Andrzej Koweszko, dyrektor Departamentu Zarządzania Ryzykiem Operacyjnym w ING Banku Śląskim
Bardzo ważnym zagadnieniem w obszarze bezpieczeństwa jest tzw. IAM (Identity & Access Management). Liczba elektronicznych tożsamości, którymi trzeba zarządzać, wzrasta w wielu firmach w tempie lawinowym (partnerzy, klienci, usługodawcy), zmienia się też sposób uzyskiwania dostępu do sieci korporacyjnych (zdalnie, stacjonarnie, mobilnie). Z tego też względu coraz ważniejsze staje się zarządzanie systemami w oparciu o role, które są przyznawane poszczególnym pracownikom lub grupom. W dużych przedsiębiorstwach, przy znacznej rotacji pracowników, brak odpowiednich procedur (bądź zwykła niedbałość) określających sposób postępowania z nowo zatrudnionymi lub odchodzącymi ludźmi (deprovisioning) stanowi jedno z najsłabszych ogniw w ogólnym systemie bezpieczeństwa. Tymczasem według statystyk co piąte naruszenie polityki bezpieczeństwa w spółkach dokonywane jest przez byłych pracowników wykorzystujących wciąż działające login i hasło. Dodatkowo należy mieć na uwadze, że niejednokrotnie globalne straty wynikające z kradzieży tożsamości lub ich nieautoryzowanego użycia są większe niż szkody poczynione przez wirusy i robaki komputerowe.
Informacje należy chronić adekwatnie do ich wartości - zgodzili się uczestnicy panelu dyskusyjnego "Wartość informacji". Trudniej jednak już im było ustalić, jak zmierzyć tę wartość informacji. Okazuje się, że specjalistom od bezpieczeństwa systemów informacyjnych łatwiej jest precyzyjnie określić, jak chronić informacje, niż odpowiedzieć na pytanie, które informacje powinny być chronione, mają największą wartość dla firmy, powinny podlegać szczególnej ochronie i kto ma o tym decydować.
Waldemar Kasinow
Audytor i audytowany są partnerami w procesie zarządzania. Audyt zaś to ocena procesów, a nie ludzi, audyt to nie kontrola. Zrozumienie celów audytu ułatwi życie audytorowi i audytowanemu, a wnioski płynące z audytu powinny uwzględniać sposób jego przeprowadzenia. To wszystko to przepis na bezpieczny audyt.
Andrzej Koweszko
Staramy się ograniczać do minimum zakres informacji, które muszą być chronione poza wymogami prawa, np. z racji interesów firmy. Najgorszą metodą jest chronić wszystko bez wyjątku.
Erik Guildentops
Można wskazać na trzy fundamentalne kwestie dotyczące inwestowania w IT: czy otrzymamy optymalny poziom korzyści, czy stać nas na taką inwestycję i czy jej realizacja dokona się przy akceptowalnym poziomie ryzyka.
