Praemonitus praemunitus – Cel prevenit este înarmat
Factorul edusec reflectă existenţa şi nivelul educaţiei de securitate, ca învăţare şi aplicare de reguli în ceea ce priveşte protecţia informaţiilor. Prin întrebările şi răspunsurile aferente identificării factorului edusec am avut în vedere o componentă pragmatică, respectiv ca persoana să fie „surprinsă” de existenţa mai multor dimensiuni ale protecţiei informaţiilor. Astfel, într-o primă fază, am intenţionat să o determinăm să facă un exerciţiu practic de imaginaţie pentru formularea răspunsurilor, iar în a doua fază, prin lecturarea exemplelor, să înveţe efectiv, într-un mod simplu, reguli (auto)protective.
Securitatea informaţiilor este necesară din perspectiva principiului general al existenţei unei organizaţii, respectiv asigurarea funcţionalităţii sale în vederea păstrării competitivităţii – a furniza bunuri şi servicii pentru a avea profit („toate organizaţiile au ca scop supravieţuirea”).
Supravieţuirea unei organizaţii derivă din obiectivul major de a-şi proteja următoarele valori generale: a) informaţia; b) imaginea/ reputaţia; c) resursele financiare; d) produsele; e) serviciile; f) personalul (prin prisma formării de competenţe, aptitudini şi acumulării de experienţă); g) echipamentele şi spaţiile fizice (calculatoare, sedii, centre de cercetare etc).
În ceea ce priveşte securitatea informaţiilor, reperul fundamental este componenta umană, exprimată ca generator, utilizator şi factor protectiv al informaţiilor, iar un punct cheie este educaţia de securitate (parte integrantă a culturii de securitate).
Dintr-un punct de vedere personal, supravieţuirea organizaţiilor va fi dependentă de realizarea educaţiei de securitate, prin care persoanele care au acces la informaţii importante sunt instruite cu privire la prevederi legale şi norme interne în ceea ce priveşte securitatea informaţiilor, mijloacele şi metodele utilizate de structurile informative adverse specializate în culegerea de date, competenţele instituţiilor şi structurilor organizaţionale în acest domeniu, etc.
Astfel, este necesar ca fiecare angajat să conştientizeze că protejarea informaţiilor este un factor strategic pentru supravieţuirea/ dezvoltarea organizaţiei, întrucât există consecinţe directe în ceea ce priveşte prezervarea propriilor interese/avantaje de natură socială şi financiară (venit regulat, asigurarea pensiei, satisfacerea nevoilor etc).
Educaţia de securitate se realizează atunci când există trei condiţii:
• o persoană are/va avea acces la informaţii protejate prin lege şi/sau regulamente instituţionale (vom utiliza termenul generic de informaţii confidenţiale, astfel incluzând şi informaţii clasificate, secretul economic, secretul bancar);
• accesul la aceste informaţii este reglementat (limitat), fiind dublat de aplicarea unor reguli de securitate;
• există un potenţial interes nelegitim (şi disimulat) al unei entităţi (Entitatea este reprezentată de o structură informativă adversă (implică o formă organizaţională serviciile de informaţii ale statelor sau ale companiilor private) sau de un adversar informativ (implică o persoană); când se utilizează termenul de străin/străinătate, se au în vedere statele/organizaţiile care au interese adverse României.) de a avea acces la aceste informaţii (nn. interes informativ).
Factorul edusec se referă la conştientizarea şi activarea atitudinii pentru educaţia de securitate, respectiv persoana îşi formulează răspunsuri pozitive la întrebări precum: „Există în organizaţie informaţii care trebuie protejate?”, „Am acces la astfel de informaţii?”, „Există norme interne de protecţie a informaţiilor (se aplică reguli de securitate)?”, „Există entităţi interesate (nn. structură informativă adversă/adversar informativ) de a avea acces neautorizat la informaţiile din organizaţie?”, „Pot reprezenta o ţintă pentru o structură informativă adversă/adversar informativ?”, „Pot fi exploatate anumite aspecte ale comportamentului personal pentru a determina dezvăluirea de informaţii?” etc.
În concluzie, cel puţin din perspectivă economică, securitatea reprezintă „un parametru principal de calitate (integrând elemente de fiabilitate, viabilitate, adaptabilitate şi stabilitate) al tuturor proceselor şi sistemelor, fără de care eficienţa nu este posibilă” (Ilie şi Urdăreanu, 2001), iar securitatea informaţiilor devine o variabilă majoră în supravieţuirea unei organizaţii, unul dintre argumente constând în aceea că „Linia de demarcaţie dintre spionajul public şi cel privat va continua să devină tot mai difuză. Odată cu proliferarea companiilor multinaţionale, multe dintre acestea îşi dezvoltă propriile reţele informative… În paralel cu acţiunile «para-informative» din străinătate, se desfăşoară recenta propagare a aşa-numitelor unităţi de «informaţii competitive» din industria internă… concepute să opereze în limitele legii şi care aplică, cel puţin la un nivel rudimentar, multe dintre aceleaşi metode şi talente folosite de unităţile informative ale guvernului” (Toffler, 1995).
„Cheia” factorului edusec este atitudinea personală în raport cu existenţa potenţială a unui interes din partea unei structuri informative adverse/adversar informativ. Astfel, se concretizează atitudinea edusec ca parte activă a personalităţii, dimensionată pe trei componente:
• cognitivă (conştientizare pro-securitate), care integrează cunoştinţe despre regulile de protecţie a informaţiilor;
• volitiv-motivaţională (angajamentul pro-securitate), referitoare la asumarea necesităţii şi responsabilităţii aplicării regulilor de securitate;
• comportamentul pro-securitate, reflectat de aplicarea concretă a regulilor de securitate.
Factorul edusec are o dublă utilitate – măsoară nivelul de conștientizare a atitudinii pro-securitate, dar și activează prin întrebări/ cerințe (auto) formarea unei astfel de atitudini.
Astfel, am proiectat un set de 30 de întrebări/ cerinţe pentru determinarea factorului edusec. Rezultatele se interpretează conform grilei de mai jos:
• sub 15 puncte (nivel minim) – există un grad de vulnerabilitate maxim în raport cu o structură informativă adversă/adversar informativ. Aveţi un nivel minim de circumspecţie şi suspiciune, nu sunteţi familiarizat cu ideea că există un adversar informativ şi cu modalităţile de acţiune ale acestuia. Pentru dumneavoastră ideea de autoprotecţie este difuză, apreciaţi că nu este necesară. Cel mult, cunoaşteţi câteva reguli de securitate generale.
• între 15 şi 23 de puncte (nivel mediu) – aţi participat la unele instructaje de securitate şi vă rezumaţi la aplicarea unor reguli de securitate generale. Aveţi principiul că, dacă există structuri informative adverse/ adversar informativ, nu prezentaţi interes informativ şi nu vi se va întâmpla chiar dumneavoastră să fiţi exploatat informativ.
• între 23 şi 31 de puncte (nivel maxim) – sunteţi conştient că o structură informativă adversă/un adversar informativ este specializat în identificarea şi exploatarea vulnerabilităţilor personale, respectiv în crearea de contexte prin care să determine dezvăluirea neautorizată (voluntară sau involuntară) de informaţii. Aveţi abilităţi în ceea ce priveşte identificarea unui interes informativ şi în prevenirea/ evitarea respectivelor contexte.
