Punktem wyjścia do skutecznego zarządzania bezpieczeństwem informacji w firmie jest zrozumienie, że nie polega ono na zakupie i wdrożeniu takich czy innych systemów zabezpieczeń.

Zarządzanie bezpieczeństwem to poważny temat, niestety rzadko jest traktowany z taką powagą, na jaką zasługuje. Nawet krótka ankieta przeprowadzona wśród osób zarządzających firmami dowodzi, że dla ludzi prowadzących biznes bezpieczeństwo informacji jest równoznaczne z bezpieczeństwem systemu teleinformatycznego. To bardzo poważny błąd i dlatego jeszcze bardziej dziwią mnie wypowiedzi pracowników działów informatycznych, którzy przy różnych okazjach ujawniają, że pod pojęciem zarządzania bezpieczeństwem informacji rozumieją głównie zarządzanie systemami zabezpieczeń.

A przecież bezpieczeństwo systemu teleinformatycznego jest jedynie częścią pojęcia "bezpieczeństwo informacji" (powiedzmy to od razu: dość wąskim jego podzbiorem). Fakt, że w obecnych przedsiębiorstwach dużą ilość informacji przetwarza się elektronicznie, nie znaczy, że należy chronić tylko same systemy teleinformatyczne. Warto pamiętać, że w pewnych strukturach (wojsko, bankowość, służby specjalne) stanowisko specjalisty ds. bezpieczeństwa istniało znacznie wcześniej, niż prace Alana Turinga i choćby już tylko to powinno nam dawać do myślenia.

Obieg prawdę powie

Istotą informacji jest to, że jeśli nie jest akurat magazynowana, znajduje się w ciągłym obiegu. Im lepiej jest zorganizowany obieg informacji, tym większe prawdopodobieństwo, że informacja będzie spójna, dostępna zgodnie z rozdzielnikiem i wolna od przekłamań. Poza tym dzięki przejrzystej strukturze dostępu można stwierdzić, kto jaką informację otrzymał. Od tego już tylko krok do zapewnienia lepszego bezpieczeństwa samej informacji.

Dla jasności wypada zaznaczyć, że dobry obieg informacji nie jest jedynie prostą pochodną wdrożenia systemów do pracy grupowej czy do obiegu dokumentów. Odpowiednio dobrane narzędzia mogą ułatwić stworzenie dobrego systemu obiegu informacji. Źle dobrane narzędzia będą źródłem problemów. Znam kilka nietrafionych wdrożeń systemów obiegu dokumentów i twierdzę, że nic tak nie psuje bezpieczeństwa informacji w firmie jak jej dwa obiegi - ten oficjalny, wspierany przez niedopasowane narzędzie, oraz nieoficjalny, który spełnia rzeczywiste potrzeby pracowników, ale nie jest objęty żadnymi procedurami ani innymi zasadami.

"Podziemie informacyjne" czasami polega na tym, że pracownicy tworzą sobie listę ludzi posiadających zasoby informacyjne i łączą się z nimi, tworząc nieformalną sieć. Wymiana informacji odbywa się osobiście, telefonicznie lub e-mailem (rzadko). Gdy potrzeby wymiany informacji są duże, oficjalny obieg informacji praktycznie zamiera, ewentualnie jest wykorzystywany marginalnie. W oficjalnym obiegu pozostaną jedynie dokumenty nieaktualne, niekompletne i o małej wiarygodności. Zatem wdrożenie systemu wspomagającego obieg informacji powinno odbywać się zawsze po ustaleniu zasad obiegu informacji i dokumentów w firmie. Nie na odwrót.

Dzielić prosto, a skutecznie

Bardzo ważnym etapem w obiegu informacji jest jej klasyfikacja. Proces ten, bardzo często traktowany po macoszemu, jest kluczem do zapewnienia dobrego poziomu bezpieczeństwa informacji. Przy bardzo dużych ilościach informacji nie ma możliwości ręcznego sprawdzenia, która informacja (czy dokument) jest ważna, a która nie. Z pomocą przychodzi system klasyfikacji, którego zadaniem jest stworzenie jasnych kryteriów podziału informacji pod kątem jej ważności i poufności.

Informacje dzieli się często na trzy grupy: publicznie dostępne, wewnętrzne oraz szczególnego znaczenia. Nawet proste dodanie do nazwy pliku literki, ewentualnie wydzielenie osobnych zasobów serwera na każdą z tych grup zdecydowanie ułatwi pracę, a przy okazji spełni zadanie zarządzania informacją i zabezpieczania jej. Osoba pracująca z oznaczonymi dokumentami od razu wie, do jakiej grupy należą. Jeśli jest świadoma swojej odpowiedzialności za bezpieczeństwo w przedsiębiorstwie, zachowa się stosownie do przyjętych procedur. Gdy zaś tworzy nowe dokumenty, jasne kryteria ułatwią przydział dokumentu odpowiedniej grupie.

Tworzenie systemu klasyfikacji (a zwłaszcza reguł podziału na grupy odpowiadające ważności lub wrażliwości informacji) jest z natury trudne. Traktując sprawę poważnie, nie można opierać się na gotowcach działających w tej czy innej firmie. Zresztą, nawet same podziały informacji należy klasyfikować co najmniej jako dokumenty wewnętrzne. Poza tym jeśli w przedsiębiorstwie znaczna część informacji jest niejawna, to kompetencje lokalne pracowników muszą być duże. Nie łudźmy się: bez odpowiedniego przeszkolenia się nie obejdzie. Gdy zaś firma przetwarza informacje niejawne w rozumieniu przepisów prawa, dodatkowo muszą być spełnione obostrzenia ustawowe. Warto się wzorować na niektórych założeniach norm dotyczących bezpieczeństwa i podawanych tam wymogów, niemniej nie zapewniają one stuprocentowego bezpieczeństwa.

Przy projektowaniu systemu bezpieczeństwa informacji należy wziąć pod uwagę nie tylko klasyfikację informacji, ale także stopień jej syntetyczności. Spis faktur to nie to samo, co dokument z zapisem narady zarządu omawiającej strategię rozwoju firmy na najbliższe lata albo analiza rynku. Prosty zabieg - założenie podsłuchu i szpiegowskiej kamery w sali konferencyjnej - daje konkurencji w dłuższym horyzoncie czasowym zdecydowanie lepsze efekty niż kradzież kartoteki kontrahentów z programu obsługującego sprzedaż. Strata nawet pewnej grupy klientów jest do odrobienia, natomiast znajomość kierunku rozwoju firmy daje konkurencji szanse na utrudnianie rozwoju firmy.

Pilnuj swego (pracownika)

Doświadczeni specjaliści od zarządzania bezpieczeństwem od dawna twierdzą, że w całym ogniwie najsłabszym elementem jest człowiek. Właśnie dlatego należy szczególną wagę przykładać do szkolenia pracowników. W typowych przedsiębiorstwach nakłady zasobów (czas, pieniądze) są dzielone według klucza - najwięcej na sprzęt i oprogramowanie, potem na szkolenie w używaniu tychże, na końcu zaś ogólne szkolenie z zakresu bezpieczeństwa, o ile zostały w ogóle jakieś zasoby na ten cel.

Niemal wszystkie statystyki nadużyć jasno pokazują, że najwięcej naruszeń bezpieczeństwa dotyczy pracowników przedsiębiorstwa, zaś ataki z zewnątrz są rzadziej spotykane. Przyczyn jest wiele, od małej wiedzy zarządzających w tym zakresie, braku umiejętności szkolenia w dziedzinie bezpieczeństwa, niskiej motywacji personelu, fatalnej w skutkach atmosfery w pracy, aż po fakt, że pracownicy z natury muszą mieć dostęp do informacji.

Najpoważniejsze nadużycia (choćby kradzież dokonana przez Stanleya Rifkina, która trafiła nawet do Księgi rekordów Guinnessa jako największe przestępstwo komputerowe) zawsze wykorzystują czynnik ludzki, zatem szkolenia w dziedzinie bezpieczeństwa muszą uwzględniać także techniki manipulacyjne, zwane socjotechniką. W dużych firmach zbyt duży nacisk kładzie się na szczegółowe zabezpieczenia systemów teleinformatycznych, pozostawiając bardzo szeroki margines spraw zależnych wyłącznie od dobrej woli i rozsądku ludzi.

Szczególnie w dużych firmach wiele informacji można uzyskać zwyczajnie o nie prosząc. Fałszerstwo faksu jest niesłychanie proste do wykonania, a bardzo trudne do wykrycia. Nie wiadomo dlaczego w wielu firmach nawet podejrzane dokumenty przesyłane faksem są przyjmowane bez mrugnięcia okiem, o ile są "wyposażone" w stosowną liczbę pieczątek. Warto zwrócić uwagę, że nawet prymitywne przeróbki, od razu widoczne na skanie dokumentu (nie mówiąc o oryginale), w przypadku faksu przechodzą bez pudła. Przyzwyczajenie do rzekomej władzy i mocy pieczątki panuje w wielu polskich firmach, z nieznanego mi powodu moc ta przechodzi nawet na fatalnej jakości faksymile.

Wspomniane przestępstwo Rifkina odbyło się tylko za pomocą telefonu, niemniej nie doszłoby do niego, gdyby nie wspomniany czynnik ludzki (hasła napisane na ogólnodostępnej kartce, łatwowierność pracowników, brak weryfikacji tożsamości) oraz znajomość procedur wewnętrznych firmy. Jak uczy doświadczenie, procedury funkcjonowania kluczowych działów (takich, w których potencjalne nadużycia są najbardziej prawdopodobne) powinny być szczególnie strzeżone. Ponadto pracownicy muszą zostać przyzwyczajeni do kontroli ich tożsamości na każdym kroku, np. wejście do pomieszczenia, logowanie do sieci itd.

Szkolenia powinny obejmować zarówno zasady ochrony informacji, jak i wykrywanie typowych sztuczek socjotechnicznych. Dopiero uzyskawszy stosowny poziom wyszkolenia personelu można próbować wdrażać procedury bezpieczeństwa. Nie na odwrót.