2008-06-02
Istotne
elementy systemu zarządzania bezpieczeństwem informacji
Kiedy społeczeństwa ewoluują w społeczeństwa informacyjne informacja staje się
towarem i traktowana jest jako szczególne dobro niematerialne, równoważne lub
cenniejsze nawet od dóbr materialnych. Obecnie informację należy traktować jak
każdy inny towar, zasób który posiada określoną wartość. W związku z tym informacja
musi być odpowiednio chroniona. Ochrona informacji ma szczególne znaczenie dla
wszystkich funkcjonujących organizacji, które pragną zachować konkurencyjność,
dobry wizerunek oraz spełnić szereg wymagań prawnych.
Często
w świadomości osób zrządzających bezpieczeństwem informacji panuje przekonanie,
że bezpieczeństwo tego zasobu zaczyna się i kończy na wdrażaniu różnych zasad
oraz zabezpieczeń, bo tak nakazuje dobra praktyka. Jednak implementowanie mechanizmów
bezpieczeństwa to tylko część zadań jakie muszą być podejmowane przez
organizację.
Podstawą
dla wszystkich działań związanych z bezpieczeństwem informacji jest proces
analizy ryzyka. Proces ten powinien być wyrażony poprzez określoną i udokumentowaną
metodykę. Jednocześnie kierownictwo organizacji powinno zadbać o przypisanie
odpowiedzialności za utrzymywanie tego procesu, czyli przeprowadzanie okresowych
analiz ryzyka w organizacji. Należy oczywiście pamiętać, że pierwszym,
koniecznym krokiem bezpośrednio związanym z procesem analizy ryzyka jest zidentyfikowanie
zasobów informacyjnych należących do organizacji, informacji, które są
niezbędne do jej normalnego funkcjonowania.
Zidentyfikowane
ryzyka wymagają odpowiedniego postępowania, adekwatnego do możliwości oraz
warunków danej organizacji. Zazwyczaj ograniczanie ryzyka wiąże się
z wdrażaniem odpowiednich zasad, procedur postępowania czy zabezpieczeń.
Rzadziej ryzyko jest transferowane na inne podmioty zewnętrzne. Jeszcze
rzadziej organizacja rezygnuje z określonych działań, które generują ryzyko
unikając go. Postępowanie z ryzykiem wiąże się z przygotowaniem planu,
zawierającego harmonogram działań oraz wskazującego odpowiedzialności.
Kolejnym
ważnym elementem systemu bezpieczeństwa informacji w organizacji jest ustanowienie
centralnego, niezależnego „punktu zarządzania", podległego wyłącznie
najwyższemu kierownictwu. W dużych organizacjach jest to zazwyczaj grupa
pracowników – komórka/departament odpowiedzialny za koordynowanie działań w
zakresie bezpieczeństwa informacji. Skuteczne wdrażanie mechanizmów
bezpieczeństwa wymaga wsparcia nie tylko ze strony komórki organizacyjnej
odpowiedzialnej za bezpieczeństwo organizacji, ale również ze strony
najwyższego kierownictwa organizacji. Istotne jest również, aby kierownictwo
zapewniło odpowiednie zasoby oraz finansowanie działań na rzecz bezpieczeństwa,
tak aby planowane mechanizmy bezpieczeństwa mogły być faktycznie wdrożone. Nie
bez znaczenia jest ciągłe podnoszenie kwalifikacji oraz umiejętności
pracowników odpowiedzialnych za zarządzanie bezpieczeństwem informacji w organizacji.
Wdrożone
i funkcjonujące mechanizmy bezpieczeństwa wymagają ciągłego monitorowania i
oceny ich efektywności. Podstawowym celem tych działań jest nadzór oraz doskonalenie
zabezpieczeń i ich dostosowywanie do zmieniających się warunków wewnętrznych
jak i zewnętrznych. Oczywiste jest, że organizacja powinna posiadać spis
wszystkich zabezpieczeń. Organizacja powinna wypracować metodę umożliwiającą
jej ocenę stosowanych mechanizmów bezpieczeństwa. Skuteczne w tym zakresie mogą
okazać się regularne audyty wewnętrzne dostarczające cennych informacji na
temat efektywności zabezpieczeń i ich rzeczywistej stosowalności.
Kluczowym
czynnikiem sukcesu w zakresie bezpieczeństwa informacji jest zrozumienie, że
ochrona informacji, oprócz spełnienia wymagań prawnych i zobowiązań
biznesowych, przynosi organizacji wymierne korzyści, poprzez zapewnienie jej
konkurencyjności w realiach gospodarki rynkowej. To na kadrze
zarządzającej spoczywa odpowiedzialność uzmysławiania znaczenia i wartości
informacji wśród pracowników wszystkich szczebli struktury organizacyjnej.
Jednak, aby osiągnąć ten cel, świadoma w pierwszej kolejności musi być kadra
kierownicza najwyższego szczebla. W rzeczywistości audyty bezpieczeństwa informacji
niejednokrotnie wskazują, że kadra kierownicza nie rozumie, dlaczego ochrona
informacji jest ważna oraz jakie organizacja osiąga korzyści chroniąc
swoje informacje. Kierownictwo organizacji często podejmuje decyzję o wdrożeniu
systemu zarządzania bezpieczeństwem informacji z powodu panującej mody, a nie z
powodu wymagań biznesowych czy prawnych.
Dobrze więc, kiedy bezpieczeństwo informacji wynika z przyjętej przez
kierownictwo strategii rozwoju i jest w nią wpisane.
Przedsiębiorstwa
zwłaszcza te, które zatrudniają od kilkuset do kilku tysięcy pracowników
borykają się z niską świadomością znaczenia bezpieczeństwa informacji.
Niedostateczna wiedza w tym zakresie, nieumiejętność rozpoznawania przez
pracowników podatności oraz reagowania na incydenty rodzą poważne zagrożenia
dla bezpieczeństwa informacji. Brak świadomości znaczenia informacji oraz zagrożeń
czyni organizację podatną na tzw. ataki warstwy ósmej, czyli ataki
socjotechniczne, związane ze społeczną naturą człowieka. W obecnych czasach
dużo łatwiej (oraz taniej) pozyskać informację od nieświadomego zagrożeń
pracownika, niż „hakować" dobrze zabezpieczone systemy informatyczne.
Warto
zauważyć, że niska świadomość w zakresie bezpieczeństwa informacji wynika
przede wszystkim z niedoskonałych systemów edukacyjnych funkcjonujących
w przedsiębiorstwach lub z ich braku. W wielu instytucjach edukacja nowozatrudnionego
pracownika kończy się w chwili, gdy samodzielnie zapozna się on z polityką
bezpieczeństwa, regulaminami, zasadami, procedurami i podpisze stosowne
oświadczenie. Takie podejście nie gwarantuje, że pracownik właściwie zrozumiał
przeczytane zasady lub, co gorsza, że w ogóle się z nimi zapoznał.
Stosunkowo rzadko przeprowadza się szkolenia, po których sprawdzany jest
rzeczywisty poziom zrozumienia nabytej wiedzy.
Dlatego
kolejnym istotnym elementem odnoszącym się do zarządzania bezpieczeństwem
informacji jest ustawiczne podnoszenie świadomości oraz wiedzy pracowników w
tym zakresie poprzez opracowanie odpowiednich programów edukacyjnych.
Dzięki
działaniom uświadamiającym personel na każdym szczeblu organizacji będzie rozumiał,
że budowa systemu zarządzania bezpieczeństwem informacji jest czymś ważnym
i przydatnym dla organizacji. Przychylne nastawienie pracowników do
systemów zarządzania bezpieczeństwem informacji organizacja osiągnie tylko
wtedy, jeśli wdrożone mechanizmy bezpieczeństwa będą przyjazne dla ich
użytkowników (user-friendly) i nie będą zbyt skomplikowane. W związku z tym
implementowane procedury powinny być zrozumiałe i czytelne, w miarę możliwości
jak najprostsze. Krótko mówiąc powinny zachęcać do ich stosowania, a nie
odstraszać.
Autor opracowania:
Marek Abramczyk,
Konsultant
Departamentu Bezpieczeństwa PBSG,