Prawdziwa wartość bezpieczeństwa IT
- Sławomir Pijanowski,
- 11.03.2008
Wydaje się, że poprzez zbudowanie pomostu pomiędzy zarządzaniem przez wartość a bezpieczeństwem IT skorzystają na tym zarówno komórki bezpieczeństwa, jak i biznes. Akcjonariuszom może on uświadomić, jak spółka wykorzystuje aktywa IT, w szczególności w branżach, w których usługi biznesowe danej spółki w dużym stopniu bazują na systemach IT i informacji w nich przetwarzanej - wówczas naturalna staje się konieczność ukierunkowania zarządzania bezpieczeństwem IT na wartość przedsiębiorstwa - ma ono bowiem w ostatecznym rozrachunku ochronę wartości kreowanej dla akcjonariuszy.
Sławomir Pijanowski jest doktorem Akademii Ekonomicznej w Poznaniu w Katedrze Inwestycji i Rynków Kapitałowych, ekspertem ds. Biznesowych Aspektów Bezpieczeństwa Systemów Teleinformatycznych w Telekomunikacji Polskiej SA, członkiem Stowarzyszenia ds. Bezpieczeństwa Systemów Informacyjnych (ISSA Polska).
Pomocne w dokonaniu analiz dotyczących zwrotu z nakładów na bezpieczeństwo mogą być instrukcje dotyczące obszarów bezpieczeństwa umieszczone w załączniku A do normy ISO 27001: Systemy Zarządzania Bezpieczeństwem - Wymagania (dawniej ISO17799 czy BS7799-2), zawierającego jego obligatoryjne wymagania. Trzeba jednak przy tym pamiętać, że jest to norma dotycząca systemu zarządzania bezpieczeństwem informacji (niezależnie od medium ich przetwarzania), którego podzbiorem jest informacja przetwarzana w systemach teleinformatycznych (bezpieczeństwo IT). Do wspomnianych obszarów tych zalicza się:
- politykę bezpieczeństwa;
- organizację bezpieczeństwa informacji;
- zarządzanie aktywami;
- bezpieczeństwo zasobów ludzkich;
- bezpieczeństwo fizyczne i środowiskowe;
- komunikację i zarządzanie operacyjne;
- kontrolę dostępu;
- pozyskiwanie, rozwój i utrzymanie systemów teleinformatycznych;
- zarządzanie incydentami bezpieczeństwa;
- zarządzanie ciągłością działania;
- zgodność.