségek, fenyegetések bemutatása, referenciamodell alkalmazásával; Social engineering témakör; Védelem kialakítása. 20

Információbiztonság tudatosság Képzési rendszere Alapképzés kiegészítő jelenléti konzultáció A fenyegetettség bemutatása tömbhöz kapcsolódó gyakorlati ismeretek, esettanulmányok, leírások, a hallgatóság bevonásával végrehajtott konzultációk; A social engineering témakörhöz kapcsolódóan a téma támadó oldali szemszögből történő bemutatása, rávilágítva az áldozati szerep elkerülésének gyakorlati módszereire: hogyan ismerjük fel, hogy manipulálni próbálnak, hogyan ne legyünk áldozatok, teendők social engineering támadás esetén. 21

Információbiztonság tudatosság Képzési rendszere Információbiztonság operatív szereplői részére Szabályozási környezet: felhasználói jelzések kezelése, kommunikációs formák és csatornák, incidenskezelés eljárásrend protokoll szintű elemei, felhasználók jogai, feladatai, kötelezettségei, üzemeltetők, biztonsági személyzet, incidenskezelők jogai, feladatai, kötelezettségei; Fenyegetettségek kezelése: eljárásrendek ismertetése fizikai biztonság, informatikai üzemeltetés és incidenskezelés területén Gyakorlati megközelítésben, példákkal, esettanulmányokkal színesítve; Kommunikáció, stresszkezelés: operatív feladatellátás során elvárt viselkedés, asszertív kommunikáció, stresszel járó szituációk kezelése. Social engineering: kockázatként megjelenő humán és számítógép alapú technikák gyakorlati példákon, esettanulmányokon keresztüli megközelítése. 22

Információbiztonság tudatosság Képzési rendszere Információbiztonság operatív szereplői részére workshop Informatikai üzemeltetés, incidenskezelés területén dolgozó munkatársak részére incidenskezeléssel kapcsolatos (detektálás, első lépések, elhárítás, tapasztalatok levonása, megszerzett tudás integrálása) ismeretek gyakorlatban történő elsajátítása, szimulált környezetben, játékos elemek segítségével. Biztonsági személyzet részére a fizikai biztonság környezetével kapcsolatos ismeretek elmélyítésére, a területre jellemző kockázatok, fenyegetettségek kezelésére vonatkozó tartalmi elemekkel, gyakorlati példákon keresztüli megközelítésben (shoulder surfing és dumpster diving, tailgating, piggybacking módszerek, objektumvédelem, védendő adatvagyon elemei, adatvédelmi kérdések). Szabályozókkal, szabályozási környezettel kapcsolatos feladatkataszter, RACI felelősségi tábla gyakorlati bemutatása. 23

Információbiztonság tudatosság Képzési rendszere Vezetői e-learning kurzus Szabályozási környezet: a szervezet és adatvagyon védelmének szemszögéből bemutatva az egyes szabályozó elemeket (jogszabályok, szabványok, ajánlások, információbiztonsági, adatvédelmi, minősített adatkezelést érintő kormánymegbízotti utasítások, a biztonsági vezető által kiadott szabályozó dokumentumok). Felhasználói és vezetői szinten meghatározott kötelesség felelősség rendszerét, követelményeit, a normasértés következményeit. Social engineering: a támadással összefüggő pszichológiai manipulációs eszköztár kibontása, illetve a védekezési technikák ismertetése során az alábbi témakörök részletes kifejtése: az adathalász technikák pszichológiai hátterének, kommunikációs eszköztárának a bemutatása; nézőpont váltás, mely a támadó oldaláról világít rá a biztonság alapvető kérdéseire; érintett részéről árulkodó jelek elrejtésére, a testbeszéd utalása; a támadó testbeszédében a manipulációs szándék felismerése. 24

Információbiztonság tudatosság Képzési rendszere Vezetői konzultáció Az információbiztonságot érintő szabályozók szervezeti szintű hatásai kapcsán felvetődött kérdések témájában javaslom a konzultációs forma alkalmazását. A kurzus másik felében, pszichológus, illetve social engineer szakértő bevonása mellett a vezetői e- learning képzésben megjelölt social engineering témákban tervezem a szerepjátékelemekkel gazdagított szituációs gyakorlatok levezetését. 25

Információbiztonság tudatosság Képzési rendszere Számonkérés Kurzus megnevezése Forma Résztvevők köre Előzetes szintfelmérés Kurzus zárásának feltétele Alapképzés Alapképzést kiegészítő jelenléti konzultáció E-learning Jelenléti Valamennyi felhasználó Valamennyi felhasználó Igen Nem Sikeres záróvizsga Aktív résztvétel 26 Információbiztonság operatív szereplői számára tartott képzés E-learning Informatikus, biztonsági személyzet Nem Sikeres záróvizsga Információbiztonság operatív szereplői számára tartott workshop Jelenléti Informatikus, biztonsági személyzet Nem Aktív résztvétel Vezetői e-learning kurzus E-learning Vezetők Nem Sikeres záróvizsga Vezetői konzultáció Jelenléti Vezetők Nem Aktív résztvétel

Információbiztonság tudatosság Képzési rendszere Képzés Projektszervezete Irányító bizottság Stakeholder Független szakértő Tervezési / adminisztratív Szakmai munkacsoport munkacsoport Minőségbiztosítás Oktatási / jogi szakértői csoport Belső szakértők Projektvezetés Irányítói szint Tartalom kialakításért felelős munkacsoport Szakmai munkacsoport Informatikai / információbiztonsági szakértői csoport Szakmai támogató Kockázat-menedzsment munkacsoport Belső ellenőrzés Implementációs munkacsoport Szakmai munkacsoport 27

Információbiztonság tudatosság fejlesztésének további lehetőségei Rendszeres hírlevél formájában, munkahelyen és a személyes térben is értelmezhető információbiztonsági kérdésekben információ közlés, tömör és közérthető formában; A rendkívüli, információbiztonságot érintő események kapcsán soron kívüli tájékoztató levél kiküldése valamennyi érintett felhasználó részére. Rendszereket érintő változások közlése céljából vezetői és felhasználói kört érintve normatív utasítások, tájékoztatók kiadása, a megismerés tényének igazolása és bizonyítása mellett. A Kormányhivatal hivatalos oldalán a szabadon terjeszthető besorolású információkat felhasználva, információbiztonsági tematikájú aloldal kialakítása, hír blokkal, eseménynaptárral, illetve a korábbi hírlevelek, tájékoztatók anyagának kivonatával. 28

Információbiztonság tudatosság fejlesztésének további lehetőségei Az információbiztonság felhasználói tudatosság szintjének erősítésének, illetve a kapcsolódó normakövető képesség ellenőrzését célzó kampányok kialakítása az információbiztonság tudatosság felhasználói szinten megjelenő elemeire, mint például tiszta asztal, tiszta képernyő, jelszó szabályok, felhasználói ismeretek; Információbiztonsági szakmai nap tartása nagyobb létszámú szervezeti egységek saját telephelyein, helyben = saját munkahelyén, a felhasználó szemszögéből saját környezetben kerüljön megvalósításra. Eredménye a kötetlenebb hangnemben, általános információbiztonsági tematikával, vagy egy adott aktuális - téma köré szervezett, kézzelfogható közelségbe került interaktív tematikus előadás. Információbiztonság tudatossággal összefüggő versenyek, vetélkedők megtartása, lehetőség szerint valamilyen kézzel fogható nyereménnyel, elismerő oklevéllel. 29

Információbiztonság tudatosság fejlesztésének további lehetőségei Informatikai üzemeltetésben és a biztonsági feladatellátásban részt vevők részéről felhasználóbarát és asszertív kommunikáció képességét fejlesztő tréningek kialakítása, a kompetencia elsajátításához szükséges értekezletek, megbeszélések tartása. Informatikai üzemeltetésben és a biztonsági feladatellátásban részt vevők részére rendszeres értekezlet, megbeszélés a területet érintő változásokról, megfelelőségek biztosításáról, az egyes rendszerelemek üzemeltetésével összefüggésben kiscsoportos megbeszélések, kampányok kialakítása. A Kormányhivatal, illetve a kapcsolódó szervezetek által szervezett rendezvényeken az információbiztonsági területet, a tudatosság fejlesztését erősítő jelenlét önálló stand, napirendi pont, workshop elem alkalmazása. 30

Információbiztonság tudatosság fejlesztésének Szinergikus hatásai A képzés eredményeként kialakult új ismeretek következtében a szervezeten belüli tematikus kommunikáció által, a közösségi tudás fejlődése útján a szervezeti kultúra szintjére gyűrűzik be az elsajátított tudás. A valamennyi felhasználó részére kötelező módon kiterjesztett képzés közösen megélt ingerek, érzelmek mellett közös célok jelennek meg: a szervezeten belül a formális kapcsolati szint mellett az informális szinten is új kapcsolatok kialakulását segíti, így vélemény és szervezetformáló hatása lesz. Egy statikus, szakmai feladatellátással foglalkozó szervezetben gondolatébresztő, vitatára ösztönző képzés, inspiráló, fejlődésre ösztönző légkör kialakulásához vezethet. 31

Információbiztonság tudatosság fejlesztésének további hatásai Az egyes feladatellátás és szerepkör által lehatárolt csoportokra kialakított kurzusok alkalmával, a workshop és konzultáció oktatási formák által teremtett szabad, alkotói légkör hozzájárul a munkatársak szervezeti elköteleződéséhez, eszköz lehet a fluktuáció mérsékléséhez. A képzési rendszer egésze alkalmas arra, hogy a szervezet munkatársai a közösen végzett, illetve egymásra épülő feladatellátás során, az adott információbiztonságot érintő területet eltérő nézőpontokból látva, a mások nézőpontjának megismerése révén lokális szinten szinergikus, egymást erősítő hatás kialakulását segítse elő. 32

Információbiztonság tudatosság fejlesztése példa 33

Minden háború az első csata előtti utolsó pillanatban dől el. Szun Vu 34 Köszönöm szépen a megtisztelő figyelmüket Bubán Márton EIVOK-6. Információbiztonsági Szakmai Fórum 2018.10.04

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés