Защо е важно обучението на персонала?

Опитът показва, че обученията не винаги се възприемат добре от организациите. Много често се случва да чувам изявления като: нашият персонал е компетентен и няма нужда от обучения, или това са неща, които се знаят, нямаме време за обучения и др. Когато говорим за обучения по СУСИ, положението не е по-различно. Най-често причината е в неразбирането на това какво представлява сигурността на информацията. Възможно е да сте създали перфектните политики или процедури, но ако те не се прилагат реално на практика, какъв е смисълът? Важно е служителите да са наясно защо е необходима сигурността на информацията и как да изпълняват техните задължения, така че да се постигне тази сигурност.

Изисквания

Изискванията по отношение на компетентността на персонала са посочени в т.7.2 от ISO/IEC 27001:2022. Те включват:

• определяне на необходимата компетентност на лицата, които имат отношение към сигурността на информацията. При разработване на СУСИ се определят отговорностите и пълномощията на лицата, които имат отношение към СУСИ. На този етап става ясно какви са необходимите знания и умения. Ако системата е вече внедрена, може да се наложи да се прегледат всички документи, за да се събере информация за необходимите знания и умения.
• гарантиране, че знанията и уменията са постигнати на базата на подходящо образование, обучение и опит. За наличните знания и умения на служителите, организацията трябва да разполага със съответните доказателства като диплома за завършено образование, сертификат/удостоветение/протокол за преминато обучение, документи, удостоверяващи опит на определена позиция.
• провеждане на обучения, за да се постигне желаното ниво на компетентност. Организацията не винаги разполага с идеалния служител, покриващ всички изисквания за компетентност за съответната длъжност. В такива случаи се планират и провеждат обучения за постигане на желаното ниво. Важен момент тук е оценяването на ефикасността на предприетите действия, т.е. дали след като е преминало съответното обучение, лицето е придобило необходимите знания и може да ги прилага на практика. Оценяването може да се извърши чрез решаване на тест, разговор/интервю, практическа демонстрация и др. Ако се установят пропуски се планира допълнително обучение. Процесът се повтаря докато организацията не се увери, че лицето е придобило необходимите знания.

Няма изрично изискване за документиране на планираните обучения, но е добра практика те да бъдат документирани в отделен документ – план за обучения.

Методи на обучение

Обученията могат да се провеждат под различна форма, като например:

• курсове по ISO/IEC 27001 – представяне на информация за различни направления, свързани със сигурността на информацията като ISO/IEC 27002, ISO/IEC 27005, ISO/IEC 270018 и др.;
• самообучение чрез четене на различна литература за сигурност на информацията;
• участия в експертни групи или форуми;
• вътрешни обучения предоставяни от вътрешни или външни експерти.

Осъзнаване

Провеждането на обучения в организацията е свързано с осъзнаването на персонала – т.7.3 от ISO/IEC 27001:2022. Но, ако изброените по-горе методи на обучения дават отговор на въпроса „Как?“, то за осъзнаването е необходим отговор на въпроса „Защо?“. За да се обясни на служителите защо е необходима сигурността на информацията се използват малко по-различен тип методи на обучение, които имат за цел да привлекат тяхното внимание и да го насочат към разбиране и приемане на представената информация. Такива методи могат да бъдат:

• създаване на кратки презентации или видеоклипове с информация по темата за сигурността на информацията;
• провеждане на дискусии във вътрешната мрежа или чрез форуми;
• публикуване на статии в интранет или бюлетин на организацията;
• изпращане на имейли с актуална информация по темата;
• провеждане на редовни срещи за обсъждане на нови изисквания, политики, заплахи, инциденти, технологии и др.

За постигане на добри резултати е важно този тип обучения да се провеждат периодично, независимо от избрания метод или комбинация от методи.

Ползи от обученията

Когато служителите разбират защо и как да прилагат правилата за сигурност на информацията, организацията ще усети промяна в посока:

• по-добро и ефективно прилагане на правилата на политиките за сигурност;
• намалени разходи от инциденти или пробиви;
• по-висока степен на предпазливост от страна на служителите;
• подобрена репутация и по-голяма надеждност.

 

Източник на изображението