Personálna bezpečnosť

V komunite informačnej bezpečnosti sa s určitou mierou irónie zvykne hovorievať, že najväčšie riziko v prevádzke informačných systémov sa nachádza medzi obrazovkou počítača a kancelárskou stoličkou. Toto tvrdenie nie je príliš vzdialené od reality.

Dátum publikácie:2. 12. 2019
Autor:Ing. Ivan Makatura

 

tt_mibil-notebook

Používateľ - ako prvok kybernetického priestoru

Podľa ustanovenia Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti sa pod pojmom kybernetický priestor chápe globálny, dynamický, otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi.

Aj keď máme niekedy tendenciu prirovnávať virtuálny svet k nášmu známemu fyzickému svetu, je to príliš umelé zjednodušenie. Predovšetkým, kybernetický priestor je v oveľa vyššej miere interaktívny svet. Digitalizácia identít a vzťahov zásadne rozšírila hranice toho, ako a prečo ľudia komunikujú. Kybernetický priestor preto vytvára určité jedinečné psychologické črty, ktoré formujú správanie ľudí v tejto novej sociálnej oblasti. Navyše, v rôznych online prostrediach, je možné badať rôzne synergické kombinácie týchto vzorcov správania, čo vedie k odlišnej psychologickej kvalite každého prostredia. To, ako sa ľudia v kybernetickom priestore správajú, je vždy komplexnou interakciou medzi vlastnosťami kybernetického priestoru a charakteristikami osoby.

Kybernetický priestor si nemožno vysvetľovať len ako technologickú a infraštruktúrnu doménu. Osoby vykonávajúce aktivity v kybernetickom priestore sú bezpochyby súčasťou kybernetického priestoru. Ba čo viac – v istých súvislostiach predstavujú vyššie riziko než samotná technológia, ktorá má, našťastie, zatiaľ stále merateľné a kontrolovateľné vývojové obmedzenia. Z toho dôvodu je potrebné ošetriť zodpovednosti osôb za ich interakcie s kybernetickým priestorom, najmä v pracovnoprávnych a obdobných vzťahoch.

Pred začatím zmluvného vzťahu

Je v záujme vedenia organizácie, aby zamestnanci a zmluvní partneri rozumeli svojej zodpovednosti v kontexte požiadaviek na zaručenie bezpečnosti informačných aktív. Prijatí zamestnanci a kontrahovaní zmluvní partneri by mali mať príslušnú kvalifikáciu a mali by byť vhodní na výkon rolí, ktoré im boli pridelené.

Je bežnou praxou, že oddelenie ľudských zdrojov ešte pred začatím pracovného pomeru alebo zmluvného vzťahu preveruje, či je kandidát vhodný na výkon danej roly. Takáto verifikácia, pravdaže, musí prebehnúť v súlade s platnou právnou úpravou ochrany súkromia a musí byť vykonaná etickým, ale zároveň dôveryhodným spôsobom. Pri tomto procese je tiež potrebné vziať do úvahy konkrétne požiadavky, ktoré budú kladené na príslušnú pracovnú rolu, klasifikačný stupeň informácií, ku ktorým bude budúci zamestnanec pristupovať a aj kybernetické bezpečnostné riziká, ktoré súvisia s príslušnou pracovnou rolou.

Typicky sa v tomto procese overuje uspokojivosť referencií o povahových vlastnostiach kandidáta, úplnosť a pravdivosť poskytnutého životopisu. Považuje sa za samozrejmosť, že budúci zamestnávateľ vyžaduje potvrdenie akademickej a profesnej kvalifikácie uchádzača. Pri niektorých kritických pracovných pozíciách, ktoré napríklad budú prichádzať do styku s citlivými informáciami, prípadne ktoré sú zaradené v oblasti informačnej bezpečnosti, auditu, riadenia rizika alebo právnych služieb, sú bežné aj detailnejšie previerky (napr. výpis z trestného registra).

Transparentnosti procesu overovania uchádzačov výrazne napomôže, ak má organizácia tieto postupy sformalizované vopred. Napríklad, je užitočné definovať kritériá výberu a obmedzenia pre verifikačné previerky a určiť, kto je oprávnený preverovať uchádzačov, ako aj stanoviť, kedy, akým spôsobom a pre ktoré pracovné pozície sa verifikačné previerky vykonávajú.

Podobný proces verifikácie môže byť vykonaný aj pre zmluvných partnerov, agentúrnych zamestnancov a dočasné typy pracovnoprávnych vzťahov. V týchto prípadoch by mala zmluva medzi organizáciou a sprostredkovateľskou agentúrou alebo dodávateľom vopred určiť zodpovednosť za vykonanie preverenia a za postupy notifikácie.

V neposlednom rade (v závislosti od konkrétnej jurisdikcie) by uchádzači mali byť vopred informovaní o tom, že podstúpia verifikačnú previerku.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

Personálna bezpečnosť

 

 

 

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

 

 

Chcete mať pravidelné informácie o novinkách a aktuálnej ponuke?

Prihláste sa na odber noviniek e-mailom!

Súvisiace dokumenty

Súvisiace odborné články

Súvisiace právne predpisy ZZ SR

  • 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
  • 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Funkcie

Partner