Poveznica između kibernetičke i informacijske sigurnosti i opće sigurnosti na radu može se sagledati kroz nekoliko ključnih aspekata – u nastavku se donosi strukturirano objašnjenje.
1. Okviri i koncepti sigurnosti
Na blogu se navodi da „sigurnost je proces održavanja prihvatljivog nivoa rizika“. U općoj sigurnosti na radu (OSH – Occupational Safety & Health) slično: cilj je upravljati rizicima – sprječavati ozljede, bolesti, nesreće, štetne uvjete rada.
Kod informacijske/kibernetičke sigurnosti riječ je o zaštiti podataka, sustava i mreža (povjerljivost, integritet, dostupnost).
Poveznica: Upravljanje rizicima je temelj i jedne i druge domene. I u informacijskim sustavima i na radnom mjestu, potrebno je identificirati prijetnje (fizičke, tehničke, ljudske), procijeniti ih i primijeniti mjere.
2. Fizičke mjere sigurnosti / zaštita radnog okruženja
Izdvaja se fizički sloj mrežne sigurnosti: „Zaštita fizičkih uređaja, medija i infrastrukture … uključuje sigurnosne brave, zaštitu od neovlaštenog fizičkog pristupa prostorijama …“
U općoj sigurnosti na radu veliki je naglasak na fizičkoj sigurnosti: pravilna zaštitna oprema, sigurnost strojeva, pristup prostorijama, zaštita od padova, ergonomski uvjeti itd.
Poveznica: Zaštita fizičkog pristupa i okoliša jednako je važna u kibernetičkoj/informacijskoj sigurnosti (npr. kontrole pristupa, zaštita opreme) kao i u sigurnosti na radu (npr. kontrola pristupa tvorničkim prostorijama, zaštita od opasnih situacija). Dakle, jedan segment (fizički sloj) služi kao most između ove dvije domene.
3. Uloga ljudskog faktora
„Sigurnost informacijskih sustava … obuhvaća … osobljem, zakonima i cjelokupnim društvom.“
U radu na sigurnosti na radu – ljudski čimbenik je ključan: edukacija, svijest o rizicima, ispravno ponašanje, primjena zaštitnih mjera.
Poveznica: Ljudski čimbenik je zajednički element – kako u informacijskoj/kibernetičkoj sigurnosti, tako i u sigurnosti na radu. U obje domene potrebno je osposobljavanje zaposlenika, pravila, procedure i svijest da bi zaštita bila učinkovita.
4. Organizacijski pristup i upravljanje sigurnošću
Sigurnosna administracija, menadžment, definirane uloge (sigurnosni menadžer, incident response manager, …)
U sigurnosti na radu operiraju slični koncepti: odgovornosti menadžmenta, programa sigurnosti na radu, inspekcije, politike i procedure.
Poveznica: Upravljanje sigurnošću, definiranje uloga, politikâ i postupaka prisutno je u obje sfere. Organizacijski okvir pomaže da sustav bude proaktivan, a ne samo reaktivan.
5. Cjelovitost sustava i interakcija tehnologije i okoliša rada
Informacijska sigurnost nije samo računalna arhitektura, nego “i upravljanje informacijskim sustavom, što je direktno povezano sa poslovnim procesima i organizacijom tvrtke, osobljem, zakonima i cjelokupnim društvom.”
Na radnom mjestu tehnološki aspekti (strojevi, oprema, sustavi) i radni procesi moraju biti integrirani u sigurnosni sustav.
Poveznica: Tehnologija (računala, mreže, IoT) sve više ulazi u radne procese – znači da sigurnost informacija i kibernetička sigurnost sve više utječu na fizičko radno okruženje i na rad na način koji može imati utjecaj na zdravlje i sigurnost radnika (npr. automatizirani sustavi, udaljeni upravljački paneli, industrijski IoT). Dakle, integracija tehnoloških sigurnosnih sustava s općim sigurnosnim uvjetima rada je sve važnija.
6. Rizici i prijetnje – paralela
Prijetnje: napadi, neovlašteni pristup, krađa identiteta, zlonamjerni softver.
U sigurnosti na radu prijetnje su: nesreće, ozljede, opasni uvjeti rada, ljudske pogreške, kvarovi opreme.
Poveznica: Iako konkretne prijetnje izgledaju drugačije (cyber napad vs. fizička nesreća), princip je isti: identificirati prijetnje → procijeniti rizik → poduzeti mjere. Nadalje – kibernetičke prijetnje mogu utjecati na sigurnost rada (npr. haker koji preuzme kontrolu nad proizvodnim strojem može izazvati nesreću). Tako se direktno spajaju.
Zaključak
Ukratko: kibernetička i informacijska sigurnost nisu odvojene od opće sigurnosti na radu, već su sve više integrirane s njom. Zaštita informacija, sustava i mreža vrijedi u radnom okolišu jednako kao i zaštita fizičkog i tehnološkog okruženja radnika. Kada se tvrtka pristupa sigurnosti na radu, mora uzeti u obzir i tehnološke i informacijske aspekte – i obrnuto: kada tvrtka pristupa informacijskog/kibernetičkom sigurnošću, mora sagledati utjecaj na radno mjesto i radnike.