3 typowe błędów popełniane przez Zarządy

3 typowe błędów popełniane przez Zarządy

O tym na ile bezpieczna jest organizacja decyduje najwyższe kierownictwo. Gdy prezes powie, że należy się zabezpieczyć, wtedy sięga się do najlepszych praktyk i wdraża kolejne rozwiązania. Gdy zarząd nie jest szczególnie zainteresowany zagadnieniem… ktoś, czasem, coś zrobi w temacie zabezpieczeń, jeżeli akurat będzie miał czas i ochotę. Jeżeli organizacja będzie miała szczęście, nic złego się nie stanie. Jeżeli nie…cóż - nagle okaże się, że to pracownicy byli niekompetentni.

Nie do końca się z tym zgadzam. 

Zdecydowanie osoby zapewniające bezpieczeństwo informacjom czy systemom informatycznym powinny być kompetentne i działać "zgodnie ze sztuką" . Problem pojawia się jednak podczas podejmowania konkretnych decyzji - czy inwestować w zabezpieczenia godne Fort Knox, czy też wystarcza nam poziom ciut wyższy od skobelka na drzwiach. Osoby odpowiedzialne za bezpieczeństwo powinny jednak otrzymać wskazówki dotyczące ich fachowo postawionych pytań (z propozycjami rozwiązania).

Obserwując od kilkunastu lat podejście zarządów rozmaitych organizacji do kwestii często widuję trzy typu błędów, prowadzących często do sporych problemów.

Nie mam na to czasu - zatrudniam od tego ludzi

Czas zarządów jest bardzo cenny. Poświęcany jest na planowanie kampanii sprzedażowych, tworzenie nowych usług/produktów, pilnowanie finansów czy zatrudnianie pracowników. Prezesi często nie mają czasu na zainteresowanie się Takim zagadnieniem jak bezpieczeństwo informacji. Co niektórzy przecież świadomie zatrudnili nawet specjalistów od tego zagadnienia, a nie zakładają, że to problem działu IT. Ale… przecież w pozostałych obszarach również są zatrudniani specjaliści. Ich praca spotyka się z należytym zainteresowaniem, mimo na pewno sporych kompetencji.

Przyczyn można szukać w tym, że tworzenie nowej wartości jest "bardziej sexy" od ochrony istniejącej. Czarnowidztwo męczy, zabiera czas i pieniądze. A na dodatek wymaga zdobywania nowej wiedzy. Dlatego też należy wymagać od osób odpowiedzialnych za ochronę informacji konkretnej rozmowy o ryzykach biznesowych związanych z zaniedbaniami w tym obszarze, a nie podsumowania akcji załatania jakiś "podatności", na czymś co się nazywa "serwer DNS" czy przeglądu użytkowników aplikacji, która nie wiadomo do czego służy. Szanowny panie prezesie (Szanowna pani prezes) - te tematy naprawdę są istotne dla funkcjonowania Pana (Pani) biznesu. Proszę wymagać od swoich ludzi konkretów, a nie teorii.

Nas to nie spotka

A skąd Pani (Pan) to wie? Statystyki cyberincydentów niezmiennie pokazują, że grube miesiące mijają od incydentu, do momentu, gdy zostanie on wykryty. Może incydent już trwa, tylko nikt go nie potrafił wykryć? Czy odejście ostatniego klienta to przypadek? Czy to normalne, że ostatnie 3 przetargi przegrano o włos? Może tak… może nie. A co z incydentami polegającymi na utracie możliwości funkcjonowania systemów teleinformatycznych? Czy wiedzą Państwo, że naprawdę uda odtworzyć dane (czy też mają Państwo taką nadzieję)? Czy wiedzą Państwo jak się zachować jak stanie się coś niedobrego?

Pojawia się tutaj niestety kwestia czarnowidztwa… ale przypadki chodzą po ludziach. Zakładam, że mają Państwo w aucie nie tylko obowiązkowe OC, ale i AC. Mogą Państwo inwestować w alarmy, zamki w drzwiach, ubezpieczenie na życie. Tylko tej kopii danych nie było czasu wykonać lub oszczędzono na antywirusie...

Nie wolno popadać w paranoję i wdrażać wszystkich możliwych zabezpieczeń, trzeba jednak zastanowić się, co by najbardziej zabolało Państwa organizację i być może przygotować się na taką ewentualność.

Nie mamy informacji tak cennych by je chronić

Z tym stwierdzeniem to już zupełnie nie mogę się zgodzić. Informacja stała się najcenniejszym zasobem wszystkich organizacji, to ona decyduje nie tylko o sukcesie, ale i wręcz o "być lub nie być" każdej z organizacji". A tu takie argumenty.

W każdej organizacji są cenne informacje wymagające ochrony. Nie zawsze to będzie receptura Coca-Cola czy hasła do banku - czasem może to być lista obecnych zadowolonych klientów, pipeline sprzedaży czy hasło do firmowego Facebooka. Nie zawsze będziemy chcieli chronić się przed utratą poufności - integralność tych informacji lub ich dostępność potrafią być w wielu sektorach nawet ważniejsze. Nie zawsze będziemy chcieli inwestować grube setki tysięcy euro, czasami zabezpieczeniem wystarczającym będzie coś o koszcie wprost niezauważalnym.

By oddać honor muszę jednak podkreślić, że zidentyfikowanie najcenniejszych informacji nie zawsze jest takie oczywiste. Trzeba dobrze zrozumieć biznes i pomyśleć o nim z perspektywy przestępcy/nieuczciwej konkurencji.

Tych, którzy doczytali tutaj przepraszam za sarkazm. Mam nadzieję, że przejaskrawiające pewne sytuacje łatwiej mi będzie pokazać, że temat nie jest banalny, a jest naprawdę istotny.