Nowy model przetwarzania danych w firmie
- 09.11.2009
Z punktu widzenia bezpieczeństwa utrzymywanie rozdziału środowisk przetwarzania danych na centrum i stacje robocze nie przystaje do modelu, który ewoluuje w kierunku rozproszenia.
GRZEGORZ STĘPNIAK, dyrektor Pionu Informaty-ki w spółce Gaz System
Połączyć dwa światy
W takiej sytuacji nie lada wyzwaniem staje się połączenie mechanizmów sprawnego dostępu do rosnących zasobów danych z jednoczesnym zachowaniem bezwzględnych wymogów bezpieczeństwa. Historycznie, zagadnienia bezpieczeństwa i dostępności traktowano rozłącznie. Dzisiaj jednak tradycyjne podziały: serwerownia - stacja robocza, bezpieczeństwo - dostępność, zaczynają się zacierać i prawdopodobnie proces ten będzie postępował coraz szybciej. "Nowe zagrożenia, konsumeryzacja oraz cloud computing zmienią departamenty IT nie do poznania. Działy bezpieczeństwa i odpowiedzialne za zapewnienie dostępności będą ze sobą ściślej współpracować" - zwraca uwagę Piotr Chrobot, dyrektor Symantec Polska. Podział IT na część odpowiedzialną za przetwarzanie i ciągłość działania i część chroniącą przed zagrożeniami jest co prawda nadal silnie zakorzeniony w polskich firmach, ale widać już wyraźny trend do ujmowania tych obszarów w jedną całość.
Końcówka jest częścią systemu
MACIEJ KULISIEWICZ, dyrektor Departamentu Ryzyka Operacyjnego i Compliance w Invest Banku
Pomiędzy IT a biznesem
Oprócz modyfikacji zasad, rządzących rozproszonym środowiskiem przetwarzania danych, wyzwaniem dla osób odpowiedzialnych za bezpieczeństwo jest wypracowanie relacji z biznesem. To rola oficera bezpieczeństwa, który musi mieć przegląd technologii, ale znacznie ważniejsze jest to, aby panował nad organizacją i potrafił nawiązać dialog z biznesem. "Rozmowy na temat polityki bezpieczeństwa mogą być długie i pracochłonne, gdyż wiele szczegółów wymaga wyjaśnienia i dopracowania. Zazwyczaj jednak z dojściem do kompromisu nie ma problemów" - ocenia Marek Ujejski. Styk IT z biznesem stale poszerza się, co oznacza pojawianie się kolejnych obszarów, które należy odpowiednio chronić.
Ochrona i dostępność to pojęcia przyległe do świata IT. Biznes lepiej rozumie pojęcie ryzyka. Szczególnie dobrze widać to na przykładzie instytucji sektora finansowego. "W bankach obowiązują normy oceny ryzyka, narzucone przez regulację Bazylea 2, wymuszające zmiany organizacyjne, zbliżające ludzi bezpieczeństwa i dostępności. Zarządzanie ryzykiem operacyjnym obejmuje już nie tylko włamania, ale także straty, wynikające z niedostępności systemu" - wyjaśnia Maciej Kulisiewicz, dyrektor Departamentu Ryzyka Operacyjnego i Compliance w Invest Banku. Jeśli prawidłowo zaimplementuje się zasady zarządzania ryzykiem, w jednym miejscu skupią się różne rodzaje ryzyka (finansowe, prawne, IT). Odpowiedzialną za to komórką organizacyjną jest zazwyczaj niezależny dział, przeważnie nazywany departamentem ryzyka. Fachowcy przekonują, że sposób myślenia kategoriami ryzyka operacyjnego można przenieść do dowolnej instytucji, nie tylko z sektora bankowego.
Artykuł powstał na bazie debaty zorganizowanej przez Computerworld i firmę Symantec.