Bogusław Cacko: Bezpieczeństwo informacji w realiach współczesnego biznesu
W dobie postępującej cyfryzacji oraz konkurencyjności opartej na wiedzy oraz know-how, to właśnie informacja staje się jednym z kluczowych aktywów przedsiębiorstwa, pozwalającym na budowanie przewagi rynkowej – uważa Bogusław Cacko, ekspert ds. bezpieczeństwa informacji w biznesie.
Współczesny świat, cechujący się dynamizmem w niemal każdym aspekcie ludzkiego życia, wymaga od przedsiębiorców dostosowywania się do zmieniającego otoczenia. Tyczy się to zarówno szeroko rozumianego porządku prawnego, jak i otoczenia konkurencyjnego, które nieustannie wymusza presję na rozwój, doskonalenie oraz progres w kształtowaniu porządku wewnątrzkorporacyjnego. W związku z tym, sprawnie funkcjonujące przedsiębiorstwo, niezależnie od swojej formy prawnej czy zakresu prowadzonej działalności gospodarczej, nie może ograniczać się wyłącznie do efektywności ekonomicznej. Coraz istotniejszym elementem zarządzania staje się bowiem perspektywa długofalowa, uwzględniająca nie tylko wyniki finansowe czy nakłady inwestycyjne, a wymagająca holistycznego podejścia o charakterze strategicznym, opartym o przemyślane zarządzanie ryzykiem czy ciągłością działania. Szczególne znaczenie ma przy tym zdolność do świadomego rozpoznawania otoczenia organizacyjnego i biznesowego oraz identyfikowania czynników ryzyka mogących wpływać na bezpieczeństwo działalności. Oznacza to, iż chcąc określić swoje przedsiębiorstwo mianem nowoczesnego i dobrze prosperującego, należy posiadać właściwie zaprojektowany i konsekwentnie realizowany system zarządzania, którego elementy kształtowane będą przez zasoby ludzkie, kulturę organizacyjną, strategię, regulacje wewnątrzkorporacyjne oraz zasoby informacyjne. W dobie cyfryzacji oraz budowania przewagi konkurencyjnej w oparciu o know-how, analizy rynku czy zachowania klientów, to właśnie aktywa przedsiębiorstwa w postaci informacji stają się szczególnie istotne.
Czym jest informacja i jak ją chronić?
Samo pojęcie informacji należy rozumieć szeroko – jako wszelkiego rodzaju dane, informacje, wiedzę, rozwiązania technologiczne, strategie czy know-how, które posiadają realną wartość gospodarczą. Informacje te stanowią dziś jeden z najcenniejszych składników majątku przedsiębiorstwa, a ich utrata lub ujawnienie może prowadzić do poważnych konsekwencji finansowych czy wizerunkowych.
Skuteczna ochrona zasobów informacyjnych wymaga wdrażania wewnętrznych procedur i regulacji, których celem jest uporządkowanie oraz ujednolicenie procesów wewnątrz organizacji. Chodzi tu nie tylko o formalne dokumenty, lecz także o realnie funkcjonujące mechanizmy kontroli, odpowiedzialności i nadzoru. Istotną rolę odgrywają również zabezpieczenia fizyczne oraz techniczne, które mają zapobiegać nieuprawnionemu dostępowi do informacji, ich zniszczeniu lub utracie. Celem tych wszystkich działań jest przede wszystkim ograniczenie ryzyka związanego z przetwarzaniem informacji oraz zapewnienie im poziomu ochrony adekwatnego do ich znaczenia dla przedsiębiorstwa.
W warunkach współczesnej gospodarki zdecydowana większość zasobów informacyjnych przetwarzana jest przy wykorzystaniu systemów informatycznych. To właśnie one odpowiadają za gromadzenie, przetwarzanie i przechowywanie danych, a także za stosowanie odpowiednich mechanizmów zabezpieczających. Należy jednak podkreślić, że każda informacja – niezależnie od wielkości podmiotu, który nią dysponuje – narażona jest na podobny katalog zagrożeń. Obejmuje on zarówno zagrożenia przypadkowe, takie jak awarie systemów czy błędy ludzkie, jak i działania umyślne, w tym kradzież danych czy ich celowe zniszczenie. Różnice pomiędzy przedsiębiorstwami ujawniają się przede wszystkim w możliwościach reagowania na te zagrożenia.
Coraz większą rolę w obrocie gospodarczym odgrywają umowy o zachowaniu poufności, procedury obiegu dokumentów oraz mechanizmy kontroli dostępu do informacji.
Nie każdy przedsiębiorca ma takie same narzędzia ochrony
Duże podmioty gospodarcze, dysponujące znacznymi zasobami finansowymi i organizacyjnymi, mogą pozwolić sobie na rozwijanie rozbudowanych systemów ochrony informacji. Przejawia się to między innymi w polityce kadrowej, ukierunkowanej na zatrudnianie specjalistów z zakresu bezpieczeństwa informacji, a także w tworzeniu dedykowanych struktur organizacyjnych odpowiedzialnych za ten obszar. Dodatkowe środki umożliwiają również opracowanie szczegółowych procedur wewnętrznych oraz regulaminów, których zadaniem jest normalizacja procesów zachodzących w przedsiębiorstwie.
Nie bez znaczenia pozostają również zasady wymiany informacji z kontrahentami, partnerami biznesowymi oraz podwykonawcami. Brak jasno określonych reguł w tym zakresie może prowadzić do niekontrolowanego przepływu danych i zwiększać ryzyko ich nieuprawnionego ujawnienia. Dlatego też coraz większą rolę w obrocie gospodarczym odgrywają umowy o zachowaniu poufności, procedury obiegu dokumentów oraz mechanizmy kontroli dostępu do informacji.
Jednakże, niezależnie od skali działalności, każde przedsiębiorstwo powinno prowadzić regularne analizy ryzyka w obszarze bezpieczeństwa informacji oraz dokonywać ich systematycznej klasyfikacji. Ochrona powinna koncentrować się przede wszystkim na tych zasobach, które mają dla przedsiębiorstwa kluczowe znaczenie strategiczne. Jednocześnie należy mieć świadomość, że działania z zakresu bezpieczeństwa informacji wiążą się z kosztami, na które nie każdy podmiot może sobie pozwolić. Z tego względu podejmowane środki powinny być w każdym przypadku racjonalne i proporcjonalne do wagi posiadanych informacji. Należy jednak pamiętać, że w praktyce żaden przedsiębiorca nie jest w stanie objąć pełną ochroną wszystkich informacji, którymi dysponuje. Co więcej, bezpieczeństwo informacji nigdy nie będzie stanem absolutnym. Nie istnieje możliwość całkowitego wyeliminowania ryzyka, co oznacza konieczność stałego monitorowania zagrożeń oraz reagowania na nie poprzez wdrażanie odpowiednich mechanizmów organizacyjnych i technicznych. W tym kontekście szczególne znaczenie zyskuje podejście systemowe, oparte na ciągłym doskonaleniu procesów.
Model PDCA
Jednym z powszechnie stosowanych narzędzi w tym zakresie jest model PDCA (Plan–Do–Check–Act). Zakłada on cykliczne planowanie działań, ich wdrażanie, monitorowanie oraz wprowadzanie niezbędnych korekt. Pozwala on na bieżące dostosowywanie systemu bezpieczeństwa informacji do zmieniających się warunków organizacyjnych i technologicznych, a także do pojawiających się zagrożeń. Można zatem śmiało powiedzieć, iż w obszarze bezpieczeństwa informacji model ten stanowi fundament w systemowym podejściu do zarzadzania ryzykiem – poprawiający i doskonalący wszystkie mechanizmy ochrony posiadanych przez przedsiębiorstwo informacji.
Pierwszy etap – „Plan” – w swoim zamyśle obejmuje konieczność wypracowania podstawowych dokumentów wewnątrzkorporacyjnych, które posłużą do identyfikacji posiadanych aktywów informacji oraz określą ryzyko z nimi związane, wyznaczą cele oraz opracują przyszły plan działania. Zaliczyć do nich można przede wszystkim politykę bezpieczeństwa oraz analizę ryzyka. Etap ten jest o tyle istotny, iż to właśnie od poprawnej identyfikacji posiadanych informacji zależeć będzie m.in. dalsze określenie celów operacyjnych, nakreślenie ogólnej strategii przedsiębiorstwa lub wprowadzenie dedykowanej struktury organizacyjnej.
Faza „Do” jest momentem wdrażania wszystkich zaplanowanych wcześniej rozwiązań z zakresu bezpieczeństwa informacji. Należy pamiętać, iż zaliczyć do tego możemy wszelkie przedsięwzięcia związane z zapewnieniem odpowiedniego poziomu bezpieczeństwa posiadanym informacjom. Będą to zarówno środki fizyczne wdrożone w przedsiębiorstwie, jak i tzw. działania „miękkie”, których celem będzie podnoszenie kompetencji pracowników odpowiedzialnych za bezpieczeństwo informacji, przeprowadzanie odpowiednich szkoleń pracowniczych, wprowadzanie dedykowanych regulacji, czy kształtowanie szeroko rozumianej świadomości wewnątrz danej organizacji. Do tej fazy zaliczyć możemy również wszelkie działania podejmowane w celu zabezpieczenia posiadanych zasobów informacyjnych, jak np. zawieranie z kontrahentami umów NDA, czy wdrażanie i implementowanie infrastruktury i urządzeń przeznaczonych do podnoszenia poziomu bezpieczeństwa w organizacji (systemy kontroli dostępu czy CCTV).
Etap „Check” koncentrować się będzie na sprawnym monitorowaniu wszelkich wdrożonych w ramach organizacji rozwiązań – w tym przypadku z zakresu ochrony informacji. Najlepszymi narzędziami, które wspomogą kadrę zarządzającą w tym zakresie, będą na pewno audyty zewnętrzne czy testy podatności. Działania te mają jedno podstawowe zadanie – wykrycie wszelkich nieprawidłowości i luk w całym systemie oraz dostarczenie kierownictwu wskazówek co do obszarów wymagających usprawnień.
W praktyce żaden przedsiębiorca nie jest w stanie objąć pełną ochroną wszystkich informacji, którymi dysponuje – w tym przypadku z zakresu ochrony informacji. Najlepszymi narzędziami, które wspomogą kadrę zarządzającą w tym zakresie, będą na pewno audyty zewnętrzne czy testy podatności. Działania te mają jedno podstawowe zadanie – wykrycie wszelkich nieprawidłowości i luk w całym systemie oraz dostarczenie kierownictwu wskazówek co do obszarów wymagających usprawnień.
Ostatnia faza –„Act” – obejmować będzie wszystkie działania korygujące i naprawcze podejmowane na podstawie wniosków dokonanych w ramach fazy „Check”. Zaliczyć do nich możemy aktualizację wewnętrznych procedur bezpieczeństwa czy dostosowanie organizacji do nowych wyzwań z zakresu bezpieczeństwa informacji. Warto podkreślić, iż cały cykl, po dokonaniu wszystkich działań naprawczych, winien rozpocząć się od nowa, gdyż tylko w ten sposób będzie on umożliwiał adaptacyjność całego systemu, jak również zapewni mu odporność na wszelkie nowe zagrożenia.
W dobie postępującej cyfryzacji oraz konkurencyjności opartej na wiedzy oraz know-how, to właśnie informacja staje się jednym z kluczowych aktywów przedsiębiorstwa, pozwalającym na budowanie przewagi rynkowej. To właśnie ten wzrost znaczenia samych informacji pociąga za sobą ryzyka związane z ich utratą, ujawnieniem lub nieautoryzowaną modyfikacją. Implikacją tego, jest konieczność przyjęcia systemowego i długofalowego podejścia do ochrony zasobów informacyjnych przedsiębiorstw oraz odejście od powszechnie spotykanego myślenia, iż takie działania są jedynie kosztem prowadzonej działalności. Oznacza to również, iż wszelkie nakłady poniesione na podnoszenie poziomu bezpieczeństwa informacji w przedsiębiorstwie winny być traktowane jako realna inwestycja w stabilność oraz – równie ważne – wiarygodność danego podmiotu we współczesnych relacjach biznesowych.
Autor: Bogusław Cacko
