Chowanie głowy w piasek

Na skutek incydentów bezpieczeństwa, firmy często tracą pieniądze, które mogłyby wydać na zapobiegnięcie takim właśnie problemom.

Na skutek incydentów bezpieczeństwa, firmy często tracą pieniądze, które mogłyby wydać na zapobiegnięcie takim właśnie problemom.

Sięgnąłem właśnie do tegorocznego badania przeprowadzonego przez ISACA - Top Business/Technology Issues Survey Results - na temat największych problemów biznesowych wynikających z wykorzystania technologii. Ankieta objęła 3173 osób z 95 krajów, które na co dzień zajmują się zarządzaniem systemami IT, bezpieczeństwem informacji i audytem. Jakież było moje zdumienie, kiedy okazało się, że wśród największych problemów wciąż pojawiają się takie, które doskonale znam z wieloletnich doświadczeń. Z jednej strony prowadzimy walkę o zgodność z wymogami prawa i raportowania finansowego, a z drugiej zaniedbujemy te obszary zarządzania systemami IT, które nie przynoszą wyraźnego zwrotu z inwestycji, jak np. zarządzanie bezpieczeństwem informacji, ciągłością działania lub zarządzanie ryzykiem.

Nie tylko pomnażanie zysków

Podstawowy problem to brak wyraźnego zwrotu z inwestycji w bezpieczeństwo informacji i ciągłość działania. Głównym celem każdej firmy jest pomnażanie zysków i budowanie wartości przedsiębiorstwa. A wydaje się, że inwestycje w bezpieczeństwo informacji i ciągłość działania nie pomagają w realizacji tego celu. Wszak nowe systemy finansowo-księgowe, CRM lub inne, wspierające procesy biznesowe obniżają koszty, usprawniają pracę, pozwalają na generowanie raportów i zestawień, które pomagają zarządzać. To wszystko przynosi namacalne korzyści. A pieniądze wydane na bezpieczeństwo i ciągłość działania nie pomagają w biznesie. Co więcej, często przeszkadzają w robieniu biznesu, bo bezpiecznie to nie znaczy wygodnie.

Uwadze zarządów wielu firm umyka jednak podstawowa myśl przyświecająca inwestycji w te obszary. Inwestycje w bezpieczeństwo informacji i ciągłość działania nie mają na celu kreowania nowej wartości, ale ochronę wartości istniejącej. Czyżby więc zarządy zapomniały o tym, że oprócz pomnażania zysków i budowania wartości powinny też czuć się odpowiedzialne za ochronę obecnej pozycji firmy? Kierownictwo większości firm nie potrafi odpowiedzieć sobie na pytanie, jaka jest możliwa strata wynikająca z utraty informacji lub jej niedostępności. Wielu managerów jest też przekonanych, że straty spowodowane przestojem firmy lub ujawnieniem strategicznych informacji są niewielkie i łatwe do pokrycia przyszłymi zyskami.

Problem z informacją

Skoro jednym z kluczowych problemów biznesowych, spowodowanych przez technologie jest bezpieczeństwo informacji, to znaczy że na skutek incydentów bezpieczeństwa, firmy tracą pieniądze, które mogłyby wydać na poprawę bezpieczeństwa i usunięcie problemu. Według raportu ISACA, podstawowe źródła nieprawidłowości w zarządzaniu bezpieczeństwem informacji to:

  • brak pomiaru skuteczności, monitorowania i usprawnień kluczowych mechanizmów ochrony informacji (82% respondentów),
  • zagrożenia dla bezpieczeństwa informacji są nieznane lub słabo znane (81%),
  • brak zaangażowania kadry kierowniczej w zarządzanie bezpieczeństwem informacji (79%),
  • brak programu podnoszenia świadomości wśród pracowników (77%),
  • postrzeganie bezpieczeństwa informacji jako zagrożenia dla systemu IT, a nie biznesu (76%).

Warto podkreślić, że ilość zagrożeń dla informacji potrzebnej w zarządzaniu rośnie obecnie w tempie geometrycznym. Coraz bardziej zagrożone są dane potrzebne do realizacji celu firmy, jakim jest pomnażanie zysków. Niestety, okazuje się, że aby zminimalizować ten problem, z reguły robimy tyle samo co 10 lat temu, czyli niewiele. Zmienić to można tylko podnosząc świadomość zagrożeń i korzyści płynących z proaktywnego zapobiegania problemom.

Problem z ciągłością

Wielokrotnie w trakcie audytów miałem okazję przekonać się o tym, że utrata danych lub sprzętu nie jest w ogóle problemem dla większości menedżerów. Z reguły słyszę, że sprzęt można odkupić, a wiedzę mają ludzie pracujący w firmie, więc można ją odtworzyć. Być może jest to tylko odpowiedź dla audytora, ale menedżerowie powinni zacząć dostrzegać problem. Według raportu, największe źródła nieprawidłowości to:

  • menedżerowie i właściciele nie są w pełni świadomi odpowiedzialności i obowiązku utrzymania nieprzerwanej działalności firmy (80% respondentów),
  • brak formalnego podejścia do zarządzania ciągłością działania (72%),
  • zarządzanie ciągłością działania nie należy do biznesu (71%),
  • ciągłość działania opiera się na jednorazowej inicjatywie, a nie na procesie zarządzania (70%),
  • zarządzanie ciągłością działania postrzegane jako kosztowna inwestycja nie wnosząca wartości do przedsiębiorstwa (65%).

Podobnie jak w obszarze zarządzania bezpieczeństwem informacji, pojawia się typowe odsuwanie problemu od siebie i uparte twierdzenie, że problem nas nie dotyczy. A przecież wystarczy 60 sekund, aby zrujnować reputację firmy, na której zbudowanie wydano duże ilości pieniędzy. Co więcej, badania przeprowadzone przez Gartner wskazują, że 93% firm, które doświadczyło poważnego zakłócenia ciągłości działania i utraciło dane, znika z rynku w ciągu pięciu lat.

Jak sobie radzić?

Większości problemów można uniknąć bez astronomicznych inwestycji w infrastrukturę technologiczną. Poza budowaniem systemów odpornych na zagrożenia trzeba też umieć korzystać z nich bezpiecznie. Ten efekt osiągnąć można nie tylko przez uświadomienie sobie i pracownikom tego, co może zagrozić, ale też przez monitorowanie sytuacji i dostosowywanie sposobu działania do otoczenia. Rosnąca ilość zagrożeń powinna pociągać za sobą uporządkowane i systemowe podejście do zarządzania, w którym nie brakuje miejsca na ochronę tego, co firma już ma. Nie podejmowanie wysiłku w ochronie posiadanych wartości stawia firmę na pozycji przegranej.

Radosław Kaczorek jest właścicielem firmy ImmuSec oraz prezesem zarządu polskiego oddziału ISACA. Posiada uprawnienia CISSP, CISA i CIA.

7 problemów biznesowych wynikających z technologii

  1. Zgodność z regulacjami i wymogami prawa.
  2. Zarządzanie i nadzór nad IT.
  3. Zarządzanie bezpieczeństwem informacji.
  4. Zarządzanie ciągłością działania.
  5. Zarządzanie wartością w IT.
  6. Zarządzanie ryzykiem w IT.
  7. Zgodność ze standardami raportowania finansowego.

Źródło: Top Business/Technology Issues Survey Results, ISACA 2008.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200