Koncepcja dobra, bo własna

Dopiero wraz z wdrożeniem procedur bezpieczeństwa należy wybrać i skonfigurować system zabezpieczeń infrastruktury teleinformatycznej. Opieranie się w tej dziedzinie na gotowych, fabrycznych zaleceniach nie przynosi dobrych efektów. Każdy system musi być skonfigurowany pod kątem konkretnego przedsiębiorstwa. Pozostawienie domyślnych ustawień jest typowym błędem - należy koniecznie zwrócić uwagę na to, by nie zostawić takich "dziur". Gdy wyborem, przystosowaniem i konfiguracją tego systemu ma zarządzać firma zewnętrzna, bardzo ważny jest nadzór formalny nad jej pracą oraz gromadzenie logów z kluczowych systemów zabezpieczeń. Należy koniecznie żądać przedstawienia kryteriów wyboru konkretnego dostawcy, założeń konfiguracji, a przede wszystkim kompletnej dokumentacji konfiguracji - najlepiej z całą historią zmian.

Można się zastanawiać, czy zlecenie komukolwiek z zewnątrz ochrony informacji w firmie w ogóle ma sens. Aby skutecznie chronić informację w firmie zgodnie z jej interesem, trzeba wiedzieć, jak owa firma działa. Zewnętrzna firma niekoniecznie jest w stanie poznać przedsiębiorstwo na tyle dobrze, by móc działać skutecznie. Czym innym jest przecież outsourcing działu finansowego (łatwo podlegający kontroli) czy technicznego (jasno sformułowane warunki współpracy), obsługi podstawowej infrastruktury teleinformatycznej czy floty, a czym innym zapewnienie działającej firmie bezpieczeństwa informacji. Trzeba mieć świadomość, że outsourcing w dziedzinie bezpieczeństwa jest skuteczny, jeśli ogranicza się do administracji systemami zabezpieczeń i rozwiązywania bieżących problemów. Koncepcja bezpieczeństwa informacji i strategia jej realizacji musi powstać wewnątrz firmy.

Firmy zewnętrzne, które oferują usługi zarządzania systemami zabezpieczeń, przeważnie mają w ofercie usługi kompleksowe - wychodzą od szczegółów (infrastruktura teleinformatyczna i związane z nią działania, usługi, koszty) i dążą do coraz większego udziału czy też wpływu na sprawy związane z bezpieczeństwem w firmie (obieg informacji, klasyfikowanie, polityka bezpieczeństwa), a więc do ogółu. Tymczasem jedyną rozsądną drogą jest myślenie odwrotne - od ogółu do szczegółu. Podejście całościowe jest tu tak naprawdę jedynie słuszne.

Nic na szybko

Sprawą szczególnej wagi w dziedzinie zarządzania bezpieczeństwem informacji jest ustalenie jasnych zakresów i zasad odpowiedzialności. W przypadku naprawdę dużych firm, zadaniu projektowania i wdrażania koncepcji ochrony informacji nie sprosta jedna osoba, niemniej w większości przedsiębiorstw wystarczy jeden etat. Obciążenie pracą osoby mającej czuwać nad bezpieczeństwem informacji trzeba jednak starannie rozważyć, bo jeśli bezpieczeństwo informacji jest sprawą naprawdę kluczową, byłoby lepiej, aby osoba ta nie pracowała stale pod stałą presją czasu.

Bezpieczeństwa informacji nie da się zapewnić "na szybko" - w dziedzinie zabezpieczeń pośpiech jest zdecydowanie złym doradcą. Owszem, człowiek na takim stanowisku musi być wydajny, ale - ze względu na prewencyjny charakter pracy - tej wydajności nie da się sprowadzić do prostych wskaźników. Receptą na bezpieczeństwo jest wiedza (choć nie encyklopedyczna), ale przede wszystkim umiejętność kojarzenia faktów. Zarządzanie bezpieczeństwem informacji w firmie wymaga poświęcenia sporej ilości czasu na lekturę informacji fachowych - z tą wiedzą nikt się przecież nie rodzi, w szkole też tego nie uczą. To ważne, bo pomimo ciągłego pogłębiania wiedzy, jej dewaluacja następuje błyskawicznie - znacznie szybciej, niż w przypadku innych dziedzin, jak administracja czy programowanie.

Człowiek odpowiedzialny za bezpieczeństwo w przedsiębiorstwie musi posiadać stosowne umocowania. Warto zacząć wpajać osobom odpowiedzialnym za zarządzanie firmą podejście do bezpieczeństwa jako naturalnej części biznesu, takiej samej jak serwisowanie floty czy oliwienie maszyn. Bez takich pomocniczych funkcji biznes nie funkcjonuje dobrze i dla wszystkich jest oczywiste, że wymagają one odpowiedniego finansowania i uwzględniania w planowaniu. Z tym wiąże się także dobranie podległości służbowej. Moim zdaniem jedynym rozsądnym rozwiązaniem jest ulokowanie takiego stanowiska jako podlegającego bezpośrednio prezesowi zarządu, w żadnym wypadku dyrektorowi jakiegoś pionu. Najlepiej, by był to pracownik w randze pełnomocnika zarządu.

Takie umiejscowienie i umocowanie ma głęboki sens. Jeśli bowiem poszczególne obszary biznesu - chcąc nie chcąc - angażują się w wymianę informacji ze światem i wykorzystują nieraz pokaźne zbiory informacji wewnętrznej kluczowej dla powodzenia firmy na rynku, musi istnieć skuteczny sposób, by skłonić je do wykorzystania najlepszych praktyk w dziedzinie ochrony informacji. Uniezależnienie osoby odpowiedzialnej za bezpieczeństwo informacji od nacisków menedżerów biznesowych zarządzających tą informacją okazuje się w praktyce kluczowe - oczywiście, jeśli bezpieczeństwo informacji nie jest celem sztucznym, na pokaz, a rzeczywistym.

W tym kontekście ważne jest wewnętrzne komunikowanie o roli osoby odpowiedzialnej za bezpieczeństwo przed menedżerami biznesowymi. Jeśli zarząd wyraźnie zakomunikuje - nie tylko formalnie, ale i swoją postawą, opinią i czynem, że zabezpieczanie informacji ma znaczenie, sprawy pójdą znacznie łatwiej. Oczywiście, musi też powstać system zachęt formalnych i nieformalnych, by osoby odpowiedzialne za bezpieczeństwo nie były postrzegane jako twórcy niepotrzebnych problemów. Inaczej takie osoby będą marginalizowane i cel nie zostanie osiągnięty. Przykład, zachęta i wsparcie muszą iść z góry.

Strefa wysokich napięć

Obszarem napięć będzie prawie na pewno współpraca osób odpowiedzialnych za bezpieczeństwo informacji z działem informatyki. Ryzyko, że obie strony będą starać się udowodnić tej drugiej, że jest niekompetentna, jest spore. Człowiek odpowiedzialny za bezpieczeństwo musi więc być stanowczy, ale jednocześnie skłonny do rozsądnych kompromisów. Wiele będzie zależeć od charakteru i doświadczenia w pracy z ludźmi - nie mniej, niż od samych kwalifikacji w dziedzinie zabezpieczania informacji.

Prosty przykład - naprawdę duża infekcja wirusa komputerowego paraliżująca firmę albo włamanie do sieci. Stało się, więc powstaje pytanie: kto jest winien? Problem w tym, że nie zawsze jest to oczywiste. Nawet jeśli uda się ustalić bezpośrednią przyczynę problemu, obwinianie kogokolwiek jest karkołomne. Poza tym zarządzanie bezpieczeństwem informacji to zarządzanie ryzykiem, dopuszczające możliwość wystąpienia problemów - budżet na zapewnienie bezpieczeństwa zawsze będzie ograniczony.

Rozziew między zaleceniami specjalisty ds. bezpieczeństwa a rzeczywistym stanem systemów IT jest pierwszym symptomem tego, że niebawem może dojść do jakiegoś zdarzenia. Bywają jednak przypadki, gdy dział IT nie ma możliwości spełnienia zaleceń osoby odpowiedzialnej za bezpieczeństwo informacji. Tutaj najczęstszym powodem jest opór ze strony dyrekcji, np. osobiste upodobania, nawyki oraz generalna niechęć do zmian. Mniej częste, ale za to gorsze w skutkach, są ograniczenia technologiczne. Niektóre z nich są krytycznie groźne, inne mniej, ale w każdym przypadku powodują kłopotliwe dyskusje między oficerem bezpieczeństwa a działem IT, który zaleceń "bezpieczniaka" nie może wcielić w życie.

Ktoś, kto zajmuje się bezpieczeństwem informacji, powinien opiniować wszystkie projekty biznesowe i techniczne pod tym właśnie kątem. Dotyczy to na przykład wyboru oprogramowania, zabezpieczeń fizycznych, informatycznych, rozbudowy sieci handlowej, wymiany danych z partnerami itp. Udział osoby odpowiedzialnej za bezpieczeństwo w grupach decyzyjnych, wybierających tak kluczowe dla firmy obiekty jak oprogramowanie obsługujące firmę, jest warunkiem koniecznym dobrego planowania bezpieczeństwa informacji.

Działanie wyważone

Skoro wiadomo ponad wszelką wątpliwość, że stosowane w firmach technologie do przetwarzania i przekazywania informacji nie są doskonałe, trzeba mieć na uwadze podejście całościowe do jej ochrony. W dziedzinie bezpieczeństwa informacji wielu zagrożeniom można skutecznie zapobiegać, nie można jednak liczyć, że nic złego się nie stanie. Przedmiotem zarządzania bezpieczeństwem informacji jest w dużej mierze poszukiwanie stosownego optimum między ryzykiem a nakładami na jego minimalizowanie. Przygotować się należy zwłaszcza do określania poziomu ryzyka, bowiem błąd w tej dziedzinie rzutuje na całe dalsze wnioskowanie.