Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Studium audytów bezpieczeństwa informacji, czyli obnażenie nieprawidłowości w ochronie informacji (cz. 1)

Printer Friendly and PDF

leadStraty spowodowane utratą informacji

Do wytworzenia, przetworzenia i sprzedania dowolnego produktu oprócz materiałów i narzędzi konieczna jest również informacja w postaci wiedzy, jak to zrobić. Najczęściej to właśnie ta informacja jest kluczem do sukcesu. Dzięki niej można wytworzyć lub przetworzyć, a także sprzedać produkt z zyskiem. Jej utrata lub przekazanie komuś niepowołanemu (kradzież informacji) automatycznie wiąże się ze stratami finansowymi. Przeciek informacji dotyczących cen w przetargu może spowodować, że atrakcyjny kontrakt nie zostanie podpisany, gdyż konkurencja poznała ofertę i zaoferowała cenę mniejszą o przysłowiową złotówkę.

Odchodzący z firmy handlowiec lub menedżer, który zabiera ze sobą bazę danych klientów i kontaktów, to częsty przypadek w polskich firmach. Podobnie dzieje się, gdy pracownicy, którzy odeszli z jakiejś firmy, zakładają własną, konkurencyjną działalność i nieuczciwie korzystają z informacji, technologii, know-how wypracowanych w macierzystej firmie.

Problemów mogą nastręczyć sytuacje, w których na skutek incydentu związanego z naruszeniem bezpieczeństwa informacji następuje naruszenie reputacji firmy. Utrata zaufania klientów do banku wplątanego w aferę związaną z nieszczelnymi systemami internetowej bankowości czy wyrzucenie na śmietnik ważnych firmowych dokumentów to częste przypadki, zwykle z upodobaniem nagłaśniane przez media.

Ochrona informacji ma również związek z problemem konkurencyjności i postrzegania firmy przez klientów. Każdy jest odbiorcą oraz dostawcą informacji. Każdy chce zapewnienia, że proces wzajemnej wymiany informacji będzie odbywał się zgodnie z ustaleniami i będzie kontrolowany. Firmy świadomie zarządzające informacją i jej bezpieczeństwem poszukują partnerów będących na podobnym poziomie rozwoju. Eliminuje to z rynku tych, którzy pozostali w tyle i nie wprowadzili zarządzania informacją i jej bezpieczeństwem.

Wymagania prawne

Organizacje coraz lepiej uświadamiają sobie, że informacja jest bardzo ważnym, często kluczowym zasobem i musi być chroniona adekwatnie do swojej wartości. To chyba najsilniejszy i bezdyskusyjny argument za zarządzaniem bezpieczeństwem informacji. W naszym kraju obowiązuje co najmniej kilkanaście aktów prawnych związanych z ochroną pewnych informacji, do których musi stosować się każda, nawet mała firma. Brak takiej ochrony może skutkować ciężkimi sankcjami finansowymi i karnymi – czy to w stosunku do organizacji, czy do osób – i może doprowadzić nawet do zamknięcia działalności. W tym przypadku ochrona określonych informacji to nie wybór organizacji, tylko wymóg prawny.

Jak dbamy o bezpieczeństwo informacji?

Polskie firmy i instytucje coraz wyraźniej identyfikują wymagania ochrony informacji, zarówno biznesowe, jak i prawne. Deklarują, że muszą coś zrobić. Niektóre spośród nich – te bardziej zaangażowane – nawet usiłują coś zrobić.

Nie jest to proste zadanie. Skuteczna a zarazem efektywna (pod względem kosztów i efektów) ochrona wymaga zaangażowania się w wielu dziedzinach. W wielu ­przypadkach wymaga zmian organizacyjnych w firmie, większej lub mniejszej reorganizacji „codziennych” czynności pracownika i co najważniejsze – zmian w świadomości wszystkich pracowników, począwszy od najwyższego kierownictwa, a skończywszy na pracownikach wykonujących najprostsze czynności.

Jak to w życiu bywa, skutki działań nie zawsze są takie, jakich się spodziewano. Patrząc z perspektywy doświadczeń audytowych, kontaktów z zainteresowanymi organizacjami, można by pokusić się o pewnego rodzaju wykaz błędów i wypaczeń. Są one dosyć powtarzalne i łatwo je wskazać.

W celu uporządkowania błędy te można przyporządkować do następujących obszarów:

  • organizacja bezpieczeństwa informacji,
  • realizacja,
  • czynnik ludzki.

Poniżej zaprezentowano najbardziej typowe i zarazem najczęściej popełniane błędy. Są one o tyle ciekawe, że, zdaniem autora, wcale nie wynikają z ograniczeń finansowych, a raczej z braku pomysłu na to, jak zapewnić bezpieczeństwo.

Działania doraźne – taktyka strusia, czyli jakoś to będzie...

Tak możemy określić zarządzanie bezpieczeństwem informacji polegające na podejmowaniu jednorazowych, nieskoordynowanych działań, doraźnie usuwających skutki incydentów, czyli funkcjonowanie na zasadzie „jakoś to będzie”. Praktyka pokazuje, że najprawdopodobniej dojdzie do incydentu, po którym to „będzie” zamieni się w „już nie będzie ”. W tym przypadku trudno mówić o jakiejkolwiek ochronie. Audytor może żartobliwie stwierdzić: „tu nie ma co audytować”. Jest to jakiś sposób na przetrwanie, ale tylko przetrwanie i nic więcej.

Zróbmy to szybko i tanio!

Proponowany system najczęściej opiera się na kupionym od byle kogo i byle jak wdrożonym zestawie procedur. Pozornie wydaje się, że wszyscy powinni być zadowoleni – wdrożeniowiec, bo szybko sprzedał i się nie narobił, organizacja, bo ma system ochrony danych i wygrała przetarg – ale tak nie jest z prostej przyczyny – wydano wcale nie tak małe pieniądze, wykorzystano (mimo ofertowych zapewnień) całkiem spore zasoby (czas, ludzi, pieniądze), a efekty są żałośnie mizerne, bo zakupiony zestaw procedur nie pasuje do rodzaju biznesu i realiów organizacji. Całość działań i nakładów na „system” ochrony informacji okazuje się zwykłym marnotrawstwem sił i środków, co skruszeni menedżerowie po jakimś czasie sami przyznają. Jest to niestety częsty grzech. Zazwyczaj jest on konsekwencją przyjętej „polityki bezpieczeństwa”, którą organizacja stworzyła samodzielnie albo kupiła od firmy konsultingowej.

Polityka ochrony informacji

Nikt nie aktualizuje procedur, nikt nie zajrzał do dokumentów od czasu ich wdrożenia. Większość pracowników dawno o nich zapomniała, a nowi w ogóle ich nie widzieli, ale wszędzie głośno i wyraźnie mówi się; „mamy przyjętą i zatwierdzoną politykę bezpieczeństwa”.

Zwykle jeden audyt pozwala wykazać faktyczny brak zabezpieczenia informacji. Na czym polega problem? Skupiono się na stworzeniu zasad, procedur i instrukcji. Ci, którzy mieli więcej determinacji (i zasobów), wdrożyli opisane i zdefiniowane procedury. Zabrakło jednak czegoś istotnego – ciągłego monitorowania i oceniania procesów związanych z bezpieczeństwem informacji. Tylko ciągła ocena (wręcz „pomiar”) bezpieczeństwa pozwala stwierdzić, jak ta ochrona jest realizowana.

Ale pomiar to nie wszystko. Trzeba jeszcze z wyników pomiaru korzystać i na ich podstawie podejmować decyzje, gdzie i co trzeba poprawić. A przede wszystkim należy robić to ciągle!

Warto zainteresować się normą ISO 27001, prezentującą skuteczny model zarządzania bezpieczeństwem informacji. Według tej normy jedną z fundamentalnych zasad postępowania jest wymuszanie na każdym kroku działań według koła Deminga, czyli „Planuj-Wykonuj-Sprawdzaj-Popraw” (cykl PDCA).

Etap „Planuj-Wykonuj” to, wbrew pozorom, coś, co najłatwiej zrealizować. Za to etap „Sprawdzaj-Popraw” to prawdziwe wyzwanie.

Czy bezpieczeństwo jest zapewnione przez sześć haseł i dziesięć podpisów?

Jest to przypadłość trapiąca różnego rodzaju departamenty bezpieczeństwa i urzędników tych departamentów, wynikająca z braku integracji zarządzania bezpieczeństwem informacji z resztą działań w organizacji. Krótko mówiąc, to bezpieczeństwo zamknięte za pancernymi drzwiami i w związku z tym mające określony, czyli żaden, kontakt z ­rzeczywistością. W konsekwencji codzienne wymagania w działalności firmy i wymagania departamentu bezpieczeństwa coraz bardziej się rozmijają. Specyfika funkcjonowania firmy wymaga szybkich reakcji, często działań improwizowanych ad hoc, a tymczasem „spece” od bezpieczeństwa próbują na siłę wcisnąć wszystkich w jakieś ciasne ramy swoich procedur.

To jest błąd! Bezpieczeństwo musi być kompromisem pomiędzy tym, co jest wymagane, a tym, co jest wykonalne. Rozwiązania muszą być wspólnie wypracowane, a nie narzucone. Procedury muszą być nie tylko dobre dla organizacji, ale także akceptowane przez pracowników (niekoniecznie dobre, bo to nie zawsze się udaje, ale przynajmniej akceptowane).

Skoro dzisiaj jest wtorek, to jestem menedżerem bezpieczeństwa

Jedne z najczęstszych problemów zgłaszanych przez odpowiadających za bezpieczeństwo to stwierdzenia typu „nikt mnie nie słucha” albo „nie mam na to czasu”. Szczególnie narzekają ci, których „poproszono” o przejęcie obowiązków urzędnika odpowiedzialnego za bezpieczeństwo informacji, bo ktoś musi nim być. Jest to zrozumiałe. Osobami odpowiedzialnymi za bezpieczeństwo zostają menedżerowie działów IT, administratorzy, informatycy. W konsekwencji ludzie ci, jako odpowiedzialni za realizację ochrony informacji, nadzorują samych siebie. Takie rozwiązanie mogłoby być zaakceptowane, jeśli nie ma innych możliwości. Problem polega na tym, że nie ma kontroli nad osobą zarządzającą.

Z drugiej strony wyżej wymienione osoby są często mocno obciążone pracą i jawnie deklarują, że dbanie o bezpieczeństwo informacji to dla nich dodatkowe obciążenie i zadanie, które będą realizować w miarę możliwości, a więc na ogół niedostatecznie. Podobnie jest w przypadku innych dodatkowo obciążonych pracowników, np. trenerów i wewnętrznych audytorów. Brak czasu na to, by zrealizować te dodatkowe działania, skutkuje zawsze tym samym – kiepskim bezpieczeństwem.

Istotną kwestią jest również pozycja i siła przebicia. Zaleca się, aby osoby odpowiedzialne za koordynację zarządzania jakością (pełnomocnicy) miały odpowiednie upoważnienia najwyższego kierownictwa, a równocześnie były niezależne od struktur wewnętrznych po to, by móc skutecznie działać, a przede wszystkim interweniować w razie stwierdzenia błędów czy nieprawidłowości. W dobrze zorganizowanych strukturach taki menedżer ma prawo wydawać polecenia służbowe wszystkim pracownikom i żądać wykonania tych poleceń. Obarczony odpowiedzialnością za bezpieczeństwo i ochronę informacji pracownik działu IT, który kontroluje swojego przełożonego, szefa działu IT, to wcale nierzadki przypadek.

W następnej części artykułu zostaną opisane inne błędy i kolejne problemy z bezpieczeństwem informacji.

Krzysztof Sierota
TÜV Nord Polska

Zabezpieczenia 3/2010

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony