W powszechnych wyobrażeniach podstawowym zagrożeniem dla systemów informatycznych czy sieci są osoby z zewnątrz, źli ludzie, którzy bądź z chęci zysku, bądź dla rozrywki próbują przełamać zabezpieczenia, dostać się do środka i zapanować nad serwerami i komputerami. Badania, statystyki jasno wskazują na to, że znacznie większe zagrożenia mają swe źródła wewnątrz organizacji. Około 80% zdarzeń zagrażających organizacji jest powodowanych przez pracowników. Moje doświadczenia to potwierdzają. Potwierdzają to również specjaliści zajmujący się bezpieczeństwem także w organizacjach poza sektorem bankowym. Bez względu na profil działalności w banku czy firmie produkcyjnej wszędzie pracują tacy sami ludzie.

Chciałbym dodać przy tym słowo komentarza. Nie chcę przez to powiedzieć, że pracownicy są nielojalni wobec pracodawców. Zagrożenia wewnętrzne, o których mowa, wynikają przede wszystkim z niedostatecznego stopnia świadomości co do skutków podejmowanych działań. Dlatego tak wielkie znaczenie ma podnoszenie wiedzy technicznej, informatycznej, sygnalizowanie zagrożeń. Konieczne jest organizowanie szkoleń, w trakcie których kształtowane są pewne nawyki, reakcje jakich życzymy sobie od pracowników. Chodzi o uczulanie ich na pewne rodzaje zagrożeń. Najczęściej zagrożenia nie płyną ze złej woli, ale z nieświadomości. Zdarzają się też przypadki rażącej bezmyślności.

Wielu ekspertów z dziedziny bezpieczeństwa mówi obecnie o konwergencji zagrożeń, mając na myśli, że organizacje przestępcze będą atakować, stosując jednocześnie metody fizyczne w połączeniu z metodami "cyfrowymi"? Czy połączenie Biura Bezpieczeństwa i Logistyki Systemów Informatycznych z Biurem Bezpieczeństwa Kredyt Banku to odpowiedź na takie prognozy?

Źródłem połączenia był projekt tworzenia polityki bezpieczeństwa. Został on zainicjowany przez jednostkę odpowiedzialną za bezpieczeństwo systemów informatycznych.

Liczba obszarów wymagających uregulowania jest znacznie większa po stronie informatycznej. Każdy postęp technologii, wprowadzenie nowego rozwiązania powoduje, że powstają nowe obszary, które należy zagospodarować i włączyć w ramy polityki bezpieczeństwa. Proces aktualizacji planów awaryjnych nie ma końca. Trzeba dotrzymywać kroku zmieniającej się rzeczywistości. Zasady generalne nie podlegają zmianom przez długi czas, natomiast na poziomie wykonawczym pokrywanie nowych obszarów to proces permanentny.

Ochrona fizyczna placówek, osób i mienia, kontrola ruchu osobowego - tutaj trudno oczekiwać rewolucji. Zwiększa się rola zabezpieczeń technicznych kosztem klasycznej ochrony zapewnianej przez ludzi, niemniej zmiany są powolne. Na pewnym etapie musieliśmy jednak zacząć uwzględniać aspekty związane z ochroną fizyczną osób i mienia. Polityka musi być kompleksowa, obejmować wszystkie aspekty związane z bezpieczeństwem organizacji.