Jacek Rembikowski, Poznań 2010
W systemach zarządzania, ich istotą nie jest forma opracowanej dokumentacji, lecz jej użyteczności oraz zawartość merytoryczna - aktualna, zatwierdzona i dostępna w dowolnym momencie.
Istotą samego systemu jest sprawnie działający mechanizm, potrafiący obronić się przed wpływem negatywnych czynników, dającym jednoznaczne odpowiedzi, dotyczące celu zakresu i formy działań. Sama dokumentacja to jedynie zapis, gwarantujący trwałość przyjętych rozwiązań, stanowiący podstawę do ich późniejszej weryfikacji.
U podstaw systemu zarządzania, tak bezpieczeństwem informacji, jak i jakością leżą przede wszystkim:
• świadomość - dzięki której dokładnie wiemy, co i dlaczego realizujemy;
• cel - czyli to, do czego dążymy i wbrew ogólnie przyjętemu pojmowaniu tego elementu, nie oznacza to jedynie celu o jakościowej formule – celem, poprzez który będzie gwarantowana jakość usług może z powodzeniem być cel biznesowy, o czym często zapominamy; cel też powinien, a wręcz musi być konkretny i mierzalny aby możliwa była rzeczywista weryfikacja i ocena działań zbliżających nas do niego;
• narzędzia – zarówno materialne, jak i niematerialne (np. zasada PDCA), które dotyczą zarówno działań w sferze bezpieczeństwa informacji, jak i jakości.
Z praktycznych obserwacji wynika, iż często funkcjonujące zalążki SZBI, to tak naprawdę wierzchołek góry lodowej u podnóża, której znajdują się:
• brak świadomości tego, czym jest bezpieczeństwo informacji i co należy chronić
• realizacji funkcji SZBI o charakterze sloganowym – zapisy z wielu raportów wskazują na powielanie sformułowań z uwagi na ich wymagalność, a nie z powodu zaistnienia konieczności ich wprowadzenia
• brak rzeczywistej wewnętrznej samokontroli o charakterze auditu wewnętrznego
• w dużej mierze kojarzenie bezpieczeństwa informacji jedynie z funkcją pełnioną przez informatyka z pominięciem wielu zagadnień dotyczących dokumentacji tradycyjnej, jak też naszych zachowań
• brak zidentyfikowanych zasobów i związanych z nimi zagrożeń, co zdecydowanie utrudnia bieżące działania
• brak nadzoru nad zmiennością środowiska, tak fizycznego, technologicznego oraz prawnego
Główne problemy warunkujące wdrożenie SZBI
• Problemy z ochroną danych nakładaną na podmioty przez Ustawę o Ochronie Danych Osobowych
• Zabezpieczenie majątku organizacji, stanowiącego podstawę prowadzonej działalności
• Utrzymanie ciągłości prowadzonych działań i zapobieganie zdarzeniom mogącym zagrozić stabilności procesów biznesowych
• Problemy z ochroną informacji wrażliwej, od której zależy konkurencyjność organizacji
• Nadzór nad dostępem do wydzielonych stref
• Kompleksowe zarządzanie uwzględniające reguły bezpieczeństwa w taki sposób aby stanowiły one naturalny i niezakłócający działań proces, który dzięki doskonaleniu zwiększa gwarancję zachowania poufności, dostępności i integralność informacji
Konsekwencje z jakimi należy się liczyć w przypadku wystąpienie problemów
• Narażenie Klientów/Pracowników na rozpowszechnienie informacji chronionej, a co za tym idzie konsekwencje prawne oraz finansowe, wynikające z:
- Ustawy o Ochronie Danych Osobowych zwłaszcza w zakresie informacji o wyjątkowym znaczeniu (stanu zdrowia, wyznania, karalności, orientacji seksualnej…)
- Odszkodowań z tytułu utraconych przez Klientów/Pracowników korzyści lub szkód wynikających z utraty poufności lub zagubienia przetwarzanych (w tym przechowywanych) danych
• Utrata mienia poprzez brak rzeczywistego nadzoru lub zabezpieczenia, co w konsekwencji znajduje swoje odzwierciedlenie w kosztach działalności organizacji
• Utrata możliwości świadczenia usług, w tym także brak możliwości realizacji działań zgodnie z zapisami umów, co może w konsekwencji oznaczać narażenie organizacji na koszty bezpośrednie w postaci utraty Klientów/Pracowników oraz pośrednie w postaci kar umownych wpływających negatywnie na rentowność prowadzonych działań
• Szkody związane z informacją wrażliwą (poufną) to przede wszystkim konsekwencje związane z rozpowszechnieniem planów organizacji wśród konkurencji, „podpowiedź” w zakresie składanych ofert, a więc możliwość przegrania przetargu, odszkodowania od stron trzecich lub ze strony Klientów/Pracowników, wynikające z rozpowszechnienie informacji, która stanowiła ich tajemnicę (np. lista kontrahentów, stan konta, projekty biznesowe…)
• Brak udokumentowanego, systemowego działania w zakresie PBI to m.in. brak możliwości dochodzenia odszkodowania od osób naruszających zasady bezpieczeństwa informacji z uwagi na możliwość podważenia reguł; wynika to z zasady, która mówi, że jeżeli ktoś sam nie pilnuje majątku, informacji itp. to mają one dla niego niewielkie znaczenie; natomiast sam brak rzeczywistego zarządzania bezpieczeństwem powoduje, że nie tylko sami tracimy pewność co do tego jak chronimy nasz majątek ale przede wszystkim podważamy nasz wizerunek jako organizacji, której można zaufać i powierzyć jakąkolwiek wartościową rzecz.
Przykładów bezpośrednio z życia wskazujących na fakt naturalnego chronienia naszego środowiska jest całkiem sporo. Inna jednak sprawa chronić samemu swój majątek, a inna chronić go w układzie zespołowym, tak aby każdy z członków zespołu mógł spać spokojnie.
Jeżeli ktoś się zastanawia dlaczego zagadnienia PBI są tak ważne, to wystarczy wyobrazić sobie kilka bardzo prostych sytuacji:
• Czy zaufałbym bankowi, z którego wypłynęły dane o karalności pracowników?
• Czy chciałbym pracować w organizacji, która nie dba o ochronę danych pracowników, nie mówiąc już o danych Klientów?
• Czy w swoim domu pozostawię na wierzchu okablowanie, tak aby dzieci mogły się nim bawić?
• Dlaczego mimo to, że ubezpieczam mieszkanie zamykam je wychodząc? Co więcej upewniam się, że drzwi zamknąłem
• Dlaczego na parkingu w mieście nie zostawiam otwartego samochodu z kluczykami i dokumentami na desce rozdzielczej?
• A może stać mnie na to aby w kawiarence internetowej zalogować się do swojego konta bankowego i wyjść, pozostawiają kartę kodów jednorazowych przy klawiaturze?
• Dlaczego tak niechętnie oddałbym komuś kartę kredytową, dowód osobisty, tracąc te dokumenty z oczu?
• I dlaczego nie mówimy nic sąsiadowi, którego podejrzewamy o plotkowanie?
• Możemy też wyobrazić sobie, że wszelkie rachunki, gwarancje itp. nie dość, że trzymamy w nieładzie, to najlepiej jeszcze w zawilgoconej i sukcesywnie zalewanej piwnicy…
Jeżeli zostawimy samochód z dowodem i kluczykami nikt nam żadnego odszkodowania nie zapłaci. Jeżeli wygadamy się przed sąsiadem z jakiejś naszej tajemnicy to też nie możemy być zdziwieni, jak dotrze do nas, że wie o tym całe miasto. Nikt też nie chce się dowiedzieć, że ktoś posłużył się jego danymi, a teraz on musi spłacać kredyt, nie mówiąc już o tym, że chyba nikomu nie zależy na tym, aby będąc niewinnym spotkać się z prokuratorem tylko dlatego, że przez nieuwagę przyczyniliśmy się do popełnienia przestępstwa.
Dlatego też tyle się mówi o tym aby nie podawać danych wrażliwych w serwisach www.
Rodzice uczą dzieci aby te nie rozmawiały z nieznajomymi, a już pod żadnym pozorem nie wpuszczały ich do domu. Dlatego trzymamy zapałki poza zasięgiem maluchów aby ich nie kusiło. Ale to wszystko robimy we własnym zakresie, dla ochrony swojego majątku, swoich bliskich. A co z organizacją?
Każda organizacja, nawet ta najmniejsze to organizm złożony, a jak wiadomo aby ten organizm funkcjonował poprawnie, konieczne jest właściwe działanie poszczególnych elementów, a o jego sile stanowi najsłabszy element. Nie jest niczym nowym fakt, tracenia przez firmy korzyści wynikających bądź z wycieku informacji np. przegrane przetargi, obrażeni Klienci, czy też konsekwencje finansowo-prawne tytułem odszkodowań bo komuś się coś powiedziało, bo ktoś coś wyniósł, zgubił bądź np. ważne dane/dokumenty zostały zniszczone przez pożar, zalanie, kradzież czy atak hakerów lub wirusów.
Co jest źródłem tych kłopotów?
W większości przypadków niestety człowiek, bo to on odpowiada za nadzór nad zasobami, bo to jemu często brakuje świadomości i darzy wszystkich zbytnim zaufaniem, bo zbyt często zdarzało się nie zamknąć drzwi albo zwyczajnie miał dostęp do zbyt dużej ilości informacji, nieadekwatnej do potrzeb biznesowych lub też pozostawił sprzęt czy też ważne dokumenty bez nadzoru.
Bywa też, że powodem jest brak znajomości prawa, które nakłada na nas ochronę pewnych obszarów lub zwyczajnie nie zastosowano zabezpieczeń, adekwatnych do zagrożeń, a to ostatnie z różnych powodów. Czasem jest to wynik braku właściwej wiedzy na temat tego, co może się wydarzyć lub jak się bronić, czasem z powodu tego, że wydaliśmy sporo pieniędzy na zabezpieczenia niekoniecznie potrzebne ale za to modne, no i zabrakło nam na te, których potrzebowaliśmy najbardziej…
Jak się bronić?
Generalnie dla wielu systemów zarządzania dość ogólną ale trafną definicją, a zarazem odpowiedzią na pytanie wydaje się być słowo: porządek. O ile jednak jest to oczywiste dla każdego z nas, o tyle w grupie okazuje się, że te indywidualne definicje są prawie takie same i niestety tylko prawie.
Dlatego też powstało coś, co ma umożliwić jednoznaczne zdefiniowanie pewnych obszarów w taki sposób aby stały się czymś, co jest powtarzalne na tyle aby móc to kontrolować i doskonalić, a jednocześnie aby nie stanowiło to problemu w realizacji działań.
Zasady te określają normy, a w zakresie PBI norma ISO27001, która opierając się na regułach zawartych w ISO9001 definiuje obszary, które organizacja powinna poddać szczególnemu nadzorowi aby móc mówić o tym, że panuje nad aktywami w miarę swoich możliwości dążąc to zapewnienie jak najwyższego poziomu bezpieczeństwa. Wszystko to jest oparte na procesowym podejściu do działań i definiowane jako System Zarządzania Bezpieczeństwem Informacji.
Podobnie, jak norma ISO9001, tak i 27001 w głównej mierze opera się o:
• Podstawę jaką jest odpowiedzialność kierownictwa, które odpowiada za całokształt polityki bezpieczeństwa, zagwarantowanie jej realizacji i doskonalenia
• Nadzór nad dokumentami i zapisami przez które należy rozumieć zarówno działania w trybie tradycyjnym, jak i elektronicznym
• Nadzór nad zasobami w tym nad zasobami ludzkimi i związanym z tym procesem szkoleń, uprawnień i przywilejów
• Weryfikację poprawności działania systemu poprzez mechanizmy auditów i przeglądów oraz nadzór nad niezgodnościami wskazującymi słabe punkty systemu
• Współpracę z dostawcami, która pozwala na rozłożenie zagrożeń, a co za tym idzie kosztów związanych z zabezpieczeniami
• A wszystko to w oparciu o działania zaplanowane i realizowane w ramach wyznaczonych celów, wynikających z oceny stanu bieżącego.
Podobnie jak norma ISO9001 tak i 27001 nie narzuca jednoznacznych rozwiązań czy mechanizmów, pozostawiając swego rodzaju dowolność w zakresie organizacji bezpieczeństwa. Tu bowiem tak jak w przypadku SZJ wszelkie elementy muszą być dopasowane do struktury organizacji, profilu działania oraz możliwości realizacyjnych. „27001” nie zwalnia nas ze stosowania zdrowego rozsądku, jednak wymaga podejmowania decyzji na podstawie faktów i zgromadzonych danych.
Tym, co odróżnia normę ISO27001 od ISO9001 to konieczność odrębnego podejścia do każdej z lokalizacji tak pod względem funkcjonowania systemu, jak i pod względem certyfikacji – tu certyfikat nie jest przyznawany na organizację, a na każdą lokalizację poddaną auditowi, co powoduje, że system ten wymaga zdecydowanie większego uporządkowania i nadzoru niż standardowa norma ISO9001.
