Daca ai 25 de angajati si unul singur da click pe un email de phishing, acel click poate expune datele clientilor, poate opri productia si poate aduce o amenda de pana la 10 milioane EUR conform OUG 155/2024. 90% dintre atacurile cibernetice reusesc din cauza erorilor umane. Problema nu este lipsa de firewall-uri, ci lipsa de constientizare.
ISO 27001:2022 trateaza aceasta problema prin doua cerinte specifice: clauza 7.3 (constientizare) si controlul A.6.3 din Anexa A (instruire si educatie in securitatea informatiei).
Ce cere clauza 7.3 din ISO 27001?
Clauza 7.3 stabileste ca toate persoanele care lucreaza sub controlul organizatiei trebuie sa cunoasca trei lucruri:
- Politica de securitate a informatiei
- Contributia lor la eficacitatea sistemului de management al securitatii informatiei (SMSI)
- Ce se intampla daca nu respecta cerintele SMSI
Termenul „persoane care lucreaza sub controlul organizatiei” include angajatii cu contract de munca, dar si colaboratorii, contractorii si personalul temporar care au acces la informatii din perimetrul SMSI. Un subcontractor care primeste acces la serverul de fisiere trebuie sa parcurga acelasi program de constientizare ca un angajat permanent.
Controlul A.6.3 din Anexa A completeaza clauza 7.3 cu cerinta de programe continue de instruire, educatie si constientizare, adaptate pe roluri. Un dezvoltator are nevoie de sesiuni despre securitatea codului. Un contabil are nevoie de sesiuni despre phishing si protectia datelor financiare.
Ce teme acopera un program de constientizare?
Un program complet ar trebui sa includa cel putin aceste teme, distribuite pe parcursul anului:
| Trimestru | Tema principala | Format |
|---|---|---|
| T1 | Phishing si inginerie sociala | Simulare phishing + sesiune 30 min |
| T2 | Parole si autentificare multifactor | Workshop practic, configurare MFA |
| T3 | Clasificarea si protectia datelor | Exercitiu pe scenarii reale |
| T4 | Raportarea incidentelor de securitate | Simulare incident + evaluare |
La onboarding, fiecare angajat nou parcurge un modul introductiv care acopera politica de securitate a informatiei si regulile de baza. Aceasta sesiune initiala nu inlocuieste programul trimestrial.
Cum masori daca programul functioneaza?
Auditorii ISO 27001 cer dovezi ca programul de constientizare produce rezultate, nu doar ca exista pe hartie. Trei indicatori te ajuta sa demonstrezi eficacitatea:
Rata de click in simulari phishing. Fara training, 38% dintre angajati dau click pe linkuri malitioase. Dupa 3 luni de simulari combinate cu sesiuni de instruire, rata scade la 14%. Dupa 12 luni, ajunge la 4,7%. Daca rata din firma ta nu scade de la un trimestru la altul, programul trebuie ajustat.
Scorul la chestionarele de evaluare. Dupa fiecare sesiune trimestriala, un test scurt (10 intrebari, 5 minute) confirma ca informatia a fost inteleasa. Tinta: 80% scor minim pe fiecare angajat. Cine nu atinge pragul repeta sesiunea.
Timpul de raportare a incidentelor. Cat dureaza din momentul in care un angajat observa un email suspect pana cand il raporteaza echipei IT? Un program functional reduce acest timp de la zile la sub o ora.
Ce legatura are NIS2 cu programul de training?
Directiva NIS2, transpusa in Romania prin OUG 155/2024 si aprobata prin Legea 124/2025, transforma constientizarea din buna practica in obligatie legala pentru entitatile vizate.
Art. 20 din Directiva NIS2 obliga echipa de conducere sa urmeze cursuri de instruire in securitate cibernetica. Managementul raspunde direct pentru conformitate si trebuie sa demonstreze ca detine cunostintele necesare pentru supravegherea riscurilor cibernetice. OUG 155/2024 extinde aceasta cerinta: entitatile trebuie sa asigure formarea profesionala a intregului personal.
Sanctiunile sunt proportionale cu tipul entitatii. Entitatile esentiale (energie, transport, sanatate, infrastructura digitala) risca amenzi de pana la 10 milioane EUR sau 2% din cifra de afaceri globala. Entitatile importante risca pana la 7 milioane EUR sau 1,4% din cifra de afaceri. Mai multe detalii despre relatia ISO 27001 si NIS2 gasesti in ghidul dedicat.
Exemplu practic: firma de servicii IT cu 40 de angajati
O firma de outsourcing software din Bucuresti cu 40 de angajati a implementat un SMSI conform ISO 27001. In primul trimestru, a rulat o simulare de phishing fara avertisment prealabil: 15 din 40 de angajati (37,5%) au dat click pe linkul din emailul test.
Dupa o sesiune de 45 de minute despre recunoasterea emailurilor de phishing si doua simulari suplimentare in urmatoarele 3 luni, rata a scazut la 5 angajati (12,5%). Firma a documentat toate rezultatele si le-a prezentat la auditul de certificare ca dovada a eficacitatii programului.
Costul: platforma de simulare phishing (echivalentul a 200-400 EUR pe an pentru 40 de utilizatori) si 4 ore de training intern pe trimestru. Fara consultanti externi, doar cu materialele disponibile gratuit de la ENISA si DNSC.
Documente pe care le cere auditorul
La auditul de certificare sau supraveghere ISO 27001, auditorul va verifica:
- Planul anual de constientizare cu teme, frecventa si responsabili
- Inregistrarile de participare (semnaturi sau log-uri din platforma de e-learning)
- Rezultatele evaluarilor (scoruri la chestionare, rate de click din simulari)
- Dovada ca materialele sunt actualizate (nu acelasi PowerPoint din 2021)
- Dovada ca si contractorii cu acces la SMSI au parcurs programul
Lipsa oricaruia dintre aceste documente este o neconformitate la audit. Daca nu poti demonstra ca programul produce schimbari de comportament (prin metrici in scadere la simulari sau scoruri in crestere la evaluari), auditorul poate emite o neconformitate majora la clauza 7.3.