Elementy systemu zarządzania bezpieczeństwem informacji

Kiedy społeczeństwa ewoluują w społeczeństwa informacyjne informacja staje się towarem i traktowana jest jako szczególne dobro niematerialne, równoważne lub cenniejsze nawet od dóbr materialnych. Obecnie informację należy traktować jak każdy inny towar, zasób który posiada określoną wartość. W związku z tym informacja musi być odpowiednio chroniona. Ochrona informacji ma szczególne znaczenie dla wszystkich funkcjonujących organizacji, które pragną zachować konkurencyjność, dobry wizerunek oraz spełnić szereg wymagań prawnych. Ważne jest, aby poznać najbardziej istotne elementy systemu zarządzania bezpieczeństwem informacji.

Często w świadomości osób zrządzających bezpieczeństwem informacji panuje przekonanie, że bezpieczeństwo tego zasobu zaczyna się i kończy na wdrażaniu różnych zasad oraz zabezpieczeń, bo tak nakazuje dobra praktyka. Jednak implementowanie mechanizmów bezpieczeństwa to tylko część zadań jakie muszą być podejmowane przez organizację.

Analiza ryzyka

Podstawą dla wszystkich działań związanych z bezpieczeństwem informacji jest proces analizy ryzyka. Proces ten powinien być wyrażony poprzez określoną i udokumentowaną metodykę. Jednocześnie kierownictwo organizacji powinno zadbać o przypisanie odpowiedzialności za utrzymywanie tego procesu, czyli przeprowadzanie okresowych analiz ryzyka w organizacji. Należy oczywiście pamiętać, że pierwszym, koniecznym krokiem bezpośrednio związanym z procesem analizy ryzyka jest zidentyfikowanie zasobów informacyjnych należących do organizacji, informacji, które są niezbędne do jej normalnego funkcjonowania.

Zidentyfikowane ryzyka wymagają odpowiedniego postępowania, adekwatnego do możliwości oraz warunków danej organizacji. Zazwyczaj ograniczanie ryzyka wiąże się z wdrażaniem odpowiednich zasad, procedur postępowania czy zabezpieczeń. Rzadziej ryzyko jest transferowane na inne podmioty zewnętrzne. Jeszcze rzadziej organizacja rezygnuje z określonych działań, które generują ryzyko unikając go. Postępowanie z ryzykiem wiąże się z przygotowaniem planu, zawierającego harmonogram działań oraz wskazującego odpowiedzialności.

Punkt zarządzania

Kolejnym ważnym elementem systemu bezpieczeństwa informacji w organizacji jest ustanowienie centralnego, niezależnego „punktu zarządzania”, podległego wyłącznie najwyższemu kierownictwu. W dużych organizacjach jest to zazwyczaj grupa pracowników – komórka/departament odpowiedzialny za koordynowanie działań w zakresie bezpieczeństwa informacji. Skuteczne wdrażanie mechanizmów bezpieczeństwa wymaga wsparcia nie tylko ze strony komórki organizacyjnej odpowiedzialnej za bezpieczeństwo organizacji, ale również ze strony najwyższego kierownictwa organizacji. Istotne jest również, aby kierownictwo zapewniło odpowiednie zasoby oraz finansowanie działań na rzecz bezpieczeństwa, tak aby planowane mechanizmy bezpieczeństwa mogły być faktycznie wdrożone. Nie bez znaczenia jest ciągłe podnoszenie kwalifikacji oraz umiejętności pracowników odpowiedzialnych za zarządzanie bezpieczeństwem informacji w organizacji.

Wdrożone i funkcjonujące mechanizmy bezpieczeństwa wymagają ciągłego monitorowania i oceny ich efektywności. Podstawowym celem tych działań jest nadzór oraz doskonalenie zabezpieczeń i ich dostosowywanie do zmieniających się warunków wewnętrznych jak i zewnętrznych. Oczywiste jest, że organizacja powinna posiadać spis wszystkich zabezpieczeń. Organizacja powinna wypracować metodę umożliwiającą jej ocenę stosowanych mechanizmów bezpieczeństwa. Skuteczne w tym zakresie mogą okazać się regularne audyty wewnętrzne dostarczające cennych informacji na temat efektywności zabezpieczeń i ich rzeczywistej stosowalności.

Kluczowym czynnikiem sukcesu w zakresie bezpieczeństwa informacji jest zrozumienie, że ochrona informacji, oprócz spełnienia wymagań prawnych i zobowiązań biznesowych, przynosi organizacji wymierne korzyści, poprzez zapewnienie jej konkurencyjności w realiach gospodarki rynkowej. To na kadrze zarządzającej spoczywa odpowiedzialność uzmysławiania znaczenia i wartości informacji wśród pracowników wszystkich szczebli struktury organizacyjnej. Jednak, aby osiągnąć ten cel, świadoma w pierwszej kolejności musi być kadra kierownicza najwyższego szczebla. W rzeczywistości audyty bezpieczeństwa informacji niejednokrotnie wskazują, że kadra kierownicza nie rozumie, dlaczego ochrona informacji jest ważna oraz jakie organizacja osiąga korzyści chroniąc swoje informacje. Kierownictwo organizacji często podejmuje decyzję o wdrożeniu systemu zarządzania bezpieczeństwem informacji z powodu panującej mody, a nie z powodu wymagań biznesowych czy  prawnych. Dobrze więc, kiedy bezpieczeństwo informacji wynika z przyjętej przez kierownictwo strategii rozwoju i jest w nią wpisane.

Świadomość w zakresie bezpieczeństwa informacji

Przedsiębiorstwa zwłaszcza te, które zatrudniają od kilkuset do kilku tysięcy pracowników borykają się z niską świadomością znaczenia bezpieczeństwa informacji. Niedostateczna wiedza w tym zakresie, nieumiejętność rozpoznawania przez pracowników podatności oraz reagowania na incydenty rodzą poważne zagrożenia dla bezpieczeństwa informacji. Brak świadomości znaczenia informacji oraz zagrożeń czyni organizację podatną na tzw. ataki warstwy ósmej, czyli ataki socjotechniczne, związane ze społeczną naturą człowieka. W obecnych czasach dużo łatwiej (oraz taniej) pozyskać informację od nieświadomego zagrożeń pracownika, niż „hakować” dobrze zabezpieczone systemy informatyczne.

Warto zauważyć, że niska świadomość w zakresie bezpieczeństwa informacji wynika przede wszystkim z niedoskonałych systemów edukacyjnych funkcjonujących w przedsiębiorstwach lub z ich braku. W wielu instytucjach edukacja nowozatrudnionego pracownika kończy się w chwili, gdy samodzielnie zapozna się on z polityką bezpieczeństwa, regulaminami, zasadami, procedurami i podpisze stosowne oświadczenie. Takie podejście nie gwarantuje, że pracownik właściwie zrozumiał przeczytane zasady lub, co gorsza, że w ogóle się z nimi zapoznał. Stosunkowo rzadko przeprowadza się szkolenia, po których sprawdzany jest rzeczywisty poziom zrozumienia nabytej wiedzy.

Dlatego kolejnym istotnym elementem odnoszącym się do zarządzania bezpieczeństwem informacji jest ustawiczne podnoszenie świadomości oraz wiedzy pracowników w tym zakresie poprzez opracowanie odpowiednich programów edukacyjnych.

Dzięki działaniom uświadamiającym personel na każdym szczeblu organizacji będzie rozumiał, że budowa systemu zarządzania bezpieczeństwem informacji jest czymś ważnym i przydatnym dla organizacji. Przychylne nastawienie pracowników do systemów zarządzania bezpieczeństwem informacji organizacja osiągnie tylko wtedy, jeśli wdrożone mechanizmy bezpieczeństwa będą przyjazne dla ich użytkowników (user-friendly) i nie będą zbyt skomplikowane. W związku z tym implementowane procedury powinny być zrozumiałe i czytelne, w miarę możliwości jak najprostsze. Krótko mówiąc powinny zachęcać do ich stosowania, a nie odstraszać.

Marek Abramczyk
Konsultant
Departamentu Bezpieczeństwa PBSG

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.