Jak przekonać zarząd do bezpieczeństwa?

W większości zaleceń dotyczących bezpieczeństwa teleinformatycznego wymienia się uzyskanie wsparcia zarządu. Tylko jak to zrobić?

Prowadzenie działań związanych z bezpieczeństwem informacji jest skazane na porażkę, jeśli nie będzie im towarzyszyło wsparcie ze strony kierownictwa. Zmiany zachowań pracowników, w tym sceptyków i malkontentów, są przede wszystkim zmianą kulturową, do której przeprowadzenia niezbędny jest przykład płynący z góry. Osoby z wykształceniem technicznym mają tendencję do ignorowania czynnika ludzkiego i nie zawsze potrafią sobie z nim radzić, gdyż tej wiedzy nikt im nie przekazał, zwłaszcza na uczelni.

Kluczem do zmiany kulturowej związanej z bezpieczeństwem jest uświadomienie każdemu zaangażowanemu, co grozi mu w wyniku zaniedbań. Im wyżej w hierarchii, tym łatwiej, bo odpowiedzialność rośnie.

Postraszyć zarząd przepisami

Przygotowując prezentację dla zarządu, warto rozpocząć od przeglądu przepisów karnych z ustawy o ochronie danych osobowych, które nakładają cały wachlarz kar, od grzywny do pozbawienia wolności włącznie. Przepisy te dotyczą szeregu zaniedbań i naruszeń dokonywanych przez całe spektrum osób, w tym także tych na stanowiskach kierowniczych. W przypadku niektórych instytucji ten arsenał można uzupełnić o przepisy związane z ochroną informacji niejawnych, finansowych czy medycznych.

Archiwum GIODO lub wpadki konkurencji

Dobrych argumentów dostarczy przegląd archiwum decyzji Generalnego Inspektora Danych Osobowych (GIODO). Analiza decyzji jest przydatna także do porównania bieżących praktyk z zakwestionowanymi przez GIODO działaniami w innych instytucjach. Wynik przeglądu przeprowadzonego z zarządem, kierownikami i pracownikami sprowadza się do wyciągnięcia wniosków, co inni robili źle i jakie ponieśli konsekwencje. Najlepszym źródłem jest jednak historia własnej organizacji. Bardzo prawdopodobne jest, że w przeszłości zdarzały się już incydenty związane z bezpieczeństwem. Każdy taki incydent ma lokalny kontekst i przyciągnie uwagę zarządu. Incydentów w dużych firmach można wręcz poszukać wśród doniesień medialnych, a także na stronie datalossdb.org, która systematyzuje przypadki raportowane przez media anglojęzyczne.

W hierarchii skuteczności na kolejnym miejscu są incydenty z branży i instytucji o podobnym profilu. Informacja o wpadce konkurencji w pierwszej chwili wywoła być może satysfakcję, ale w drugiej będzie skutkować refleksją na temat zaniedbań, które występują także u nas.

Jak zrobić prezentację

W prezentacji dla zarządu oraz kadr kierowniczych istotne jest posługiwanie się językiem dla nich zrozumiałym, a jest nim tylko język pieniędzy. Nie warto odwoływać się do najlepszych praktyk inżynierskich lub "technikaliów".

Strona datalossdb.org starannie gromadzi informacje o stratach ponoszonych przez firmy. Można się z niej na przykład dowiedzieć, że firma Heartland Payment Systems (HPS), w której w 2008 doszło do rekordowego wycieku danych kart kredytowych (130 mln osób), musiała zapłacić prawie 70 mln USD odszkodowań, a jej kurs giełdowy z dnia na dzień spadł prawie do połowy wartości i powrócił do poprzedniego poziomu dopiero po półtora roku.

Jak liczyć straty

Straty finansowe z tytułu utraty kontroli nad danymi można szacować na podstawie trzech źródeł. Pierwszym z nich są przepisy prawa - w Polsce GIODO może nakładać karę do 50 tys. zł oraz nakazać zaprzestania przetwarzania danych, co może mieć gorsze skutki. Wyciek danych może także skutkować koniecznością czasowego zamknięcia dziurawego serwisu internetowego - spektakularnym przykładem jest zamknięcie serwisu PSN i Qriosity przez Sony. Straty z tego tytułu idą w miliony dolarów.

Wartościowym źródłem szacunków są coroczne raporty Ponemon Institute "Cost of data breach", które wyznaczają górną granicę kosztów incydentu, biorąc pod uwagę straty wizerunkowe czy utracone korzyści. Średni koszt incydentu wycenia się tam według liczby utraconych danych osobowych, po 140 dolarów za jedną osobę. Zatem w przypadku HPS z roku 2009, koszt mógł sięgnąć ponad 7 mld USD, licząc utracone korzyści i długotrwały spadek wartości firmy.

Ciekawe są publiczne raporty brytyjskiej FSA (Financial Security Agency) - kary nakładane przez tę instytucję wynoszą nieraz kilka milionów funtów.

Gdy mówią, że firma jest mała

Sceptycy stosują argument braku zainteresowania włamywaczy niewielkimi firmami. Należy wtedy wskazać przykład masowych ataków prowadzonych przez automaty z roku 2008 i 2011 (po pół miliona stron prywatnych i firmowych za każdym razem, m.in. Wyższa Szkoła Policji w Szczytnie). Wiele firm padało też ofiarami ataków o charakterze chuligańskim - m.in. atak na Sąd Okręgowy w Częstochowie. Strona może trafić na czarną listę (Google Safe Browsing, Microsoft Phishing Filter, OpenDNS, WebSense), co będzie skutkowało wyświetlaniem ostrzeżeń przed wejściem na stronę naszej organizacji, często przez wiele miesięcy po ataku.

Niniejszym informuje się, iż przedmiotowa sprawa...

Problemem w Polsce jest monumentalizm - w małej firmie podejmuje się próbę wdrożenia polityki zajmującej 120 stron, właściwej dla banku czy korporacji - a to prowadzi do porażki. Polityka musi wynikać z potrzeb firmy, kontekstu i przepisów prawa.

Drugi problem kulturowy to zły język, bełkot, będący połączeniem źle pojętego języka prawniczego, urzędowego i technicznego. Zwroty, takie jak: "niniejszy", "przedmiotowy" czy "iż", należy wpisać na czarną listę, a polityki pisać językiem precyzyjnym, ale zrozumiałym. Nie ma szans powodzenia coś, co nie zostanie zrozumiane przez adresatów.

Rada na sceptyków

W każdej organizacji trafiają się sceptycy lub pracownicy lekceważący zasady. Nie należy udawać, że ich nie ma ani ignorować ich opinii. Pracownicy tacy są specyficzną "kontrolą jakości", która może pozwolić na wyłapanie nadmiarowych czy bezsensownych zaleceń. Osoby takie reagują sceptycyzmem na brak uzasadnień ("bo tak jest napisane") i kiedy je otrzymają ("bo nasza konkurencja została dokładnie za to ukarana"), realizują zalecania z zaangażowaniem. Należy przekazać pracownikom, że także od ich zachowania zależy działanie przedsiębiorstwa, a zatem ich miejsca pracy.

Naturalnym zjawiskiem jest też istnienie osób lekceważących zasady. Tu działa jedynie egzekwowanie odpowiedzialności, do zwolnienia włącznie. Do tego niezbędne jest zaangażowanie kierownictwa, od którego zaczęliśmy ten artykuł.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200