Bezpieczna organizacja niebezpieczny umysł

Przede wszystkim ludzie powinni mieć korzyść z tego, że daną procedurę będą stosować; korzyść rozumianą nie materialnie, ale np. jako uproszczenie pewnej czynności, unikanie powtórzeń i poprawek, eliminację czasu trwonionego na spory kompetencyjne i usuwanie luk ("to nie moja odpowiedzialność, tylko tamtego").

Warto podać pozytywny przykład jednej z firm, która wprowadziła politykę bezpieczeństwa dotyczącą kontaktów z dostawcami, tj. ich uczestniczeniu w projektach informatycznych, dostępie do systemów i fizycznych pomieszczeń przedsiębiorstwa itd. Na każdą okoliczność przygotowany został "gotowiec" umowy z dostawcą, który świadczy danego rodzaju usługę, a do tego długie na jedną stronę podsumowanie zasad w prostych sześciu punktach. Jednocześnie każdy, kto miał pomysły na ulepszenie tych regulacji, mógł zgłosić się do wskazanej osoby, aby procedurę i towarzyszące jej dokumenty uczynić lepszą. Uzyskano efekt bezpieczeństwa, uniknięto poczucia ograniczania, a zwiększono przekonanie współodpowiedzialności za przestrzeganie zasad i stworzono "dodatnie sprzężenie zwrotne" zapewniające nieustanne udoskonalanie polityki bezpieczeństwa.

Poza prawem

Wdrażania polityki bezpieczeństwa nie ułatwia postawa samych informatyków. Otóż z nie do końca wiadomych przyczyn wiele działów informatyki w organizacjach funkcjonuje poza zasadami przez siebie tworzonymi. Jednym z podstawowych ograniczeń nakładanych na użytkowników jest np. zakaz instalowania oprogramowania pochodzącego z niewiadomych źródeł.

Ale na wielu komputerach pracowników działu informatyki można znaleźć nie tylko środowiska IDE, niezbędne w pracy programistycznej, ale np. popularne gry sieciowe albo internetowe komunikatory. Każdy z tych programów to potencjalna luka bezpieczeństwa i jeśli komukolwiek wydaje się, że ponieważ skończył studia informatyczne, to jest w stanie rozpoznać i wyeliminować takie luki sprawniej niż tzw. zwykły użytkownik, to grzeszy nie tylko niewiedzą, ale i arogancją.

Bez wątpienia ludzka natura informatyka potrzebuje poczucia, że jest on w jakiś sposób "lepszy od zwykłych użytkowników". Oczywiście zrozumiałe jest też, że informatycy - aby wykonywać swoje obowiązki - muszą posiadać uprawnienia większe niż przeciętny Kowalski. Natomiast muszą mieć świadomość, że posiadając szczególnie szeroki dostęp do systemów, stanowią też łatwy i atrakcyjny cel ewentualnego ataku. I że władza i odpowiedzialność to dwie strony tego samego medalu - mając więcej do powiedzenia w systemach, jednocześnie są za nie w większym stopniu odpowiedzialni.

Kawałek kamienia filozoficznego

I wreszcie ostatnią cechą natury ludzkiej jest wiara w istnienie cudownych sposobów na wzbogacenie się. Nawet najuczciwsi ludzie cechują się wiarą, że istnieje coś przypominającego kamień filozoficzny - prosty sposób na rozwiązanie skomplikowanych problemów, w szczególności problemu niedostatku środków materialnych.

Niedawno światek polskiej informatyki obiegła informacja o odejściu grupy pracowników Softbanku razem z klientem po to, by następnie zaoferować go (oraz siebie) konkurencji.

To stosunkowo nieczęsty przypadek, gdy na światło dzienne wychodzi ewidentne nadużycie ze strony pracowników na szkodę pracodawcy. Szemrane informacje w świecie informatyki mówią o wielu innych nieetycznych zachowaniach.

Handlowcy oferujący procent od kontraktów, kupujący żądający procentów, sprzedawanie poufnych informacji czy szpiegostwo na zlecenie konkurencji to zjawiska w pewnym sensie ekstremalne. Natomiast powszechniejsze, a wręcz po części akceptowane przez środowisko są zjawiska bardziej "miękkie", np. wykorzystywanie sprzętu jednego pracodawcy i czasu pracy, za który ów pracodawca zapłacił, do pracy na własny rachunek lub na rzecz kogoś innego.

Na wiarę w kamień filozoficzny najlepsze lekarstwo to znajdowanie właściwych ludzi. Bez pewności, że można ufać personelowi informatycznemu, na nic zdadzą się jakiekolwiek polityki i procedury. Ale ważna jest też właściwa postawa etyczna - nie tylko zawarta w oficjalnie ogłoszonym kodeksie, ale także ta prezentowana na co dzień przez menedżerów firmy.

Ludzie wielkiej wiary

Na końcu omówmy największy grzech natury ludzkiej: karmienie się ułudą. Kochamy wierzyć, że coś jest takie jak nam się wydaje, i to także jest jednym z ograniczeń bezpieczeństwa. Z natury jesteśmy optymistami i wierzymy, że będzie dobrze, a jeśli nie dobrze, to przynajmniej nie będzie źle. O ile w ogóle istnieją cechy narodowe, to "jakośtobędzizm" jest na pewno cechą narodową Polaków. Ale - bądźmy sprawiedliwi - nie tylko naszą.

Na całym świecie można znaleźć zasady bezpieczeństwa, których nigdy nie wdrożono; polityki napisane tak jakby nikt nie wierzył, że kiedykolwiek trzeba je będzie realizować; wymagania, których zastosowanie doprowadziłoby do upadku każdą firmę z kopalnią złota włącznie; miliony wydane na systemy zabezpieczeń, których nigdy nie przetestowano.

W każdym z nas czai się naiwna wiara, że co prawda na świecie są hakerzy i boty skanujące sieci w poszukiwaniu luk, ale na naszą zapadłą prowincję nie trafią, prześlizgną się po niej, bo przecież co komu z włamania na jakiś trzeciorzędny komputer w firmie z czwartej setki największych firm w Polsce.

Gdyby zapytać przeciętnego CIO, po co inwestuje w bezpieczeństwo informatyczne, odpowie zapewne: po to by spokojnie spać. Otóż spokojny sen zapewnia jeszcze kilka rzeczy, np. przekonanie, że jutro będzie lepiej oraz jakaś spektakularna, naprawdę duża inwestycja. Taka właśnie jest natura ludzka i wiara w to, że będzie dobrze to po prostu psychologiczny mechanizm obronny przed "zamartwieniem się na śmierć".

Dziś, w roku 2006, mało która organizacja może o sobie powiedzieć, że pod względem informatycznym jest bezpieczna. Natomiast niemal na pewno można powiedzieć jedno: odpowiedzi na pytanie "jak zwiększyć bezpieczeństwo" trzeba dziś szukać coraz mniej w technologii, a coraz bardziej w socjologii i psychologii.


TOP 200