Podejście do zarządzania

Schemat organizacji z normy PN-I-13335-2 obrazuje przykładową organizację bezpieczeństwa w organizacji. W niej IT Security Officer może odpowiadać za bezpieczeństwo informacji w poszczególnych systemach teleinformatycznych (albo grupie systemów), może też znajdować się na poziomie departamentu lub innej jednostki organizacyjnej firmy (jako dyrektor departamentu albo doradca dyrektora departamentu). Spotykane są również rozwiązania, gdy IT Security Officer znajduje się na wyższym poziomie w organizacji - jako doradca zarządu ds. zapewniania bezpieczeństwa teleinformatycznego albo jednostka autonomiczna odpowiedzialna bezpośrednio przed najwyższym kierownictwem instytucji za bezpieczeństwo teleinformatyczne. Dodałabym ponadto kategorię IT Security Officerów wyznaczonych do poszczególnych zadań, np. do monitorowania bezpieczeństwa czy do spraw projektowania i rozwoju zabezpieczeń.

Z moich obserwacji wynika, że firmy stosują tego rodzaju rozwiązania jak PN-I-13335-2 dopiero w przypadku, gdy zapewnienie odpowiedniego poziomu bezpieczeństwa teleinformatycznego ma krytyczne znaczenie ze względu na obszar działalności firmy. Dla przykładu można tutaj podać niektóre firmy telekomunikacyjne. Niestety, stosunkowo niewiele organizacji zapewnia ochronę informacjom przetwarzanym w systemach teleinformatycznych na takim poziomie.

Wielopoziomowe zarządzanie bezpieczeństwem teleinformatycznym jest godne rozważenia, w szczególności w firmach z rozbudowaną infrastrukturą teleinformatyczną, dla których utrata informacji może nieść za sobą zgubne skutki - zarówno biznesowe (straty finansowe, utrata wizerunku, reputacji, zaufania klientów), jak i prawne (sankcje za ujawnienie informacji prawnie chronionych, utrata prawa świadczenia określonych usług). Są to zazwyczaj banki, firmy telekomunikacyjne, firmy ubezpieczeniowe czy firmy logistyczne.

W innych przypadkach tak rozbudowana struktura zarządzania bezpieczeństwem teleinformatycznym może być uznana za nieefektywną, choćby z uwagi na stosunek jej kosztu do osiąganego efektu. Każdorazowo dobór poziomów, na których będą występowali IT Security Officerowie, powinien być dostosowany do danej organizacji.

Kandydat na IT Security Officera

Ponad 60% ankietowanych osób odpowiedzialnych za bezpieczeństwo teleinformatyczne przyznało, że liczba IT Security Officerów w ich firmach jest niewystarczająca. Czym to skutkuje, poza ryzykiem ograniczonej skuteczności ochrony informacji w systemach teleinformatycznych firmy? Chociażby, potwierdzonym przez wyniki ankiety, kumulowaniem zadań przez inspektorów bezpieczeństwa teleinformatycznego, a co za tym idzie łączeniem uprawnień i wiedzy w "jednych rękach". Jest to pogwałcenie zasady mówiącej o konieczności podziału ról i odpowiedzialności osób realizujących zadania związane z zapewnianiem bezpieczeństwa teleinformatycznego. Dla przykładu: niedopuszczalne jest wykonywanie przez jedną osobę zadań związanych z eksploatacją rozwiązań zapewniających bezpieczeństwo teleinformatyczne w systemach oraz nadzorowanie bezpieczeństwa.

Ankieta potwierdziła, że prawie 20% z nich wykonuje w organizacjach "wszystko, co jest związane z IT Security". Trzeba sobie uświadomić, że taki "wszechstronny" IT Security Officer stanowi - paradoksalnie! - potencjalne zagrożenie dla bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych. Jest tak z przyczyn podanych powyżej, jak również ze względu na ryzyko związane z dostępnością takiej osoby.

Praktyczne obserwacje wskazują na to, że wśród IT Security Officerów przeważają osoby w wieku 30-40 lat. Przy wyborze kandydatów na tego rodzaju stanowisko osoby odpowiedzialne za bezpieczeństwo teleinformatyczne w organizacjach biorą pod uwagę wykształcenie kandydata, jak również doświadczenie zawodowe i odpowiednie uprawnienia (np. odbycie szkolenia dla inspektorów bezpieczeństwa teleinformatycznego organizowane przez ABW oraz posiadanie poświadczenia bezpieczeństwa osobowego).

Wbrew pozorom, posiadanie certyfikatów typu CISA czy CISSP nie ma decydującego znaczenia przy wyborze kandydata. Ważniejsze jest posiadanie odpowiednich cech psychofizycznych przydatnych na tym stanowisku, takich jak: odporność na stres, sumienność i asertywność oraz istotnych umiejętności komunikacyjnych, jak również analitycznego i zdroworozsądkowego myślenia.

Co pracodawcy oferują w zamian? Poza ciekawą pracą, jak wynika z przeprowadzonej ankiety, większość badanych inspektorów bezpieczeństwa teleinformatycznego nie jest usatysfakcjonowana swoim wynagrodzeniem, nie bardzo też widzi możliwości awansu w swoich organizacjach.

Patrycja Ilasz-Kłoda jest prawnikiem ds. ochrony informacji w Telekomunikacji Polskiej. W Departamencie Zarządzania Bezpieczeństwem Systemów Teleinformatycznych zajmuje się prawnymi i organizacyjnymi aspektami zapewniania bezpieczeństwa teleinformatycznego. Pełniła funkcję zastępcy kierownika zespołu kontrolującego z upoważnienia ministra gospodarki i pracy podmioty świadczące usługi certyfikacyjne (e-mail: [email protected] ). Problematyka usankcjonowania funkcji IT Security Officerów w polskim prawie i praktyce została zaprezentowana przez autorkę na IX Krajowej Konferencji Zastosowań Kryptografii Enigma 2005.