Jak przekonać zarząd do bezpieczeństwa IT

W większości zaleceń dotyczących bezpieczeństwa teleinformatycznego takich jak ISO 27002 na jednym z pierwszych miejsc wymieniane jest uzyskanie wsparcia zarządu. Tylko jak to wsparcie uzyskać?

Prowadzenie jakichkolwiek działań związanych z bezpieczeństwem informacji jest skazane na porażkę jeśli nie będzie im towarzyszyło wyraźne wsparcie ze strony kierownictwa organizacji. Zmiany zachowań pracowników w zakresie bezpieczeństwa są przede wszystkim zmianą kulturową, do której przeprowadzenia niezbędny jest przykład płynący z góry. Zdecydowana postawa kierownictwa jest też kluczowa do przekonania naturalnie pojawiających się w takich przypadkach sceptyków i malkontentów.

Brak tego wsparcia jest w stanie położyć wiele inicjatyw przeprowadzanych przez specjalistów. Osoby o wykształceniu technicznym mają niestety tendencję do ignorowania "czynnika ludzkiego" i nie zawsze potrafią sobie z nim radzić bo wiedzy tej nikt im nigdy nie przekazał, zwłaszcza na uczelni. Cała sztuka polega przy tym na przewidzeniu reakcji personelu i przygotowanie dla wszystkich zaangażowanych osób odpowiednich argumentów zawczasu. Każda nieprzemyślana odpowiedź w stylu "bo tak" albo "bo tak mówi polityka" udzielona malkontentowi przyczynia się do hamowania zmian a nawet porażki akcji.

Tymczasem kluczem do każdej zmiany kulturowej w organizacji, w tym związanej z bezpieczeństwem, jest uświadomienie każdemu zaangażowanemu co konkretnie grozi mu w wyniku zaniedbań w zakresie ochrony informacji. Z czego nie wszyscy zdają sobie sprawę, im wyżej w hierarchii tym łatwiej, bo ta odpowiedzialność rośnie.

Pracownicy wszystkich szczebli muszą sobie uświadomić, że w wyniku jednostkowych zaniedbań wymierne szkody może ponieść cała firma, a straty mogą dotknąć ich osobiście. Nie tylko w postaci sankcji dyscyplinarnych czy karnych - jedną z kategorii, w których firmy dotknięte wyciekami danych ponoszą największe straty są utracone korzyści ("lost business"). Mówiąc prościej, w wyniku wycieku danych firma może stracić klienta, a wtedy zespół go obsługujący stanie się po prostu zdędny.

Przygotowując prezentację dla zarządu na ten temat warto rozpocząć od przeglądu przepisów karnych z ustawy o ochronie danych osobowych. Nakładają one cały wachlarz kar, począwszy od grzywny a skończywszy na pozbawieniu wolności, na osoby naruszające obowiązki związane z ochroną danych osobowych. Przepisy te dotyczą szeregu zaniedbań i naruszeń dokonywanych przez całe spektrum osób, począwszy od osób na stanowiskach kierowniczych a skończywszy na szeregowych pracownikach. W przypadku niektórych instytucji arsenał ten można uzupełnić o przepisy związane z ochroną informacji niejawnych, informacji finansowych czy medycznych.

Bardzo dobrych argumentów dostarczy przegląd archiwum decyzji wydanych przez Generalnego Inspektora Danych Osobowych (GIODO) w przypadku konkretnych instytucji. Decyzje te są dostępne publicznie na stronach GIODO, w zakładce Prawo i dalej w działach Wyroki oraz Decyzje. Zwłaszcza te ostatnie podzielone są według sektorów (banki, fundacje, samorządy…) co ułatwia przygotowanie wyboru decyzji z najbardziej zbliżonej do nas branży. Dzięki temu opisywane tam problemy i wydane przez GIODO decyzje będą przedstawione w kontekście łatwym do skojarzenia z naszą własną sytuacją.

Analiza decyzji GIODO jest przydatna jeszcze do jednego celu - porównania bieżących praktyk w naszej instytucji z działaniami, które zostały zakwestionowane przez GIODO w innych instytucjach ("gap analysis"). Wynik przeglądu takich zbieżności przeprowadzonego z zarządem, kierownikami i pracownikami sprowadza się do wyciągnięcia przez wszystkich zainteresowanych wniosków co inni robili źle i jakie ponieśli konsekwencje.

Najlepszym źródłem tego typu przykładów jest jednak historia naszej własnej organizacji. Zwłaszcza w przypadku dużych i rozproszonych firm czy instytucji bardzo prawdopodobne jest, że w przeszłości zdarzały się już incydenty związane z bezpieczeństwem. Warto dotrzeć do osób znających ich szczegóły i je wyeksponować. Każdy taki incydent jest na wagę złota bo ma lokalny kontekst i przypomniany zarządowi w prezentacji przyciągnie ich uwagę. W przypadku dużych firm incydentów można wręcz poszukać w Google (np. doniesienia medialne). Jeśli pracujemy w korporacji międzynarodowej to pierwsze kroki skierujmy do strony datalossdb.org, która rejestruje takie incydenty raportowane przez media anglojęzyczne i zbiera je w systematyczny sposób.

W hierarchii skuteczności na kolejnym miejscu są incydenty z branży i instytucji o podobnym profilu. Informacja o wpadce konkurencji w pierwszej chwili wywoła być może satysfakcję, ale w drugiej będzie skutkować refleksją, które z zaniedbań w tamtej firmie mają miejsce także u nas. Wracamy więc do studiów przypadków, o których pisałem powyżej.

W prezentacji dla zarządu oraz kadr kierowniczych istotne jest posługiwanie się językiem dla nich zrozumiałym. Personel techniczny zaludniający zwyczajowo działy bezpieczeństwa ma tutaj niestety tendencję do dryfowania w stronę technikaliów mających nieraz niewielkie przełożenie na rzeczywistość. Na prywatną czarną listę należy wpisać odwoływanie się do najlepszych praktyk inżynierskich jako argumentu, że coś należy zrobić albo czegoś należy nie robić. Najskuteczniejszym językiem jest tutaj język pieniędzy.