Jak wprowadzać zmiany?

Wdrożenie Polityki Bezpieczeństwa można podzielić na cztery etapy: audyt istniejących zasobów i zagrożeń, opracowanie projektu i dokumentacji, właściwe wdrożenie oraz ciągły nadzór, kontrola i modyfikacje istniejącej już Polityki...

W pierwszym etapie pracownicy firmy konsultingowej, która podjęła się opracowania Polityki Bezpieczeństwa, dokonują spisu wszystkich zasobów firmy i zagrożeń, na jakie są one narażone, a także przedstawiają ważne drogi rozprzestrzeniania się danych (również drogi decyzyjne). W trakcie serii spotkań z zarządem firmy dochodzi do uściślenia opisu dróg obiegu danych w firmie i ustalenia wartości poszczególnych zasobów. Jest to najważniejszy punkt w tworzeniu Polityki..., gdyż jego wyniki posłużą zarządowi do podjęcia decyzji dotyczących dalszego kierunku prac.

Zarząd musi zdecydować, czy zmianami zostanie objęte całe przedsiębiorstwo, czy tylko jego część. W obu przypadkach powinien być wypracowany dokładny i optymalny harmonogram zmian, a także przedstawione propozycje dotyczące kosztów całej operacji wraz z określeniem celów do realizacji (stopień zabezpieczeń poszczególnych zasobów do osiągnięcia).

Kolejnym etapem jest opracowanie projektu Polityki Bezpieczeństwa. Jednym z jego kluczowych elementów jest opracowanie tzw. merytorycznego pionu zależności służbowych lub, mówiąc inaczej, takie opisanie zależności służbowych w firmie, by każdy pracownik był odpowiedzialny za bezpieczeństwo w zakresie ściśle związanym z jego obowiązkami służbowymi. Efektem powstania takiego planu musi być zlikwidowanie pokrywania się, wykluczania lub uzupełnienie braków kompetencji.

Jeżeli zmiany będą dotyczyć np. pionu informatycznego, to ich bezpośrednim efektem będzie oddzielenie ponoszenia odpowiedzialności za bezpieczeństwo danych elektronicznych od zajmowanego stanowiska w hierarchii służbowej przedsiębiorstwa. Właściwy podział kompetencji wyklucza np. sytuacje, w których polecenie służbowe kierownika działu będzie realizowane, mimo niezgodności z zasadami bezpieczeństwa (co wiąże się również z karami - za ujawnienie lub kradzież danych osobowych ponosi odpowiedzialność administrator serwera bazy danych, a nie kierownik działu czy prezes przedsiębiorstwa).

Stworzenie takiej struktury nie jest jednak proste. Z jaką sytuacją będziemy mieli do czynienia, gdy zatrudniamy administratora bazy danych na serwerze administrowanym przez inną osobę? Który z nich jest odpowiedzialny za kradzież danych osobowych? A co w przypadku, gdy za ujawnienie danych odpowiedzialny jest pracownik, łączący się z bazą danych jedynie za pomocą klienta, a nie zostało mu to udowodnione? Czy w przypadku braku w logach systemu zapisów aktywności tego pracownika należy obarczyć odpowiedzialnością administratora, i którego?

Przy projekcie zmian organizacyjnych zespół realizujący projekt musi opracować przepisy i regulaminy, propozycje szkoleń oraz tryb ich przeprowadzania. Poza zmianami kadrowymi musi także uwzględnić w projekcie Polityki... rozwiązania fizycznej ochrony pomieszczeń, ewentualnych zakupów sprzętu i oprogramowania oraz tryb wdrażania sprzętu i oprogramowania.

Zamiana starego na nowe

Jednym z podstawowych błędów, jakie mogą być popełnione przy realizacji Polityki Bezpieczeństwa, jest wymiana stosowanych aplikacji i systemów operacyjnych na nowe ich wersje bądź też ich kompletna zamiana na produkty innych producentów uchodzące za bardziej bezpieczne. Jest to jedno z najgorszych rozwiązań, jakie mogą być wybrane (od strony organizacyjnej), dlatego konieczne jest dokładne przeanalizowanie tak rewolucyjnych zmian i wpływu, jaki będą one miały na funkcjonowanie systemu informatycznego firmy.

Jeżeli zakład pracy ma sprawdzoną kadrę administracyjną do obsługi posiadanego sieciowego systemu operacyjnego, to przed podjęciem decyzji o przejściu na inny system należy się poważnie zastanowić - nawet jeżeli jest on zachwalany jako superbezpieczny. Firma nie posiadająca kadry przygotowanej do obsługi nowej platformy, może nie tylko nie wykorzystać zachwalanych zabezpieczeń, lecz wręcz wprowadzić nowe zagrożenia. Skazana będzie na wykupienie serwisu albo u producenta, albo u innej firmy, co stanowi realne zagrożenie dla bezpieczeństwa danych przechowywanych w sieci komputerowej.

Oczywiście, alternatywą jest zapewnienie swoim administratorom nowych szkoleń z nowego systemu lub zatrudnienie nowego administratora. Oba wyjścia są równie dobre co złe i wiążą się z dodatkowymi nakładami finansowymi.

Zawsze należy również rozważyć, czy nowy system jest tak naprawdę potrzebny. Dla przykładu - jeden z polskich banków posiadał system szyfrowania transmisji danych oparty na algorytmie i zestawie kluczy możliwych do złamania w ciągu jednej godziny. Dużym nakładem kosztów wprowadzono nowy system, chroniący dane przez około 24 godziny. Z pozoru wydawałoby się, że podjęto słuszną decyzję - przecież bank wzmocnił ochronę transmisji danych. Tak naprawdę inwestycja ta była całkowicie zbędna, ponieważ transakcje zawierane tą drogą były upubliczniane już po około pięciu minutach od ich realizacji.