Ακούω συνεχώς συναδέλφους από την κοινότητα ITSM να διηγούνται εμπειρίες έργων για την πιστοποίηση ISO27001 (ISO27001:2013) - που αντιπροσωπεύει το διεθνές πρότυπο Ασφάλειας Πληροφοριών (Information Security - InfoSec) - και τα σχετικά οφέλη της.

Όταν, ωστόσο, αναφερόμαστε σε θέματα ασφάλειας Πληροφορικής δεν υπάρχει χώρος για διλήμματα. Η ασφάλεια πληροφοριών δεν αφορά μόνο την αντίστοιχη ομάδα του οργανισμού, με τις πολιτικές και τεχνολογίες που την συνοδεύουν, αλλά όλον τον οργανισμό, οπού όλοι έχουν ευθύνη στην ασφάλεια. Ας πάρουμε ως παράδειγμα το Service Desk. Ο Service Desk Agent θα πρέπει να γνωρίζει τις πολιτικές που εφαρμόζονται για τον ρόλο του: Ποιες είναι οι αποδεκτές πολιτικές χρήσης για email, social media και corporate network;

Ποιες είναι οι BYOD πολιτικές για προσωπικές συσκευές που συνδέονται στο εταιρικό δίκτυο; Ποια πολιτική ακολουθώ για απομακρυσμένη επίλυση συμβάντων; Ποιες είναι οι πολιτικές διαχείρισης λογαριασμού; Ποιες είναι οι πολιτικές ασφαλείας επισκεπτών; Πέραν αυτού, ο Service Desk Agent, ως η πρώτη γραμμή επαφής μεταξύ IT και χρηστών που χρησιμοποιούν υπηρεσίες Πληροφορικής, είναι τα μάτια και τα αυτιά του οργανισμού. Αυτό σημαίνει ότι ο Agent γνωρίζει ανά πάσα στιγμή τι συμβαίνει στην κοινότητα των χρηστών και μπορεί να δράσει προληπτικά στην εκδήλωση ενός major security incident σε θέματα όπως όταν κλειδώνονται οι λογαριασμοί των χρηστών χωρίς κάποιο εμφανή λόγο, όταν διαγράφονται δεδομένων ή όταν η ακεραιότητα των δεδομένων τίθεται σε κίνδυνο.

Επιπρόσθετα, ο Agent, ο οποίος βρίσκεται σε συχνή επαφή με τον χρήστη, μπορεί να επικοινωνήσει μηνύματα ασφάλειας πληροφοριών προς αυτόν. Θα μπορούσατε, για παράδειγμα, να κανονίσετε μια συνάντηση με στελέχη από τις ομάδες Service Desk και InfoSec για να σας δώσουν ιδέες για το πώς θα επικοινωνήσουν μηνύματα ασφάλειας πληροφοριών στους χρήστες. Τέλος, όταν ο Service Desk Agent ζητά από τον χρήστη να μοιραστεί τον κωδικό πρόσβασης λογαριασμού για την επίλυση συμβάντος, τότε, προφανώς, ενθαρρύνει παρόμοιες λανθασμένες συμπεριφορές από την πλευρά του. Φροντίστε ώστε το Service Desk σας να κατέχει τα εργαλεία και την κατάρτιση που χρειάζεται για να αναπτύξει τον δικό του καθοριστικό ρόλο στην προστασία των πληροφοριών.