Czy taka postawa nie skazuje Państwa na dłuższą metę na alienację? Każdą przeszkodę można się przecież nauczyć się omijać...

Potrafimy być elastyczni...

To znaczy?

To znaczy, że jeśli komuś bardzo zależy na czasie, jesteśmy w stanie umówić się, że to i to musi być zrobione według określonych założeń w dniu uruchomienia, mniej ważne rzeczy mogą zostać poprawione, powiedzmy, w ciągu 2 tygodni od uruchomienia, a detale powinny zostać dopracowane w ciągu 3 miesięcy. W takich okolicznościach rozmowa o bezpieczeństwie wygląda zupełnie inaczej. Mamy pewną władzę, ale korzystamy z niej rozważnie - inaczej bylibyśmy ignorowani.

A co z działami biznesowymi? Jak wyglądają te relacje?

Mam wrażenie, że nie jesteśmy przeszkodą, w każdym razie staramy się nie być. Jesteśmy nastawieni biznesowo - nasza firma zajmuje się zarabianiem pieniędzy i my mamy w tym pomagać, a nie przeszkadzać. Staramy się tak dobierać działania i środki techniczne, żeby minimalizować kłopoty po stronie biznesu. Oczywiście, moglibyśmy próbować zmusić biznes do szyfrowania wszelkiej komunikacji, a nawet zawartości twardych dysków itd., tylko... w imię czego? Bezpieczeństwa idealnego? Z góry wiadomo, że nie da się go osiągnąć, trzeba się raczej trzymać zdrowego rozsądku.

Na czym polega zdrowy rozsądek? Gdzie jest granica ustępstw na rzecz biznesu? Czy są takie wymagania, których Pan nie odpuści za "żadne skarby"?

Przykładowo, jeśli biznes uprze się na zakup jedynego w swoim rodzaju pakietu oprogramowania, który coś tam usprawni dla firmy jako całości albo przyniesie wymierne zyski, ale jest niezbyt dobrze napisany z punktu widzenia bezpieczeństwa, zgodzimy się na wdrożenie, ale pod pewnymi warunkami. Postaramy się skonfigurować aplikację maksymalnie konserwatywnie, umieścić ją na dobrze zabezpieczonym serwerze, obstawimy ją dodatkowymi zabezpieczeniami i... wszystko powinno być w porządku.

Nasze podejście w tej dziedzinie najlepiej widać na przykładzie sieci WLAN. Skoro nasza firma oferuje takie usługi klientom, nie możemy zabronić używania ich przez naszych pracowników. Sieć WLAN działa więc, jednak została skonstruowana zgodnie z narzuconymi przez nas wymogami odnośnie architektury, a ponadto jest stale monitorowana i sprawdzana, czy ktoś nie włączył do sieci własnego urządzenia. Idziemy na kompromis, ale zachowujemy kontrolę. I o to chodzi. A tak na marginesie, jeśli czytam w Internecie, że gdzieś tam ktoś znalazł sposób, żeby podszywać się pod abonenta sieci telekomunikacyjnej zarządzanej przez protokół SS7, to dlaczego mam się najbardziej bać o WLAN? To mogą być potencjalnie większe zmartwienia.

Jeśli chodzi o projekty własne, to mamy potwierdzone empirycznie przekonanie, że najważniejsze są fundamenty, czyli przede wszystkim architektura. Mamy np. taki wymóg, że w strefach DMZ mogą pracować wyłącznie serwery front-end obsługujące strony WWW . Same strefy DMZ mają jeszcze podział na podstrefy. Wszelka logika i dane mają znajdować się w wyspecjalizowanych segmentach sieci. Dbamy też o to, aby poszczególne warstwy usługi: prezentacji, logiki i danych, były wyraźnie odseparowane od siebie już na etapie projektu.

Podczas eksploatacji każdym z tych obszarów zajmują się jednoznacznie zdefiniowane osoby. Podział organizacyjny pozwala uniknąć sytuacji, że ktoś przez pomyłkę kopiuje dane na serwer, na którym pracuje serwer WWW albo instaluje serwer WWW na serwerze z bazą danych, bo zwyczajnie nie ma do tego uprawnień. Staramy się uruchamiać na serwerach tylko to, co absolutnie niezbędne do ich poprawnego działania. Regularnie poddajemy serwery skanowaniu i "utwardzaniu" na wypadek, gdyby ktoś coś niechcący źle skonfigurował.

Zeszliśmy nieco w technikalia, wróćmy może jednak do zagadnień organizacyjnych. Aby skutecznie realizować swoje zadania, dział bezpieczeństwa musi mieć pewne umocowania, czyli realną władzę. Jak ją zdobyć?

Wsparcie otrzymuje się od zarządu, który dostrzega pewne potrzeby. Operator telekomunikacyjny jest pod tym względem uprzywilejowany wobec innych firm, ponieważ już same wymogi koncesyjne nakładają na nas pewne obowiązki, z których wynika potrzeba stworzenia komórek organizacyjnych o określonych uprawnieniach. Naszą działalność regulują ponadto trzy ustawy: Ustawa o działalności telekomunikacyjnej, Ustawa o ochronie informacji niejawnych oraz oczywiście Ustawa o ochronie danych osobowych.

Na szczęście nie wszystko, co z ustaw wynika, jest na naszych barkach. Działamy w uzupełniającym się wzajemnie trójkącie. Biuro Bezpieczeństwa Technologicznego jest odpowiedzialne za zapewnienie warstwy technologicznej i proceduralnej, która zrealizuje wymagania strony biznesowej, np. Działu Zarządzania Ryzykiem w zakresie ochrony danych osobowych czy zachowania tajemnicy telekomunikacyjnej lub pełnomocnika zarządu ds. ochrony informacji niejawnych.