Menedżer, nie oficer

Bezpieczeństwo to jedna ze sfer działalności firmy, która wciąż nie doczekała się zrębów jednolitych standardów organizacyjnych. Liczba pomysłów na cele, zakres kompetencji czy strukturę działów bezpieczeństwa jest niemal równa liczbie firm je posiadających.

Bezpieczeństwo to jedna ze sfer działalności firmy, która wciąż nie doczekała się zrębów jednolitych standardów organizacyjnych. Liczba pomysłów na cele, zakres kompetencji czy strukturę działów bezpieczeństwa jest niemal równa liczbie firm je posiadających.

Kiedy ponad dwa lata temu Andrzej Pakulski przystępował do formowania działu bezpieczeństwa w Kredyt Banku, w instytucji obowiązywały procedury dotyczące obiegu informacji opracowane na podstawie wymogów określonych przez Komisję Nadzoru Bankowego. Mimo to zarząd banku coraz bardziej odczuwał konieczność powołania odrębnej komórki, która koordynowałaby działania podejmowane przez różne departamenty.

Organizowanie nowego działu zbiegło się z reorganizacją Departamentu Informatyki i Telekomunikacji. Pion IT zatrudniający ponad 150 osób podzielono na cztery odrębne jednostki, wśród których znalazło się również Biuro Bezpieczeństwa i Logistyki Systemów Informatycznych. Jego dyrektorem, odpowiedzialnym nie tylko za bezpieczeństwo, ale także nadzór nad kosztami zakupów sprzętu i oprogramowania (stąd w nazwie termin "logistyka"), został właśnie Andrzej Pakulski. Po roku do jego obowiązków dołączono także nadzór nad bezpieczeństwem fizycznym, a całe biuro przekształcono w Departament Bezpieczeństwa.

Menedżer, nie oficer

Andrzej Koweszko, dyrektor ds. bezpieczeństwa w ING Bank Śląski

Szef nowej komórki znalazł się w komfortowej sytuacji, której mogłoby mu pozazdrościć wielu menedżerów. Od początku miał decydujący wpływ zarówno na kształt rozwiązań organizacyjnych, jak i dobór ludzi do swojego departamentu. Formowanie departamentu nie obeszło się jednak bez problemów. Konflikty dotyczyły chociażby przejmowania niektórych wysoko wykwalifikowanych specjalistów - w końcu żaden szef nie lubi rozstawać się z dobrymi podwładnymi. "Pierwsze miesiące działania w ogóle były dość trudne. Mnie i moim ludziom towarzyszyła spora nieufność. Powstawał nowy dział z dużymi kompetencjami kontrolnymi, o którym praktycznie niewiele było wiadomo" - wspomina Andrzej Pakulski.

Lody udało się przełamać dopiero podczas wspólnej z innymi działami realizacji pierwszych projektów w ramach prowadzonego do dziś programu wdrożenia całościowej polityki bezpieczeństwa.

Pomocne było także wdrożenie "systemu wczesnego ostrzegania" opartego na Symantec Enterprise Manager. Zaufanie i autorytet reszty firmy działowi bezpieczeństwa udało się uzyskać nie przez odgórne zarządzenia, lecz dzięki udowodnieniu własnej przydatności i kompetencji konkretną pracą.

Standard i kontrola

Podobne problemy związane z organizacją komórki i uzyskaniem akceptacji jej działań przez zarząd i innych pracowników mają niemal wszyscy szefowie ds. bezpieczeństwa. Tworząc wydzieloną komórkę bezpieczeństwa, trzeba rozstrzygnąć wiele podstawowych kwestii, np. ile osób powinien zatrudniać taki dział, jakie powinny być jego kompetencje i obowiązki, jaką powinien mieć strukturę organizacyjną itd. Odpowiedzi na te pytania jest niemal tyle, ile firm tworzących u siebie podobne komórki.

{{z:cw:1}Niemal wszyscy zgadzają się co do tego, że podstawową rolą takiej komórki powinno być wyznaczanie standardów bezpieczeństwa i wymiany informacji oraz kontrola ich stosowania. Interpretacje tak postawionych zadań są jednak bardzo rozbieżne. W dużych organizacjach, takich jak banki czy operatorzy telekomunikacyjni, wdrażaniem standardów bezpieczeństwa zajmują się na ogół pracownicy odpowiedzialni za obsługę poszczególnych procesów. "Nie widzę potrzeby tworzenia oddzielnych komórek bezpieczeństwa w każdym z pionów, a jedynie na poziomie całej firmy. Natomiast w poszczególnych jednostkach organizacyjnych muszą być wyznaczeni pracownicy, którzy w zakresie swoich obowiązków są zobowiązani do wspierania bezpieczeństwa procesów biznesowych" - mówi Andrzej Koweszko, dyrektor ds. bezpieczeństwa w ING Bank Śląski.

W mniejszych firmach, choćby ze względu na koszty, ci sami ludzie tworzą normy i później zajmują się ich wdrażaniem. Ta sama osoba pełni często rolę administratora danych osobowych i koordynatora działań związanych z ochroną prywatności. Tego typu praktyki nie służą jednak efektywności podejmowanych działań i zamiast porządku mogą wprowadzać zamęt organizacyjny.

Trudno jest znaleźć osobę, która będzie biegła w zabezpieczeniach technicznych i informatycznych, a jednocześnie obeznana w formalnoprawnych zagadnieniach związanych z ochroną danych osobowych. Poza tym łączenie zbyt wielu funkcji przez jedną osobę nie służy wykształcaniu się przejrzystych norm. Istnienie i powszechna znajomość norm służy zwykle realizacji celów działu bezpieczeństwa i zabezpiecza firmę przed tyranią "baronów bezpieczeństwa".

Dwa w jednym

Efektywność i spójność podejmowanych czynności wynika w dużej mierze z zakresu kompetencji działu bezpieczeństwa. Tu ścierają się zwolennicy dwóch koncepcji.

Jedna grupa opowiada się konsekwentnie za rozdzieleniem działań związanych z bezpieczeństwem fizycznym i kontrolą dostępu od tych o charakterze teleinformatycznym. Podkreślają przy tym odrębny charakter tych dziedzin, a co za tym idzie, różnice co do wymaganych kwalifikacji, a także rozbieżności w podejściu do problemów związanych z bezpieczeństwem. Z tego typu strukturą mamy do czynienia m.in. w firmach spedycyjnych, które doszły do wniosku, że zagadnienia związane z fizyczną ochroną dziesiątek obiektów, a także reprezentowaniem firmy w trakcie postępowań przed policją i prokuraturą (np. w razie kradzieży) są na tyle czasochłonne, iż odpowiedzialność za to powinna spoczywać na pracownikach odrębnej komórki.

Coraz więcej firm decyduje się jednak na skupienie obu tych dziedzin w jednym dziale, uznając powyższy podział za sztuczny. Za takim podejściem przemawia to, że problematyki bezpieczeństwa fizycznego i teleinformatycznego jednak zazębiają się, tworząc potrzebę koordynacji działań. Całościowa polityka bezpieczeństwa obejmuje zwykle obie sfery. Ponadto rozwiązania stosowane do zapewnienia bezpieczeństwa fizycznego, zwłaszcza kontroli dostępu, zmierzają w kierunku coraz mocniejszej automatyzacji i integracji z informatycznymi systemami bezpieczeństwa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200