Pobierz najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Zagrożenia bezpieczeństwa informacji w przedsiębiorstwie (cz. 2)

Printer Friendly and PDF

lead.jpgW pierwszej części artykułu poruszono zagadnienia związane z istotą bezpieczeństwa informacji i klasyfikacją związanych z tym bezpieczeństwem zagrożeń. Część druga jest poświęcona kształtowaniu zachowań zabezpieczających informacje.

Zaprezentowane zagadnienia dotyczące bezpieczeństwa informacji organizacji związane są przede wszystkim z jej otoczeniem, które postrzegane jest jako wrogo nastawione do organizacji i realizowanych procesów organizacyjnych. Takie podejście umożliwia projektowanie zestawu instrumentów gwarantujących tworzenie zapór informacyjnych, tak aby istotne z perspektywy zamierzeń strategicznych zasoby informacji znajdowały się poza bezpośrednim i pośrednim wpływem zewnętrznych uczestników gry rynkowej. Instrumenty i różnego rodzaju zabiegi przeciwdziałające wyciekom informacji na zewnątrz organizacji już na etapie ich projektowania spełniają istotną funkcję zapobiegawczą, bowiem kierunkują członków organizacji na przejawianie zachowań utrudniających pozyskiwanie przez otoczenie informacji organizacji. Z kolei ich internalizacja, będąca pochodną uczenia się, może gwarantować, iż podsystem społeczny przedsiębiorstwa będzie reprezentować strategie czuwania, a przez to stanowić najszczelniejszą barierę przeciwdziałającą utraceniu istotnych informacji przedsiębiorstwa. Ważne jest, aby niniejsze podejście nie stało się przyczyną odizolowania podmiotu gospodarczego od otoczenia.

Taka perspektywa wydaje się szczególnie istotna w odniesieniu do małych organizacji, które nie potrzebują skomplikowanych i kapitałochłonnych rozwiązań techniczno-organizacyjnych, a bardziej zainteresowane są prostymi metodami i technikami, które spełnią oczekiwania decydentów. Prostota ta związana jest może nie tyle ze strukturą i zakresem pewnych rozwiązań, ale z tym, iż zarządzanie małymi podmiotami rynkowymi jest przede wszystkim intuicyjne. Dokonuje się w głowie właściciela-menedżera. W rezultacie menedżer organizacji może oddziaływać na ochronę cennych informacji poprzez dawanie innym przykładu swoją osobą, wskazywanie, jakimi informacjami członkowie organizacji mogą i powinni dzielić się z otoczeniem, które ze zbiorów informacji powinni zabezpieczać przed wydostaniem się na zewnątrz organizacji. W takim znaczeniu kluczową sprawą jest wykształcenie w organizacji właściwych zachowań organizacyjnych, które w przypadku małych podmiotów gospodarczych odgrywają istotniejszą rolę w bezpieczeństwie informacji aniżeli środki organizacyjno-techniczne, którymi w większości przypadków organizacje nie dysponują.

Właściwe zachowania organizacyjne:

  • wzmacniają postawy pracownicze gwarantujące ochronę cennych informacji i udostępnianie odpowiednich treści otoczeniu,
  • wzmacniają samokontrolę członków organizacji w sterowaniu przepływami informacji między organizacją a otoczeniem,
  • identyfikują działania pracownicze ukierunkowane na poszukiwanie cennych informacji w otoczeniu nie tylko w ramach pełnionych obowiązków, ale także w czasie poza pracą,
  • umożliwiają dyfuzję najlepszych praktyk między pracownikami celem dostosowania ich aktualnych potrzeb związanych z ochroną informacji,
  • dostosowują działania i praktyki członków organizacji do zmian w otoczeniu, tj. do realizowanych zleceń, zawieranych transakcji, kontrahentów.

Oprócz wymienionych funkcji w obszarze zabezpieczania informacji zachowania pracownicze mają za zadanie promowanie w organizacji i jej otoczeniu praktyk będących pochodną procesów uczenia się na poziomie indywidualnym, grupowym, organizacyjnym i międzyorganizacyjnym (zob. tab. 1). W projektowaniu i upowszechnianiu właściwych zachowań zasadniczą rolę odgrywa właściciel-menedżer organizacji. Jego postawa oddziałuje na podległych pracowników, od niego także rozpoczyna się proces organizacyjnego uczenia się na wszystkich poziomach. Jego postawa warunkuje przebieg procesu uczenia się, może także zahamować ten proces. Nie zostaną poruszone w tym miejscu zagadnienia związane z rolą menedżera w procesie organizacyjnego uczenia się, która służy zabezpieczeniu informacji organizacji, bowiem wymagałoby to uwzględnienia obszarów problemowych znacznie wykraczających poza tematykę niniejszego opracowania, w szczególności dotyczących: przywództwa, zaufania, lojalności, kultury organizacyjnej, stylów kierowania. Odniesieniem uczenia się pracowników jest bezpieczeństwo informacji. Uczenie się może przebiegać w różnej konfi guracji, w znaczeniu poziomu organizacyjnego uczenia się inicjującego działania i praktyki umożliwiające zabezpieczanie informacji na pozostałych poziomach organizacyjnego uczenia się. Przyjmując jednak, iż zagadnienie ochrony informacji odnosi się do małej organizacji, w której decyzje i działania pracowników nie były bezpośrednio związane z ochroną informacji, można przyjąć, iż proces ten inicjowany jest przez właściciela-menedżera. W pierwszej kolejności zachodzi on na poziomie indywidualnym. Sprowadza się więc do tworzenia, upowszechniania i rozwijania doświadczeń i wyobrażeń członków organizacji, których rezultatem będą metafory identyfikowane przez poszczególnych członków organizacji. Ze zbioru czynników kształtowania zachowań najważniejsze jest promowanie zaangażowania, perspektywiczności myślenia oraz zarządzanie „od dołu”. W stosowaniu tych stymulatorów zasadniczą rolę odgrywa właściciel-menedżer. Bez jego udziału i bezpośredniego zaangażowania szanse na zainicjowanie i skuteczność procesu organizacyjnego uczenia się ukierunkowanego na ochronę informacji są nikłe.

Zdefiniowanie metafor na poziomie indywidualnym umożliwia zachodzenie procesu interpretacji, w którym wzajemne zrozumienie kwestii dotyczących bezpieczeństwa cennych dla organizacji informacji i podejmowanych praktyk w tym zakresie warunkuje nawiązywanie dialogu i konwersacji. Inicjowana w ten sposób komunikacja członków organizacji może zapewnić dyfuzję najlepszych praktyk, uczenie się członków organizacji oraz pobudzanie ich do wzajemnej interakcji celem promowania zrozumienia (sensemaking). Na tym poziomie zasadnicze są jednak perswazja i jednolite nazewnictwo, przy czym celem procesu interpretacji jest internalizacja istotności kwestii związanych z bezpieczeństwem informacji wśród członków organizacji.

Nawiązywany dialog i konwersacje pomiędzy członkami organizacji stanowią gwarancję kształtowania zachowań pracowników na poziomie grupowym, rozpoczynając proces integracji członków organizacji wokół zagadnień związanych z bezpieczeństwem informacji. Rezultatem tego jest wypracowanie systemu interaktywnego, który stanowi regulator zachowań organizacyjnych. W przebiegu uczenia się zachowań na poziomie grupowym kluczową rolę w odniesieniu do małych firm odgrywa promowanie poczucia zaufania i przynależności grupowej oraz eliminowanie atmosfery współzawodnictwa.

tab1.gif
Tab. 1. Proces organizacyjnego uczenia się wraz z przykładowymi czynnikami kształtującymi pożądane zachowania pracownicze
Źródło: Opracowanie własne

 

Wskazane powyżej poziomy procesu organizacyjnego uczenia się są istotniejsze aniżeli uczenie się na poziomie organizacyjnym i międzyorganizacyjnym, zwłaszcza na etapie początkowym, którego zasadniczym celem jest zwrócenie uwagi członków organizacji na kwestie bezpieczeństwa. Należy także nadmienić, iż realizacja działań zmierzających do kształtowania wspólnego zrozumienia kwestii dotyczących bezpieczeństwa informacji oraz przejawiania właściwych zachowań w przypadku małych firm odbywać się powinna w ramach grup nieformalnych. Związane jest to przede wszystkim z tym, iż małe podmioty gospodarcze nie dysponują wystarczającymi zasobami finansowymi, które pozwoliłyby realizować te działania na specjalnie wyznaczonych w tym celu spotkaniach. Z jednej strony presja czasu i bieżące prowadzenie działalności uniemożliwia prowadzenie tego rodzaju aktywności, z drugiej zaś przekazanie informacji przez właściciela-menedżera, względnie któregoś z pracowników, innym członkom organizacji może się odbywać przy okazji przerw w pracy, w trakcie wspólnego dyskutowania zagadnień związanych z realizacją zadań w organizacji.

Osobną kwestią związaną z bezpieczeństwem informacji, odnoszącą się szczególnie do małych podmiotów rynkowych, jest rozstrzygnięcie, w jakim stopniu posiadane informacje narażone są na utracenie, a także, co ważniejsze, wykorzystanie przez potencjalnych konkurentów. W szczególności chodzi o to, jaki rodzaj informacji należy chronić w takich podmiotach. Kwestia ta wydaje się tym istotniejsza, że funkcjonowanie małych podmiotów w przestrzeni społeczno-gospodarczej jest uzależnione od wymiany informacji pomiędzy podobnymi podmiotami gospodarczymi. Biorąc pod uwagę małe zakłady wytwórcze czy usługowe, dostarczające finalnemu konsumentowi produkt czy usługę, można przyjąć, iż dyfuzja informacji sprzyja ich konkurencyjności. Umożliwia ona wymianę praktyk, sposobów nawiązywania relacji z innymi uczestnikami rynkowymi. W wielu przypadkach wzajemna wymiana informacji jest dla takich przedsiębiorstw kluczowym sposobem uczenia się. Z kolei przyjęcie wzorca ochrony informacji powoduje, że organizacje zamykają się na rozwój, ich odizolowanie może znacznie utrudnić ich funkcjonowanie. W takim znaczeniu, o ile kształtowanie zachowań na poziomie indywidualnym i grupowym ma za zadanie wskazywać pracownikom rangę zabezpieczenia informacji przez wydostaniem się jej na zewnątrz przedsiębiorstwa, zarówno na poziomie organizacyjnym, jak i międzyorganizacyjnym proces organizacyjnego uczenia się powinien być ukierunkowany inaczej. Ma za zadanie kształtować postawy i zachowania pracowników zmierzające do dyfuzji informacji w otoczeniu. Tym samym należy promować wśród członków organizacji odmienną postawę wobec otoczenia, nie wrogą, lecz przyjazną. Oczywiście nie chodzi tutaj o sprzeczne formułowanie przekazów, ale o to, aby działania podejmowane w organizacji sprzyjały nawiązywaniu relacji z otoczeniem. Uzasadnieniem takiego podejścia jest przypuszczenie, iż wykształcenie na poziomie indywidualnym i grupowym świadomości pracowników spowoduje, że będą oni przekazywać jedynie te informacje, które nie zagrażają pozycji przedsiębiorstwa na rynku. Zasadniczo chodzi tu o symetrię przepływu informacji między otoczeniem a organizacją. Relacje z otoczeniem w znaczeniu transakcji polegają na wzajemnej wymianie – z jednej strony na przepływie strumieni materialnych, z drugiej zaś niematerialnych. Trudno oczekiwać od partnerów postaw i zachowań altruistycznych (nawet tylko na poziomie deklaracji). Aby uzyskać informacje od innych uczestników gry rynkowej, należy przekazać coś w zamian, z reguły także informacje. Trudno w tym miejscu rozstrzygnąć, które z informacji nadają się do wymiany i udostępniania, brakuje bowiem badań naukowych, które identyfikowałyby zbiory informacji szczególnie ważnych dla małej firmy, których udostępnienie innym podmiotom rynkowym mogłoby zagrozić pozycji rynkowej takiej firmy. Tym samym wnioskiem o charakterze normatywnym, kierowanym do właścicieli-menedżerów małych podmiotów, jest potrzeba zidentyfikowania elementu wyróżniającego firmę w otoczeniu, przy czym bardziej chodzi tu o element behawioralny, związany z miękkimi obszarami zarządzania, tj. łatwość nawiązywania kontaktów, lojalność pracowników, doświadczenia w branży i wprawę w działaniu. Szczególnie w przypadku małych podmiotów rynkowych mniej istotne jest wyposażenie techniczne, maszyny i aparatura, bowiem dostęp do nich jest podobny dla wszystkich. Barierą w ich pozyskaniu jest stopa zwrotu inwestycji i ryzyko z tym związane. Przegląd małych przedsiębiorstw funkcjonujących w poszczególnych sektorach wskazuje, iż dysponują one podobnym wyposażeniem, a konkurują przede wszystkim w oparciu o miękkie obszary zarządzania. Osobną kwestią jest to, czy element wyróżniający małą organizację w otoczeniu, mieszczący się w sferze niematerialnej, możliwy jest do skopiowania przez innych uczestników rynkowych. Kwestia ta znajduje się jednak poza bezpośrednim zasięgiem tematu niniejszego opracowania.

Kształtowanie zachowań zabezpieczających informacje odbywa się zgodnie z polityką bezpieczeństwa, która jest zbiorem reguł dotyczących wszystkich aspektów bezpieczeństwa1. Polityka bezpieczeństwa informacyjnego składa się z następujących elementów:

  • planowanie zapotrzebowania na bezpieczeństwo,
  • analiza metod ochrony,
  • analiza ekonomiczna,
  • opracowanie zasad postępowania na wypadek katastrofy lub awarii,
  • opracowanie dokumentu „polityka bezpieczeństwa”,
  • wprowadzenie w życie polityki bezpieczeństwa,
  • analiza skuteczności i kontrola systemu,
  • korekta polityki bezpieczeństwa2.

Podsumowanie

Istnieje wiele podejść i rozwiązań zmierzających do zapewnienia bezpieczeństwa informacji organizacji gospodarczej. Niniejszy artykuł prezentuje podstawy teoretyczne wraz z rozważaniami na temat kształtowania zachowań pracowników małej firmy, które mają wpływ na bezpieczeństwo informacji. Znaczenie bezpieczeństwa, w tym bezpieczeństwa informacji, jest sukcesywnie wzmacniane, szczególnie w obszarze praktyki. Praktyczne znaczenie bezpieczeństwa informacji pozwala uwydatniać i zaktualizować problemy związane z omawianą wartością.

dr Marek Jabłoński
Uniwersytet Ekonomiczny w Krakowie

mgr Magdalena Mielus
Krakowska Szkoła Wyższa
im. A. Frycza Modrzewskiego

Literatura

  1. Barczyk A., Sydoruk T., Bezpieczeństwo systemów informatycznych zarządzania, Dom Wydawniczy Bellona, Warszawa 2003.
  2. Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa polskiego, Wydawnictwo Adam Marszałek, Toruń 2006.
  3. Konieczny J. (red.), Bezpieczeństwo. Teoria i praktyka. Moralne problemy bezpieczeństwa, czasopismo Krakowskiej Szkoły Wyższej im. A. Frycza Modrzewskiego, numer specjalny, Kraków 2008.
  4. Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003.
  5. Ciborowski L., Walka informacyjna, Wydawnictwo Marszałek, Toruń 1999.
  6. Fischer B., Przestępstwa komputerowe i ochrona informacji, Kantor Wydawniczy Zakamycze, Zakamycze 2000.
  7. Herman M., Potęga wywiadu, Wydawnictwo Bellona, Warszawa 2002.
  8. Liedel K., Bezpieczeństwo informacyjne w dobie terrorystycznych i innych zagrożeń bezpieczeństwa narodowego, Wydawnictwo Adam Marszałek, Toruń 2006.
  9. Šmid W., Metamarketing, Wydawnictwo Profesjonalnej Szkoły Biznesu, Kraków 2000.
  10. Łuczak J. (red.), Zarządzanie bezpieczeństwem informacji, Oficyna Współczesna, Poznań 2004.
  11. Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Oficyna Wydawnicza Abrys, Kraków 2000.

Źródła internetowe

http://sjp.pwn.pl
http://www.cert.pl


  1. Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Oficyna Wydawnicza Abrys, Kraków 2000, s. 130.
  2. Tamże, s. 131–147. 

Zabezpieczenia 2/2009

 

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony