Określenie "smutny pan z bezpieczeństwa" jeszcze niedawno miało jednoznaczne konotacje. Dziś nabiera nowego znaczenia. Nie ma już chyba dużej firmy, w której nie byłoby specjalisty ds. bezpieczeństwa.

Strażnik danych

Najogólniej mówiąc, biuro bezpieczeństwa jest odpowiedzialne za utrzymanie bezpieczeństwa informatycznego firmy. Gdy spojrzeć na jego pracę z prawnego punktu widzenia, oznacza to zgodność zasobów informatycznych instytucji finansowej z wymogami określanymi przez kilka ustaw. Najbardziej znaną z nich jest Ustawa o ochronie danych osobowych. Ustawa ta oraz towarzyszące jej zarządzenia precyzują techniczne i organizacyjne zasady, które systemy informatyczne powinny spełnić. Artykuł 7 tej ustawy przedstawia podstawowe definicje (zbiór danych, administrator). Największy wpływ na pracę biura bezpieczeństwa ma rozdz. 5 ustawy, tj. artykuły 36-39, gdzie są wymienione konkretne czynności, które administrator musi wykonać.

Przekładając ustawę na praktykę instytucji finansowej, biuro bezpieczeństwa musi więc wiedzieć, w których bazach danych i aplikacjach są przetwarzane dane osobowe. Musi zapewnić, by dane te nie były dostępne dla osób niepowołanych, a dostęp do nich podlegał monitorowaniu i ewidencjonowaniu. Dodajmy, że za lekceważenie uregulowań ustawy jest przewidziana sankcja karna. Na razie jest to groźba wyłącznie teoretyczna, ale dzieje się tak głównie dzięki aktywności Głównego Inspektora Ochrony Danych Osobowych, który przede wszystkim edukuje i kontroluje, karze zaś tylko w rażących przypadkach. Z reguły to właśnie biuro bezpieczeństwa jest partnerem i przewodnikiem audytu wykonywanego przez GIODO.

Na systemy informatyczne banku wpływ (mniejszy, ale nadal istotny) mają inne akty prawne. Są to: Prawo bankowe, Ustawa o świadczeniu usług drogą elektroniczną oraz akt o najdłuższej bodaj nazwie w historii polskiego prawodawstwa: Ustawa o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o przeciwdziałaniu finansowaniu terroryzmu, czyli - mówiąc bardziej po ludzku - prawo przeciwko praniu brudnych pieniędzy. Na koniec wymieńmy Ustawę o obrocie papierami wartościowymi, istotną w przypadku tych banków, które są spółkami publicznymi. Nie pomyli się ten, kto zauważy, że dobrze byłoby, gdyby informatycy z biura bezpieczeństwa mieli także dyplom prawnika.

A bez wątpienia są oni ludźmi, których instytucje finansowe obdarzają szczególnym zaufaniem. Dlatego nie szczędzą wysiłków i pieniędzy, by znaleźć właściwych kandydatów, a następnie wszechstronnie ich sprawdzić. Często zresztą wynajmują do tego zewnętrznych specjalistów. Na świecie nie brak firm, których specjalizacją jest "prześwietlanie ludzi".

Bardzo często specjaliści ds. bezpieczeństwa są też zobowiązani posiadać certyfikaty Agencji Bezpieczeństwa Wewnętrznego (wcześniej Urzędu Ochrony Państwa). Certyfikat taki - systematycznie zresztą odnawiany - jest poprzedzony drobiazgowym badaniem, a każdy, kto miał w ręku kwestionariusz ABW, zauważy, iż pytania tam zadawane należą do bardzo szczegółowych. Dotyczą one m.in. stanu majątkowego, przynależności do organizacji, danych i zajęć członków rodziny, nałogów, kredytów itd., a więc tego, co mogłoby sprawiać, że osoba taka będzie podatna na zwiększone ryzyko.