Znaczenie działu HR w systemie zarządzania bezpieczeństwem

Zarządzanie zasobami ludzkimi (eng. Human Resources) odgrywa bardzo ważną rolę w rozwoju każdej organizacji. Jednym z kluczowych zadań popularnego HR'u jest zapewnienie, że organizacja posiada wykwalifikowanych i zaangażowanych pracowników, którzy kolektywnie pomogą jej w realizacji strategicznych celów biznesowych. Budowanie kompetentnej, na każdym poziomie ma wpływ nie tylko na efektywność i konkurencyjność przedsiębiorstwa, ale także w szerszej perspektywie na jego renomę.

Biorąc pod uwagę specyfikę pracy, dział HR bardzo często ma styczność z informacjami o charakterze poufnym. Począwszy od 'zwykłych' danych kontaktowych, ubezpieczeniowych czy też bankowych na dokumentacji medycznej oraz sądowej kończąc. Jeżeli połączymy to z popularyzacją pracy w modelu zdalnym, która potęguje ryzyko związane z przesyłaniem oraz archiwizowaniem informacji, stosowanie podwyższonych wymogów bezpieczeństwa w tym obszarze jest absolutnie konieczne. Spośród szerokiej listy współczesnych wyzwań cybernetycznych, powiązanych z zarządzaniem zasobami ludzkimi przedstawiamy te które wg. nas zasługują na szczególną uwagę:

Zgodność z przepisami o ochronie danych osobowych
Przepisy o ochronie danych na całym świecie szybko się rozwijają. Najbardziej rozpoznawalnym jest unijne rozporządzenie RODO, ale inne kraje również zaczynają regulować ten obszar jak np. ustawa LGPD w Brazylii czy tez CCPA w USA (stan Kalifornia).

Poruszanie się po tych skomplikowanych przepisach nierzadko stanowi problem, a brak ich przestrzegania może skutkować wysokimi grzywnami i szkodami dla reputacji firmy. Przykładowo naruszenie RODO może kosztować organizacje do 20 milionów euro lub 4% ich globalnych przychodów, w zależności od tego, która kwota jest wyższa.

Praca zdalna lub hybrydowa
Wiele osób pracujących spoza biura, korzysta z urządzeń służbowych do celów niekoniecznie związanych z pracą, albo łączy się z niezabezpieczonymi sieciami Wi-FI (np. ogólnodostępny 'hot-spot'). Powołując się na najnowsze badania już ponad 70% firm doświadczyło różnej skali incydentów wynikających z pracy w nieodpowiednio zabezpieczonym środowisku. Brak mechanizmu uwierzytelniania wieloskładnikowego (eng. Multi Factor Authentication - MFA), obowiązku korzystania z wirtualnych sieci prywatnych (eng. virtual private network- VPN) czy też rozwiązań do monitorowania punktów końcowych takich jak programy antywirusowe, znacząco podnosi ryzyko takich zdarzeń.

Popularyzacja Sztucznej Inteligencji

O zagrożeniach powiązanych ze Sztuczna Inteligencja pisaliśmy już w tym artykule, ale warto dodatkowo podkreślić jaki wpływ na budowanie świadomość o nowopowstałych ryzykach ma dział HR. Wszechstronność oraz łatwość w dostępie do różnego rodzaju 'chatbotów' sprzyja sytuacjom, w których 'dzielimy się z nimi' informacjami o charakterze poufnym, co można zakwalifikować jako wyciek danych. Dlatego bardzo ważne jest to, żeby już od pierwszego dnia pracy (np. w trakcie szkoleń wprowadzających) uświadamiać nowozatrudnionych, że jest to zabronione.

Partnerstwa zewnętrzne

Biorąc pod uwagę fakt, iż wiele organizacji opiera swoją działalność na zlecaniu części pracy firmą trzecim (eng. outsource), istotne jest aby przed podjęciem decyzji o nawiązaniu takiej współpracy przeprowadzić audyt cyberbezpieczeństwa. Identyfikacja rozbieżności w zakresie ochrony danych osobowych, zgodności z przepisami czy też reagowania na incydenty bezpieczeństwa pozwoli uniknąć potencjalnych kar lub szkód wizerunkowych.

Ataki typu ransomware na systemy HR
Ransomware to typ złośliwego oprogramowania (wirusa), które szyfruje pliki a następnie żąda okupu za ich odzyskanie. Ataki tego typu są jednymi z 'najpopularniejszych' i najszybciej rozwijających się cyberzagrożeń. Cyberprzestępcy bardzo często za cel obierają systemy HR, z uwagi na charakter (poufność) danych przetwarzanych z ich pośrednictwem. Osoby posiadające uprawnienia do takich aplikacji, powinny być wyczulone na próby tak zwanej inżynierii społecznej (eng. social engineering), a wiec techniki umożliwiających nieautoryzowane pozyskiwanie informacji.

Mając na uwadze wyżej wymienione przykłady (podkreślając jednocześnie, że lista nie obejmuje wszystkich zagrożeń), nie można nie dostrzec kluczowego znaczenia zespołu HR w procesie zarządzania bezpieczeństwem informatycznym. Zgodnie z najlepszymi praktykami płynącymi ze standardu ISO 27001, czy tez wymaganiami dyrektywy NIS2 (więcej o NIS2 przeczytasz tutaj), można śmiało stwierdzić, że bez zaangażowania działu kadr organizacja nie jest w stanie sprostać współczesnym wymaganiom w zakresie cyberbezpieczeństwa. HR nie tylko wspiera budowę świadomości bezpieczeństwa ale również pomaga osiągnąć zgodność z obowiązującymi przepisami. Do najważniejszych działań leżących w gestii działu kardy można zaliczyć:

Rekrutacja oraz proces wdrażania nowo zatrudnionych

Wstępna weryfikacja kandydata stanowi elementarną cześć procesu rekrutacji. Z perspektywy bezpieczeństwa ważnym aspektem tego procesu jest chociażby sprawdzenie dotychczasowej historii zatrudnienia, posiadanych uprawnieni czy też rejestru kryminalnego. Zespoły HR jako pierwsze są w stanie sprawdzić czy danych kandydat jest osobą godną zaufania. Ponadto, już po zatrudnieniu ważne jest to, aby nowi pracownicy otrzymali odpowiednie szkolenie w zakresie zasad i procedur bezpieczeństwa. Wyposażeni w tę wiedzę są w stanie spełnić standardy i oczekiwania organizacji w zakresie bezpieczeństwa informacji, promując w ten sposób kulturę pracy w bezpiecznym środowisku.

Kontrola dostępów

Zarządzanie dostępem do poufnych informacji ma kluczowe znaczenie dla ochrony danych organizacji. System bazujący na zasadzie „najmniejszych uprawnień” (eng. least privilege), zapewnia pracownikom dostęp tylko do informacji niezbędnych do pełnienia przez nich obowiązków. Jest to dobra metoda kontrolowania dostępu do poufnych danych i ograniczania ryzyka niewłaściwego ich wykorzystania. Niemniejsze znaczenie ma również przeprowadzanie regularnych przeglądów oraz aktualizacja listy praw dostępu.

Szkolenia podnoszące świadomość

Programy świadomościowe są fundamentem budowy oraz wzmacniania bezpieczeństwa organizacji. Regularne sesje szkoleniowe informują pracowników o najnowszych zagrożeniach i najlepszych praktykach bezpieczeństwa, promując proaktywne podejście do cyberbezpieczeństwa. Ponadto regularne sesje 'odświerzające wiedze', sprawiają że pracownicy nie zapomną o obowiązujących zasadach i procedurach. Pracownicy muszą być świadomi wartość informacji, które przetwarzają, i traktować je z należytą ostrożnością, a zaangażowanie zespołu HR po raz kolejny jest tutaj niezbędnie. Format oraz kształt szkolenia zależy od wielu czynników (nb. wielkość organizacji) - do najbardziej popularnych można zaliczyć:

Regularne warsztaty dotyczące cyberbezpieczeństwa
Kursy e-learningowe
Szkolenie symulacyjne cyberataki

Odejście pracownika

Kiedy pracownicy opuszczają organizację, HR koordynuje proces skoncentrowany na odebraniu wszystkich uprawnień (zarówno fizycznych jak i cyfrowych). Ponadto kadry pośrednio odpowiadają również za zwrot aktywów spółki (np. sprzęt komputerowy) co pozwala ograniczyć ryzyko wycieku danych lub nieautoryzowanego dostępu. Należy pamiętać, że proces ten musi zostać odpowiednio udokumentowany na co jednoznacznie wskazuje dyrektywa NIS2.

Patrząc holistycznie dział HR jest jednym z kluczowych elementów ekosystemu bezpieczeństwa. Uzbrojenie go w wiedze oraz odpowiednie narzędzia pomoże w podniesieniu poziomu bezpieczeństwa jak również ułatwi proces adaptacji do współczesnych standardów. Jeżeli potrzebujesz pomocy w zakresie szkoleniowym lub chciałbyś skonsultować któryś z opisanych wyżej aspektów bezpieczeństwa, zapraszamy do kontaktu z przedstawicielami firmy ACE.

Autor: Grzegorz P.