Prawdziwa wartość bezpieczeństwa IT

Wydaje się, że poprzez zbudowanie pomostu pomiędzy zarządzaniem przez wartość a bezpieczeństwem IT skorzystają na tym zarówno komórki bezpieczeństwa, jak i biznes. Akcjonariuszom może on uświadomić, jak spółka wykorzystuje aktywa IT, w szczególności w branżach, w których usługi biznesowe danej spółki w dużym stopniu bazują na systemach IT i informacji w nich przetwarzanej - wówczas naturalna staje się konieczność ukierunkowania zarządzania bezpieczeństwem IT na wartość przedsiębiorstwa - ma ono bowiem w ostatecznym rozrachunku ochronę wartości kreowanej dla akcjonariuszy.

Sławomir Pijanowski jest doktorem Akademii Ekonomicznej w Poznaniu w Katedrze Inwestycji i Rynków Kapitałowych, ekspertem ds. Biznesowych Aspektów Bezpieczeństwa Systemów Teleinformatycznych w Telekomunikacji Polskiej SA, członkiem Stowarzyszenia ds. Bezpieczeństwa Systemów Informacyjnych (ISSA Polska).

Bezpieczeństwo wg normy

Pomocne w dokonaniu analiz dotyczących zwrotu z nakładów na bezpieczeństwo mogą być instrukcje dotyczące obszarów bezpieczeństwa umieszczone w załączniku A do normy ISO 27001: Systemy Zarządzania Bezpieczeństwem - Wymagania (dawniej ISO17799 czy BS7799-2), zawierającego jego obligatoryjne wymagania. Trzeba jednak przy tym pamiętać, że jest to norma dotycząca systemu zarządzania bezpieczeństwem informacji (niezależnie od medium ich przetwarzania), którego podzbiorem jest informacja przetwarzana w systemach teleinformatycznych (bezpieczeństwo IT). Do wspomnianych obszarów tych zalicza się:

  • politykę bezpieczeństwa;
  • organizację bezpieczeństwa informacji;
  • zarządzanie aktywami;
  • bezpieczeństwo zasobów ludzkich;
  • bezpieczeństwo fizyczne i środowiskowe;
  • komunikację i zarządzanie operacyjne;
  • kontrolę dostępu;
  • pozyskiwanie, rozwój i utrzymanie systemów teleinformatycznych;
  • zarządzanie incydentami bezpieczeństwa;
  • zarządzanie ciągłością działania;
  • zgodność.

TOP 200