Motywem przewodnim zorganizowanej przez redakcję Computerworld konferencji Strefa Bezpieczeństwa były organizacja struktur bezpieczeństwa w dużym przedsiębiorstwie i pomysły na ich funkcjonowanie. Drugi nurt konferencji skupiał się na organizacyjnych aspektach działań operacyjnych w dziedzinie bezpieczeństwa.

Bezpieczeństwo teleinformatyczne to idealny materiał na technologiczny fetysz. Nie będąc w tej materii całkowicie bez grzechu, chcieliśmy dać Państwu poczucie, że redakcji Computerworld nieobce jest rozumienie bezpieczeństwa jako zagadnienia organizacyjnego czy też procesu, w którym technologia, choć niezbędna, jest jedynie wyrazem koncepcji wywodzących się z rozważań bardziej ogólnych. Z tą myślą zorganizowaliśmy konferencję Strefa Bezpieczeństwa, która odbyła się 14 grudnia 2004 r. w hotelu Sheraton w Warszawie, zapraszając do wygłoszenia wystąpień wybitnych praktyków.

Konferencja, na której zjawiło się sto kilkadziesiąt uczestników, została podzielona na dwie ścieżki: informatyczną i menedżerską. Kryterium było jednak w sumie niezbyt ostre, o czym można się przekonać, przeglądając jej agendę (https://www.computerworld.pl/konferencje/strefa/agenda.html ). W ścieżce menedżerskiej przeważały kwestie "miękkie", m.in. sposób organizacji samodzielnego działu bezpieczeństwa w firmie i pomysły na jego funkcjonowanie w różnych aspektach. W części informatycznej skupiliśmy się na organizacyjnych aspektach zagadnień postrzeganych powszechnie raczej w kontekście konkretnych narzędzi.

Sztuka metamorfozy

Bardzo interesująca okazała się już prezentacja otwierająca. Prowadzący ją Andrzej Pakulski z Kredyt Banku SA to jedna z nielicznych w Polsce osób z tak bogatym doświadczeniem w prowadzeniu samodzielnego działu bezpieczeństwa. Prowadzony przez niego dział miewał różne umiejscowienie w strukturze organizacji - początkowo był wydzielony z działu informatycznego, później przekształcił się w samodzielną jednostkę organizacyjną w pionie podlegającym bezpośrednio prezesowi banku.

Pierwotnie dział bezpieczeństwa był połączony z działem logistyki wewnętrznej i odpowiadał za ochronę fizyczną. "To dawało bardzo szerokie możliwości działania, zwłaszcza możliwość wglądu w plany działań i inwestycji w banku, co z punktu widzenia roli działu bezpieczeństwa miało duże znaczenie" - mówił Andrzej Pakulski. Później dział bezpieczeństwa był odpowiedzialny również za realizację wytycznych GINB, zaś ochrona obiektów i logistyka wyszły z zestawu kompetencji działu na skutek ujednolicania struktur organizacji grupy bankowej BBC Bank N.V., do której należy Kredyt Bank SA.

A. Pakulski mówił, że dział bezpieczeństwa ma szansę na "niepodległość" w długim okresie, jednakże pod warunkiem, że uda mu się uniknąć alienacji. Podkreślał np., że szkolenie użytkowników w dziedzinie bezpieczeństwa, i to regularne, nie jest czasem straconym. Mówił też, że dobrą atmosferę współpracy działu bezpieczeństwa z resztą firmy tworzą projekty mające na celu wypracowanie strategii i planów awaryjnych.

O tym, jakie są konsekwencje umiejscowienia działu bezpieczeństwa w różnych punktach struktury organizacyjnej, mówili na konferencji także konsultanci Deloitte - Jakub Bojanowski i Radosław Kaczorek. Jedna z konkluzji, jakie padły podczas tego wystąpienia, brzmiała, że absolutny upór w wydzielaniu działu bezpieczeństwa informatycznego nie ma sensu, zwłaszcza w firmach mniejszych. "Dział bezpieczeństwa nie może abstrahować od wiedzy technicznej. Ci ludzie muszą mieć wspólny język z informatykami - nie można ich separować" - wnioskowali.

Ludzka sprawa

Małgorzata Milczarek, menedżer ds. talentów w grupie ING, mówiła o tym, w jaki sposób menedżerowie bezpieczeństwa mogą poprawić wizerunek swoich działów w oczach reszty firmy. "Sytuacja jest bowiem trudna - zazwyczaj występują oni bowiem jako «smutni panowie», którzy nie dość, że cały czas straszą, niczego nie produkują, to jeszcze wciąż chcą nowych pieniędzy na «te swoje zabezpieczenia»". Warunkiem skuteczności wdrażanych rozwiązań bezpieczeństwa teleinformatycznego jest stosowanie ich w praktyce przez szeregowych pracowników - a do tego, zdaniem M. Milczarek, niezbędne jest nawiązywanie dobrych relacji przez menedżerów ds. bezpieczeństwa z pracownikami innych działów.

Tymczasem z tym właśnie informatycy mają często duży problem. Sztuka polega na tym, by to, co postuluje dział bezpieczeństwa, nie było traktowane jako ciągłe zawracanie głowy. Do tego cały czas potrzebna jest również aktywność kierownictwa firmy, by od razu rozwiązywać konflikty, jakie rodzą się pomiędzy różnymi działami i pionami w firmie w związku z funkcjonowaniem procedur i rozwiązań z obszaru bezpieczeństwa teleinformatycznego. Jest to bowiem dziedzina, która bardziej niż inna takie konflikty wywołuje.

Robert Kośla, dyrektor Departamentu Bezpieczeństwa Teleinformatycznego w Agencji Bezpieczeństwa Wewnętrznego, mówił o doborze ludzi na stanowiska związane z bezpieczeństwem teleinformatycznym - także w kontekście regulacji prawnych dotyczących rekrutacji pracowników. Paradoksalnie, jak się okazuje, łatwiejsze jest dobranie personelu do pionu ochrony informacji niejawnych, bowiem tutaj prawo daje dużo większe możliwości weryfikacji prawdomówności pracownika.