Blog > Komentarze do wpisu
Lekceważone bezpieczeństwo personelu

Kiedy przeglądarka internetowa stała się podstawowym programem na komputerze i powstają projekty systemów operacyjnych służących głównie uruchomieniu przeglądarki, trochę w cieniu "dziur w aplikacjach" pozostają pewne tradycjne aspekty zapewnienia bezpieczeństwa. Przykładem takich zapomnianych obszarów bezpieczeństwa jest bezpieczeństwo osobowe, albo bezpieczeństwo zasobów ludzkich. Pisaliśmy już o przykładzie błędu w zarządzaniu bezpieczeństwem osobowym 

Wystawiając jakąś usługę do Internetu (zwykle) pamiętamy, że próbować może z niej skorzystać każdy - stąd zwykle jest w nich wiele zabezpieczeń. Pracownicy, np. administratorzy mogą zrobić więcej, więc powinniśmy móc im zaufać. Według standardu zarządzania bezpieczeństwem informacji ISO 27001, "cykl życia" pracownika w organizacji składa się z trzech etapów:

  • przed zadrudnieniem,
  • podczas zatrudnienia,
  • przy zakończeniu lub zmianie zatrudnienia.

Przed zatrudnieniem powinniśmy określić wymagania wobec pracownika i zweryfikować, czy te wymagania spełnia. Tu pojawia się "postępowanie sprawdzające, czyli background screening.

Podczas zatrudnienia, powinniśmy wymagać od pracowników przestrzegania określonych zasad, szkolić pracowników, a w razie naruszenia zasad - wyciągać konsekwencje. Przy zakończeniu zatrudnienia zadbać odebranie uprawnień dostępu i "aktywów". To czasem ignorowany kompletnie aspekt, bo nieodebranie uprawnień zwykle przeszkadza mniej, niż nienadanie uprawnień człowiekowi, który jest w pracy.

Niepowodzenie w doborze personelu może powodować duże konsekwencje. Podczas gruniowych ataków na Twittera pojawiły się sygnały, że do podmiany wpisów DNS wykorzystano konta administratorów serwisu - pojawiły się podejrzenia, że pracownik Twittera mógł być członkiem grupy, która dokonała ataku. Do kont ludzi Twittera włamywano się jednak już wcześniej. Także we włamaniu do usług Google w Chinach sygnalizuje się możliwość działania pracowników firmy.

Czasami porażkę powodują znudzeni ochroniarze w banku.

Kiedy pojawiły się pierwsze komunikaty o kradzieży napisu z Auschwitz  byłem przekonany, że okaże się, że przynajmniej niektórzy ochroniarze są neonazistami lub z nimi współpracowali. Byłby to przykład porażki w postępowaniu sprawdzającym. Na szczęście nic na to nie wskazuje.

Coś jednak się zmienia. W USA wzrasta odsetek pracowników poddawanych postępowaniom sprawdzającym. Problem dopuszczalności przeprowadzania postępowania sprawdzającego dostrzegli Generalny Inspektor Ochrony Danych Osobowych i Minister Pracy i Polityki Społecznej  (także tu). Co ciekawe, z artykułu wynika, że sprawdzanie przeszłości pracownika jest niedopuszczalne - a z taką tezą zgodzić się nie mogę. Zakres informacji, które można zbierać jest ograniczony przepisami art. 221, ale nie do takiego stopnia, aby uniemożliwiać sprawdzenie przeszłości kandydata do pracy. Słabo wygląda jednak kwestia sprawdzania niekaralności kandydata, jeśli nakazuje tego pracodawcy przepis ustawowy.

czwartek, 28 stycznia 2010, tmkasprzak

Polecane wpisy