Zarządzanie bezpieczeństwem informacji nie ogranicza się tylko do aspektu informatycznego. W połączeniu z niedostatecznie uważnym traktowaniem sprawy przez kierownictwo firm tworzy to jednak poważne luki w systemach ochrony danych.

W świadomości ogólnej utarło się, że skoro i tak większość informacji przechowywana i przetwarzana jest cyfrowo, ogólny poziom zabezpieczeń powinien dotykać głównie sfery cyfrowej. O ile dokumenty w postaci materialnej od lat są zabezpieczane metodami, takimi jak szafy pancerne, czy zamykane regały o ograniczonym dostępie i poziom tychże zabezpieczeń jest zazwyczaj ściśle regulowany (chociażby przez dostępność kluczy, konieczność wpisywania się do książki dostępowej), o tyle format zabezpieczeń elektronicznych bywa wykonywany pobieżnie, nieadekwatnie do potrzeb lub przez osoby - z racji pełnionych innych funkcji - niekompetentne.

W praktyce wygląda to tak, że specjalistą od zabezpieczeń zostaje lokalny administrator IT, co tworzy dość niebezpieczny precedens. Taka osoba musi sama sobie wyznaczać procedury, wdrażać je i kontrolować – jakkolwiek kompetentna by była, łatwo tu dopuścić do zaniedbań. Co więcej, takie połączenie stanowisk wymaga przyswojenia dodatkowej wiedzy i większego nakładu pracy, co może (i niestety często tak jest) odbijać się na jakości wykonywanych zadań. Wyjątkiem od tej reguły może być jedynie instalacja i nadzór na systemami wykrywania nieautoryzowanych wtargnięć do sieci wewnętrznej (Intrusion Detection Systems).

Szerszy aspekt ochrony informacji

Wbrew obiegowej opinii, specjalista ds. ochrony informacji ma dużo szersze kompetencje i obowiązki. W zakresie jego działań leży interakcja z ludźmi, umiejętność łączenia różnych potrzeb i zapatrywań w jeden kompromis. Powinien być dobrym dyplomatą, jednocześnie umieć słuchać, analizować i wyciągać wnioski. Oprócz procedur i technologii zabezpieczeń cyfrowych odpowiada też za zachowanie poufności w życiu codziennym firmy, powinien umieć określić i wdrożyć skuteczny obieg informacji, zapobiegający dotarciu wiadomości poufnych do niepożądanych osób. Wydzielenie ścieżek obiegu treści ogólnodostępnych i poufnych znacząco wpływa na poprawę bezpieczeństwa danych każdej firmy.

Po uzgodnieniu zakresu dostępności poszczególnych danych, sposobu weryfikacji tożsamości odbiorcy informacji (w małych firmach taki problem nie istnieje, w średnich i dużych wprost przeciwnie) – np. przez możliwość telefonicznej weryfikacji rozmówcy, identyfikacji numeru dzwoniącego, podpis cyfrowy (ewentualnie szyfrowanie) poczty elektronicznej – specjalista ds. bezpieczeństwa informacji powinien przeprowadzić szkolenia personelu.

Innym ważnym aspektem bezpieczeństwa danych są ogólnodostępne drukarki sieciowe, przy których często leżą stosiki dokumentów czekających na odbiór, czy nieużywanie przez pracowników niszczarek do dokumentów. Nawet dokument wydrukowany z błędami lub po prostu źle może stanowić cenne źródło informacji. Podobnie sprawa ma się z – prozaiczną z pozoru czynnością – zamykaniem drzwi na klucz. W dobie miniaturowych aparatów fotograficznych w każdym nowszym telefonie bardzo łatwo wykonać „fotokopię” leżących sobie kartek, że o kradzieży pamięci masowych, palmtopów i laptopów nie wspomnę.

Od strony IT powinien opracować, nadzorować proces wdrażania oraz monitorować działanie szeregu procedur regulujących poziomy zabezpieczeń sieci – zarówno przewodowych, jak i radiowych, poziom szyfrowania (jeśli oczywiście jest konieczność takiej formy zabezpieczania) dokumentów elektronicznych oraz zasady i prawa dostępu do współdzielonych plików. Dobrym rozwiązaniem jest również nałożenie na pracowników obowiązku tajemnicy służbowej, adekwatnego do zajmowanych stanowisk. Polskie prawo stwarza takie możliwości (np. art. 267 par 1 KK oraz art. 269 par 1 i 2 KK), niezależnie od potencjalnych trudności z wyegzekwowaniem roszczeń.

Rozwiązanie pośrednie

O ile od strony technicznej można zabezpieczać się prawie doskonale w stosunku do wartości potencjalnie wykradzionych danych, o tyle podstawowym problemem jest kontrola ludzi. W końcu to oni generują większość informacji, przesyłają ją dalej w różnych formach (drukowanej, pisanej odręcznie, cyfrowej, głosowo, faksem), a każda z tych form ma swoje mocne i słabe strony. Podstawową rolą specjalisty do spraw zabezpieczeń jest prawidłowa ocena wagi danych informacji, przewidzenie konkretnych zagrożeń i przeciwdziałanie im w skuteczny sposób. Okazać się może, że lepsze efekty przyniesie inwestycja w osobny dział bezpieczeństwa niż dokładanie pracy i frontów działań zespołowi odpowiedzialnemu za IT.