Każda współczesna organizacja gromadzi i przetwarza duże ilości danych, o dużej wartości dla organizacji. Zapewnienie bezpieczeństwa jest kluczowym zadaniem każdego menedżera. Skuteczny system bezpieczeństwa tworzą rozwiązania informatyczne połączone ze umiejętnościami ludzi wykorzystującymi je.
SmartOffice – czynniki ryzyka
Czym się wyróżnia Smart Office? Jeżeli miałbym wyliczyć trzy najważniejsze cechy to wskazałbym na:
- Korzystanie z cyfrowych rozwiązań.
- Innowacyjność.
- Świadomość kluczowej roli ludzi.
Współcześnie zajmujemy się przede wszystkim przetwarzaniem informacji. Miejsce pióra i inkaustu, a potem maszyny do pisania zajęły różnego typu komputery i urządzenia peryferyjne. Rośnie szybkość działania, obniża się wysiłek wykonawców. Jednocześnie jednak tak szerokie wykorzystanie narzędzi cyfrowych niesie ze sobą dodatkowe wyzwania odnośnie bezpieczeństwa przetwarzanej informacji. Zmienia się charakter zagrożeń, a co jeszcze ważniejsze zwiększa się ich liczba i rosną konsekwencje ich zaistnienia.
Spójrzmy na nasze podwórko. Według opublikowanego przez firmę doradczą PwC Polska raportu „Cyber-ruletka po polsku” podaje, że w 2016 roku ok. 35% badanych spółek poniosło straty finansowe, zaś w 2017 było to ok. 44% spółek. Czy w tym roku to będzie jak rzut monetą – 50% szans na straty wynikające z braku bezpieczeństwa?
Oto subiektywny ranking najważniejszych wyzwań bezpieczeństwa w nowoczesnej firmie:
- Zarządzanie tożsamością użytkowników i ich uprawnieniami dostępu.
- Zarządzanie poprawkami i aktualizacją oprogramowania.
- Ataki socjotechniczne różnego typu, najczęściej występujące – mailowe.
Dlaczego te? Gdy śledzimy uważnie informacje o różnego typu włamaniach, kradzieżach danych, to zwraca uwagę fakt, że wszystkie te przestępstwa były możliwe dzięki temu, że ktoś miał nieuprawniony dostęp, nie zaktualizowano systemu i hacker wykorzystał znaną od wielu lat podatność lub ktoś inny dał się nabrać na czekającą na niego nagrodę. To najczęstsze przyczyny cyber-incydentów.
Sięgnijmy jeszcze raz do statystyki, pochodzącej z przywołanego powyżej raportu – 33% respondentów wskazało, że źródłami cyber-incydentów byli aktualni pracownicy, zaś ok. 13% respondentów wskazało na byłych pracowników. Przypomnę, że to dane z rynku polskiego.
SmartOffice wykorzystuje nowoczesne technologie, co więcej stara się je wykorzystywać w ich wczesnej fazie rozwoju. Świadomość związanych z tym zagrożeń winna skłaniać do podejmowania dobrze ważonego ryzyka, nie powinna jednocześnie powstrzymywać od korzystania z tego co przynosi konkretne korzyści. Zatem podejmujmy ryzyko w sposób świadomy i będąc do tego przygotowanym.
Co to oznacza „być przygotowanym”?
Zdolność do zapewnienia bezpieczeństwa
Zacznijmy od zasobów. Powinniśmy posiadać specjalistów rozumiejących pojęcie bezpieczeństwo od strony technologicznej i ci specjaliści winno mieć możliwość działania. Krótko mówiąc – mamy specjalistę, który w swoich obowiązkach ma zadania związane z bezpieczeństwem i ma czas, aby je realizować.
Specjalista (a jeszcze lepiej kilku) dysponuje odpowiednim budżetem, umożliwiającym skuteczną realizację swoich zadań. Pamiętajmy, że budżet ten winien zawierać oprócz pensji specjalisty(ów) także koszty zakupu odpowiednich rozwiązań, zapewnienie możliwości ich poprawnej eksploatacji a także możliwość podnoszenia kwalifikacji przez specjalistę. To jego wiedza i umiejętności będą kluczowe dla możliwości bezpiecznego wykorzystania nowoczesnych rozwiązań cyfrowych.
Rozwijajmy nasze zdolności do bycia –„smart-secure”. Wobec dużej zmienności otaczającej nas rzeczywistości zapewnienie bycia zgodnym z pewnym „wzorcem” jest daleko niewystarczające. Nasze dotychczasowe wzorce „bycia bezpiecznym” są nieadekwatne do zjawisk, z którymi przychodzi nam się zmierzyć. Mówimy, że SmartOffice jest innowacyjne – zatem może spotykać zagrożenia, które nie występowały do tej pory. Czy ma nic nie robić? Wprost przeciwnie. Należy wykorzystać co wiemy do tej pory – nasze dobre praktyki, normy standardy – i sięgnąć po inne narzędzia, które umożliwią sprawne poruszanie się „terra incognita” innowacyjności. Tym narzędziem jest analiza ryzyka, które jest drogowskazem w świecie zmienności.
Dzisiaj pojęcie „compliance” zmienia swoje znaczenie. Zamiast bycia zgodnym ze „wymaganym wzorcem” mówimy o zdolności do skutecznego działania w warunkach zmienności wymagań, warunków działania, nieprzewidywanych okoliczności. Tą zdolność tworzą świadomość pracowników, zapewnienie niezbędnych narzędzi i nieustająca analiza efektów podejmowanych działań.
Czytając rozporządzenie RODO ( ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE spostrzegamy, że oczekuje się od podmiotów przetwarzających dane osobowe podejmowania adekwatnych działań i udowodnienia, że są one skuteczne. Brak tutaj dokładnych list zabezpieczeń, zasad rozliczenia. Pozwolę sobie przywołać brzmienie artykułu 25 ust. 1:
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Jak widać z powyższych zapisów znaczny obszar decyzyjny został pozostawiony po stronie wykonawcy tych zapisów. Musimy być zdolni do zrealizowania litery i ducha tych zapisów. Nasz „wymagany wzorzec” musimy opracować sami, co więcej sami musimy podejmować decyzję kiedy winien on ulec modyfikacji. Nie zapominajmy o naszych dotychczasowych najlepszych praktykach, stanowią one znakomity fundament bezpieczeństwa. Nie są jednak wystarczające – muszą być uzupełniane o nowe praktyki. Tylko takie podejście umożliwia nam skuteczne działanie w zmieniających się warunkach.
Świadomość – ale czyja
I tak dochodzimy do „trzeciego elementu” – świadomości ludzi. Postrzegany obecnie jako kluczowy czynnik zapewnienia bezpieczeństwa. Wiele napisano i powiedziano o konieczności edukacji, szkoleń, ćwiczeń itp. Kolejne spektakularne zdarzenia dowodzą, jak ważny jest to komponent zapewnienia bezpieczeństwa.
Ja może wspomnę o jednym z krytycznych czynników wpływających na świadomość pracowników. Tym czynnikiem jest świadomość i podejście kierownictwa do kwestii bezpieczeństwa. Nie bez powodu w jednym z pierwszych rozdziałów normy ISO/IEC 27001 jest zapisane, że najwyższe kierownictwo winno okazywać zaangażowanie w kwestia dotyczące budowy systemu bezpieczeństwa informacji. Odwołując się ponownie do statystyk – pokazują one, że w ok. 80% firm brak procedur regularnego raportowania do zarządu o stanie bezpieczeństwa.
Czy możemy skutecznie zarządzać czymś, o czym nic nie wiemy?
Zamiast podsumowania
Podtytuł przywoływanego przez mnie raportu firmy PwC Polska brzmi „Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście” – zatem czy Wasz apetyt na ryzyko ma być realizowany w oparciu o ruletkę? Decyzja należy do Was.
Powyższy artykuł został opublikowany w miesięczniku Outsourcing&More https://issuu.com/grupariposta/docs/outsourcing_more_-_41_lipiec-sierpi/30