Organizacijska varnost

0

V prispevku bomo predstavili področje organizacijske varnosti in poglede različnih tujih avtorjev ter njihova dela, ki se osredotočajo na organizacijsko varnost. Gre za preučitev njihovih teoretičnih konceptov in prispevkov k razumevanju varnostnih izzivov v organizacijskem okolju.

Adéle da Veiga, Liudmila V. Astakhova, Adéle Botha, Marlien Herselman

Avtorji strokovnega članka Defining organisational information security culture – Perspectives from academia and industry so Adéle da Veiga, Liudmila V. Astakhova, Adéle Botha in Marlien Herselman. Medtem ko Adéle da Veiga, Adéle Botha in Marlien Herselman prihajajo iz Johannesburga v Južni Afriki, kjer so zaposlene kot profesorice na Univerzi v Južni Afriki (UNISA), Liudmila V. Astakhova prihaja iz Čeljabinska v Rusiji, kjer deluje kot profesorica na katedri za informacijsko varnost Univerze Južni Ural.

Članek Defining organisational information security culture: Perspectives from academia and industry opredeljuje kulturo informacijske varnosti kot ključni del širše organizacijske varnosti. Avtorji definirajo kulturo informacijske varnosti kot sklop vrednot, prepričanj in praks, ki vplivajo na način, kako organizacija obravnava zaščito informacij. Poudarjajo, da vključuje jasno opredeljene politike, aktivno podporo vodstva, ustrezno informacijsko-komunikacijsko okolje ter vedenje zaposlenih, ki krepi zaupanje med vsemi deležniki. Po avtorjih je močna kultura informacijske varnosti rezultat usklajenosti teh elementov. To pomeni, da organizacije potrebujejo skladnost med notranjimi dejavniki (organizacijska struktura, vodenje, človeški dejavniki) in zunanjimi vplivi (regulative, konkurenca), da bi učinkovito zaščitile svoje informacije in ohranile zaupanje. Avtorji raziskave združujejo teoretične in praktične poglede ter razvijajo definicijo, ki služi kot uporabno orodje za implementacijo in raziskovanje, tako tudi omogočajo organizacijam, da bolje razumejo in vzpostavijo kulturo informacijske varnosti kot del celotne organizacijske varnosti.

Codee Roy Ludbey, David Jonathan Brooks, Michael Patrick Coole

Codee Roy Ludbey, David Jonathan Brooks in Michael Patrick Coole so avtorji poglavja Corporate Security: Identifying and Understanding the Levels of Security Work in an Organisation v delu Asian Journal of Criminology. Avtorji prihajajo iz Avstralije, kjer delujejo kot profesorji na Edith Cowan Univerzi.

Poglavje Corporate Security: Identifying and Understanding the Levels of Security Work in an Organisation raziskuje, kako se organizacijska varnost razvija in deluje znotraj sodobnih podjetij. Avtorji definirajo organizacijsko varnost kot področje, ki deluje predvsem na operativni in taktični ravni, medtem ko njen vpliv na strateških oziroma višjih ravneh odločanja, ostaja omejen. Po njihovem mnenju je organizacijska varnost del tehnostrukture podjetij, kjer zagotavlja analitično podporo poslovnim operacijam, vendar ne posega neposredno v izvršne odločitve. Raziskava avtorjev razkriva pomembna neskladja med tem, kako varnostni praktiki in akademiki razumejo organizacijsko varnost, ter kako jo prikazuje socio-organizacijska literatura. To nakazuje potrebo po dodatnih raziskavah, da bi bolje razumeli vpliv organizacijske varnosti na izvršno raven podjetja. Avtorji opozarjajo na pomembne posledice za politiko, izobraževanje in širšo skupnost, kot so težave pri kariernem napredovanju varnostnih strokovnjakov, omejen napredek k večji profesionalizaciji in slabo zasnovani izobraževalni programi. Prav tako poudarjajo, da bi morale izvršne ravni podjetij nadzorovati funkcijo organizacijske varnosti, vendar ta funkcija ne bi smela neposredno vplivati na njihovo odločanje.

 Anthonie Bastiaan Ruighaver, Sean B. Maynard, Shanton Chang

Anthonie Bastiaan Ruighaver, Sean B. Maynard in  Shanton Chang so avtorji strokovnega članka Organisational security culture: Extending the end-user perspective. Avtorji prihajajo iz Avstralije, kjer delujejo kot profesorji pod katedro za informacijske sisteme na Univerzi v Melbournu.

Članek Organisational Security Culture: Extending the End-User Perspective raziskuje koncept varnostne kulture z vidika organizacijske varnosti, pri čemer avtorji poudarjajo, da varnost ni zgolj tehnični problem, temveč tudi upravljavski izziv. Avtorji predlagajo definicijo organizacijske varnosti, ki vključuje večdimenzionalen pristop k razumevanju varnostne kulture z upravljavske perspektive. V ta namen avtorji uvajajo okvir osmih dimenzij, ki obsega zaupanje, vedenje, sodelovanje, komunikacijo, zavezanost, ozaveščenost, motivacijo in vrednote, ta okvir je zasnovan z namenom, da preseže tradicionalni fokus na tehnične in uporabniške vidike ter ponudi celovit pristop k analizi varnostne kulture. Prav tako so avtorji mnenja, da ima varnostna kultura v organizaciji ključno vlogo pri zagotavljanju varnosti informacijskih sistemov. Članek poudarja, da organizacijska kultura lahko pomembno vpliva na varnostne politike in lahko predstavlja ovire za spremembe. Avtorji priporočajo prilagoditev tehničnih ukrepov in politik, da bi bolje podprli organizacijsko varnostno kulturo, kar je ključno za učinkovito obvladovanje varnostnih izzivov.

Pauline A. Chia, Sean B. Maynard in Anthonie Bastiaan Ruighaver

Pauline A. Chia, Sean B. Maynard in Anthonie Bastiaan Ruighaver so avtorji poglavja Understanding Organizational Security Culture v delu Information Systems: The Challenges of Theory and Practice, Avtorji prihajajo iz Avstralije, kjer delujejo kot profesorji, pod katedro za informacijske sisteme na Univerzi v Melbournu.

Avtorji so v svojem delu razpravljali o organizacijski varnosti, predvsem v kontekstu organizacijske varnostne kulture. Njihova definicija pojma se nanaša na niz politik, postopkov in ukrepov, ki jih organizacija sprejme za zaščito svojih informacijskih sredstev pred grožnjami. Avtorji v svojem delu poudarjajo pomen uspešno zasnovane varnostne politike, izobraževanje zaposlenih o raznih varnostnih ukrepih ter politikah, podporo vodstva ter pomen kulture za katero menijo, da lahko bodisi ovira izvajanje varnostnih politik, bodisi izboljša izvajanja varnostnih ukrepov, glede na njeno vlogo oziroma uporabo. Ključno avtorji menijo, da za učinkovito organizacijsko varnost ni dovolj le tehnologija ter tehnološke rešitve, temveč je potrebno oblikovati kulturo, ki podpira varnostne ukrepe, kateri pa vključujejo elemente naštete zgoraj.

Richard G. Taylor in Jeff Brice Jr.

Richard G. Taylor in Jeff Brice Jr. sta avtorja članka Fact or fiction? A study of manegerial perceptions applied to an analysis of organizational security risk, oba prihajata iz Združenih držav Amerike, kjer delujeta kot profesorja na ekonomski šoli Jesse H. Jones, pod okriljem Teksaške Južne Univerze.

Richard G. Taylor in Jeff Brice Jr organizacijsko varnost obravnavata z vidika, kako menedžerji zaznavajo varnost in kakšne ukrepe sprejemajo za njeno zagotavljanje, kar nas posledično pripelje do spoznanja, da organizacijsko varnost definirata kot proces, pri katerem menedžerji in drugi zaposleni v podjetju sprejemajo ukrepe za zaščito informacij, intelektualne lastnine in drugih pomembnih podatkov pred zunanjimi in notranjimi grožnjami. Tudi ta avtorja sta mnenja, da se menedžerji prepogosto zanašajo na tehnološke ukrepe pri čemer zanemarjajo človeški vidik varnosti, kritizirata tudi preveč optimistične poglede menedžerjev na varnost v podjetju, kateri pogosto izhajajo iz pomanjkljivih informacij ali zaupanja v tehnologijo in zunanje strokovnjake, da bi pa zmanjšali ta varnostna tveganja, sta avtorja mnenja, da se morajo upoštevati tudi dejanja zaposlenih, izboljšati notranji nadzor in redno izvajati celovite varnostne preglede, ki vključujejo tudi človeški element. Misel tako zaključita s tem, da je za učinkovito upravljanje organizacijske varnosti ključno, da menedžerji prepoznajo razlike med svojo percepcijo varnosti in dejanskim stanjem. Le tako lahko razvijejo ustrezne strategije za zaščito podatkov in zmanjšanje tveganj, ki izhajajo iz človeških napak ali neustreznega ravnanja z informacijami.

Steven Furnell in Nathah Clarke

Steven Furnell in Nathan Clarke sta napisala delo Organisational Security Culture: Embedding Security Awerness, Education and Training, oba sta iz Velike Britanije, kjer Steven Furnell deluje kot profesor kibernetske varnosti v okviru Univerze v Nottinghamu, Nathan Clarke pa deluje kot profesor kibernetske varnosti in digitalne forenzike na Univerzi v Plymouthu.

Avtorja v svojem delu o organizacijski varnosti izpostavljata, da je ključ do uspešne varnostne kulture v organizaciji, ozaveščenosti in razumevanju varnosti. Organizacijsko varnost opredeljujeta kot stanje, v katerem vsi zaposleni razumejo pomen varnosti in aktivno sodelujejo pri zaščiti sredstev organizacije. Ključni elementi, katere sta avtorja navedla so i. ozaveščenost zaposlenih, kjer mora vsak zaposleni razumeti, kako varnost vpliva nanj in kako lahko prispeva k skupni varnosti organizacije, kar aktivno zmanjšuje možnost, da bi varnostne zadeve dojemali kot problem nekoga drugega, ii. varnostno usposabljanje, katero bi zaposlenim omogočalo, da razumejo varnostne grožnje ter pravilno uporabijo varnostne ukrepe ter sisteme, iii. formalna izobrazba, kjer avtorja ugotavljata, da veliko oseb odgovorne za varnost, nimajo formalne izobrazbe za svojo vlogo, kar predstavlja dodatno tveganje za organizacijo, zato menita, da je nujno zagotoviti formalno izobraževanje in certificiranje teh posameznikov, iv. vključevanje varnosti v poslovne procese, kjer sta avtorja menja, da morajo varnostne politike in postopki biti vključeni v vsakodnevne operacije in odločitve, s čimer se zagotavlja, da so varnostni ukrepi dosledno upoštevani ter izvajani. Kot zaključek pa avtorja še poudarita, da je za vzpostavitev varnostne kulture nujno, da jo podpira vrh organizacije, saj lahko ustrezno varnostno izobraževanje in ozaveščanje bistveno pripomoreta k zaščiti organizacijskih sredstev in skladnosti z zakonodajo.

Viri:

  • Da Veiga, A., Astakhova, V., L., Botha, A., Herselman, M. (2020). Defining organisational information security culture – Perspectives from academia and industry. ScienceDirect, Elsevier.
  • Ludbey, R., C., Brooks, J., D., Coole, P., M. (2018). Corporate Security: Identifying and Understanding the Levels of Security Work in an Organisation, Jianhong, L. (ur.), Asian Journal of Criminology, (str. 109-128).
  • Ruighaver, B., A., Maynard, B., S., Chang., S. (2007). Organisational security culture: Extending the end-user perspective. ScienceDirect, Elsevier.
  • Chia, P., A., Maynard, S., B., Ruighaver, A., B. (2003). Understanding Organizational Security Culture. Hunter, M., G., Dhanda, K., K. (ur.), Information Systems: The Challenges of Theory and Practice, (str. 335 – 365).
  • Tayor, G., R., Brice, J., Jr. (2012). Fact or fiction? A study of manegerial perceptions applied to an analysis of organizational security risk.
  • Furnell, S., Clarke, N., (2005). Organisational Security Culture: Embedding Security Awarness, Education and Training.

Katarina Štefanič, Andrej Kovačič                                                E: info@varensvet.si

Uvodna fotografija: Pixabay

Deli z ostalimi.

Komentarji so onemogočeni.