Kto powinien odpowiadać za politykę bezpieczeństwa w firmie?
Na to pytanie odpowiadaliśmy w trakcie ostatniego spotkania Digital Finance Excellence/ Klubu Dyrektorów Finansowych Dialog. Chcieliśmy przypomnieć najważniejsze zasady w tym obszarze, ważne zawsze, ale szczególnie ważne, gdy teraz nagle zmieniliśmy sposób pracy części pracowników na zdalny. Jako ekspertów zaprosiliśmy Michała Kaźmierczyka i Radosława Szczodrowskiego z Grupy Enteo.
Na co szczególnie powinien zwrócić uwagę menedżer zarządzający finansami, działem księgowym, generalnie tym obszarem, gdzie są kluczowe dane dla firmy w zakresie bezpieczeństwa i dostępu do danych?
Kevin Mitnick w swojej książce "Sztuka podstępu" zatytułował jeden z rozdziałów "Łamałem ludzi, nie hasła", podkreślając, że w każdym systemie informatycznym, bez względu na jego zaawansowanie, człowiek jest zawsze najsłabszym elementem. Im więcej swobody dajemy pracownikom w obszarze IT, tym paradoksalnie stają się oni, łatwiejszym celem dla cyberataków.
Najważniejszym działaniem powinna być zatem edukacja w dziedzinie bezpieczeństwa IT. Stosowane w firmie technologie oraz organizacja miejsca pracy, zarówno w biurze, jak i w domu, muszą być odpowiednio dobrane i wsparte zestawem procedur oraz procesów, które zwiększają cyberbezpieczeństwo. Dzięki temu, nawet atak skierowany na najbardziej wrażliwy punkt, jakim jest pracownik, nie przyniesie oczekiwanych rezultatów, takich jak kradzież danych. To jest pewnego rodzaju wojna, której nie można ostatecznie wygrać, ale którą należy prowadzić, walcząc w każdej bitwie i ciągle udoskonalając systemy bezpieczeństwa.
Kto tak naprawdę w organizacji powinien odpowiadać za cyberbezpieczeństwo i dlaczego nie powinien to być CIO? Jaka jest w dzisiejszych organizacjach świadomość ryzyk związanych z tym obszarem?
Firma jako organizacja w wielu względach przypomina organizację państwa. W teorii istnieją różne formy władzy, ale dominujący model zakłada podział na władzę wykonawczą, która egzekwuje prawo, i ustawodawczą, która tworzy prawo.
W firmach również można dostrzec podobieństwo do tego modelu. Na przykład szefowie, rada nadzorcza, czy akcjonariusze określają kierunki działania, podczas gdy menedżerowie, tacy jak CEO, są odpowiedzialni za realizację tych wytycznych i sprawne funkcjonowanie przedsiębiorstwa zgodnie z oczekiwaniami właścicieli.
W państwie, gdy ta sama władza tworzy i egzekwuje prawo, pojawia się ryzyko konfliktu interesów i braku obiektywizmu. Podobne zagrożenie występuje w firmach, gdzie osoba odpowiedzialna za ustalanie i realizację strategii, na przykład w zakresie bezpieczeństwa, może nie zauważać własnych błędów i być narażona na subiektywne oceny.
Z tego względu, jeśli CIO czy inny specjalista IT ustanawia politykę bezpieczeństwa, istnieje ryzyko, że będzie ona bardziej odzwierciedlała jego własne przekonania niż realne potrzeby organizacji. Taka polityka może skupiać się na aspektach technicznych, ignorując szerszy kontekst działania firmy.
Choć taki model zarządzania bezpieczeństwem może się wydawać skuteczny, zawsze warto rozważyć ryzyka związane z nadmiernym skupieniem odpowiedzialności w rękach jednej osoby.
Jakie są różnice w podejściu do bezpieczeństwa, gdy wszyscy pracują w przestrzeniach firmowych, a sytuacją, gdy niektórzy pracują z domu? Czy te różnice są podyktowane samym trybem pracy, czy ryzykiem dostępu do komputera postronnych osób, czy samym łączem lub używanymi nowymi aplikacjami, np. do wideokonferencji?
Bez wątpienia, praca zdalna wiąże się z wyzwaniami w zakresie bezpieczeństwa IT, które zależą od sposobu jej organizacji. Dzisiejsze technologie, takie jak połączenia VPN, umożliwiają bezpieczne przesyłanie danych bez ryzyka ich wycieku czy modyfikacji. Jednak głównym problemem jest odpowiednie przygotowanie zdalnych miejsc pracy. Umożliwiając pracownikom korzystanie z prywatnych urządzeń bez zapewnienia odpowiednich środków bezpieczeństwa, narażamy dane firmy na ryzyko wycieku lub utraty.
Firmy, które egzekwują używanie tylko urządzeń zabezpieczonych przez dział IT, stoją na lepszej pozycji, choć i tu ryzyko, jakim jest utrata danych z urządzenia lub ich wyciek np. w wyniku kradzieży, pozostają znaczące. Najbezpieczniejszym rozwiązaniem jest przetwarzanie danych w centrum danych firmy, co znacząco ogranicza wspomniane ryzyko.
Co do zagrożeń związanych z wykorzystaniem zewnętrznych aplikacji, faktycznie istnieją, jednak przy odpowiednim zarządzaniu i zastosowaniu odpowiednich aplikacji, ryzyka te są raczej marginalne.
Michał Kaźmierczyk
CTO w Grupie Enteo/ Certyfikowany instruktor w Arrow ESC/ Dziennikarz w IT Professional/ Autor projektu cloudpoint.pl
Praktyk, trener i pasjonat wysokiej klasy rozwiązań informatycznych związanych z szeroko rozumianym obszarem bezpieczeństwa sieci i infrastruktury IT, technologii wirtualizacji i przetwarzania w chmurze.
Jako lider techniczny nadzoruje, projektuje i bierze udział w procesie integracji projektów z różnych dziedzin, takich jak cyberbezpieczeństwo, chmura, wirtualizacja i sieci.
Jako certyfikowany instruktor Vmware prowadzi profesjonalne kursy Vmware z NSX i Data Center Virtualization Tracks.
To również może Cię zainteresować:
Z nadejściem października duży odsetek polskich firm w wielu branż m.in. produkcyjnej, energetycznej,
Obecny czas pandemiczny jak w soczewce ujawnia wiele z niedociągnięć i problemów,
Rozpowszechnienie technologii wirtualizacji serwerów wymusiło szereg zmian w zakresie projektowania i implementacji
