Z Aleksandrem P. Czarnowskim, prezesem firmy AVET Information and Network Security rozmawia Robert Jesionek

Czym jest bezpieczeństwo informacji w organizacji?

Bezpieczeństwo to poufność przetwarzanej informacji, integralność przetwarzanej informacji oraz dostępność do przetwarzanej informacji, oczywiście dostępność do niej osób autoryzowanych. Przy takiej definicji bezpieczeństwa można uznać, że to także zapewnienie ciągłości procesów biznesowych.

Zobacz również:

• GenAI jednym z priorytetów inwestycyjnych w firmach
• Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"
• International Data Group powołuje Genevieve Juillard na stanowisko CEO

Jakiego rodzaju zagrożenia stoją dziś przed firmą?

Wynikają one przede wszystkim z samej organizacji, z jej profilu, a także grup docelowych, procesów biznesowych itd. Nie chcę uogólniać, bo nie ma takiej listy zagrożeń, którą można by nazwać kompletną dla danej spółki czy organizacji. Ważne jest, by organizacja zdawała sobie sprawę, że to ona część tych niebezpieczeństw sama generuje i by nauczyła się radzić sobie z tym faktem, czyli odpowiednio reagować na konkretne zagrożenia. W kwestiach zapobiegania niebezpieczeństwom od lat stosowane jest narzędzie zwane analizą ryzyka, przekładające się następnie na proces zarządzania ryzykiem. To punkt wyjścia w problemach, o których mówimy.

Co jest największym, bezpośrednim zagrożeniem dla firmy?

Najsłabszym ogniwem każdego łańcucha jest, niestety, człowiek, to jego brak wiedzy jest największym zagrożeniem dla firm, a nie jego wiedza. Każdego dnia może się zdarzyć, że do pracownika zadzwoni ktoś, kto przedstawi się jako nowy administrator sieci i poprosi o podanie hasła. Spełnienie takiej prośby wynika z nieznajomości podstawowych zasad bezpieczeństwa i nie pomogą tu żadne zabezpieczenia informatyczne. Dlatego w obecnych czasach przy przyjmowaniu do pracy, pracownik oprócz podpisywania tzw. „lojalki” podpisuje bardzo często dokument o tym, że zapoznał się z zasadami bezpieczeństwa realizowanymi w firmie i będzie się do nich stosował. Te najistotniejsze zasady, to po pierwsze rozdzielanie uprawnień - nikt nie powinien mieć ich większych, niż rzeczywiście potrzebuje do realizacji swoich zadań. Po drugie, mechanizmy bezpieczeństwa powinny być wielowarstwowe - jeśli zawiedzie jedna warstwa, to funkcjonuje następna i kolejna. Po trzecie - powinniśmy monitorować te mechanizmy i analizować pojawiające się niebezpieczeństwa - jeśli któryś z mechanizmów zawiedzie, to powinien zawieść w sposób bezpieczny, kontrolowany.

Czy wdrożenie polityki bezpieczeństwa nie powoduje uśpienia, osłabienia czujności firmy?

To zależy od jakości tej polityki. Dokument polityki bezpieczeństwa powinien zawierać rozdział dotyczący audytu bezpieczeństwa, który musi się odbywać np. co 6-12 miesięcy, jego zadaniem jest weryfikacja polityki w odniesieniu do zmiennej rzeczywistości. Dokument zawierający politykę bezpieczeństwa powinien uświadamiać zarządowi firmy, że bezpieczeństwo nie jest jednorazową usługą, lecz procesem.

Zwrot z inwestycji w politykę bezpieczeństwa nie jest chyba zbyt spektakularny?

Na pewno nie jest on tak szybko osiągany, jak w przypadku innych inwestycji. Jeżeli zmieniamy okna w budynku na bardziej szczelne, to zwrot z tej inwestycji w sezonie grzewczym jest natychmiastowy. Natomiast pewne zdarzenia w systemach teleinformatycznych zdarzają się raz na jakiś czas. Analiza ryzyka jest m. in. po to, byśmy mogli oszacować prawdopodobieństwo występowania tych zdarzeń. Jeśli wyliczenia mówią, że jakieś zdarzenie ma szansę wystąpić raz na 10 lat, to pewnie nie warto alokować budżetu na ochronę już 10 lat przed tym zdarzeniem, może prościej jest wtedy po prostu ubezpieczyć się.