Dr hab. Stanisław Piocha, prof. PK Politechnika Koszalińska Instytut
Transkrypt
Dr hab. Stanisław Piocha, prof. PK Politechnika Koszalińska Instytut
POLITECHNIKA KOSZALIŃSKA INSTYTUT EKONOMII I ZARZĄDZANIA EIZ _ I ^F S K F %Ł KOSZALIN UNIVERSITY O F TECHNOLOGY THE ECONOMICS AND MANAGEMENT INST1TUTE E. Kw akowskiego 6E 75-343 Kosralir. Potond Tel. (94) 343-9114.. Fax (94) 343-9113 www.ieiz.tu koszalin.pi e-mail: ieiz@tu koszalin.pl Dr hab. Stanisław Piocha, prof. PK Politechnika Koszalińska Instytut Ekonomii i Zarządzania Recenzja Rozprawy doktorskiej mgr Zdzisława Długosza pt: „Zarządzanie bezpieczeństwem systemu ochrony informacji stanowiących tajemnice przedsiębiorstwa posiadającego infrastrukturę krytyczną", napisanej na Wydziale Dowodzenia i Operacji Morskich Akademii Marynarki Wojennej pod kierunkiem dr hab. Marka Grzybowskiego prof. AMW 1. Uwagi ogólne Wymogiem rozprawy doktorskiej, przygotowywanej pod opieką promotora jest, aby stanowiła ona oryginalne rozwiązanie problemu naukowego oraz wykazywała ogólną wiedzę teoretyczną kandydata w danej dyscyplinie naukowej, a także jego umiejętność samodzielnego prowadzenia pracy naukowej. Podejmując się recenzji rozprawy doktorskiej mgra Zdzisława Długosza pt: „Zarządzanie bezpieczeństwem systemu ochrony informacji stanowiących tajemnice przedsiębiorstwa posiadającego infrastrukturę krytyczną", starałem stwierdzić na ile rozprawa ta spełnia wymienione wymogi. W recenzji rozprawy doktorskiej mgra Zdzisława Długosza, w sposób syntetyczny wykorzystałem informacje składające się na następujące kryteria: temat rozprawy, cel pracy, metodykę badań (tezy) i źródła materiałów, wykorzystanie i interpretację nagromadzonych danych i informacji; osiągnięcia badawcze; zauważone usterki; wnioski z badań i ich przydatność dla praktyki i teorii oraz kompozycję i stronę warsztatową całej rozprawy. Rozprawę przeczytałem z dużym zainteresowaniem, gdyż wywody Autora są przekonywujące. Opisuje On w sposób kompetentny, a przy tym komunikatywny- na podstawie przeprowadzonej analizy logicznej oraz empirycznej- zagadnienie stosunkowo nowe w praktyce funkcjonowania polskich przedsiębiorstw. Nazywając zagadnienie stosunkowo nowym mam na myśli fakt, iż nie jest ono w zadawalającym stopniu rozpoznane w praktyce gospodarczej. 2. Wybór przedmiotu i tematu rozprawy oraz ich istotność Zarządzanie bezpieczeństwem w organizacjach gospodarczych nie do końca jest procesem zidentyfikowanym. Szczególnego znaczenia nabiera w naukowym poznaniu proces sterowania tymi zagadnieniami w organizacjach gospodarczych posiadających infrastrukturę krytyczną, tym bardziej trudno jest ustalić jak sprawniej i skuteczniej poddać ochronie wymienioną infrastrukturę. Dynamizm współczesnego zglobalizowanego, do pewnego stopnia, świata systemów gospodarczych, niesie z sobą narastającą konkurencje a zatem korzyści i zagrożenia. Przeciwdziałanie zagrożeniom w ich złożonej naturze płynącym do przedsiębiorstwa z otoczenia a także zagrożeniom powstającym w samym przedsiębiorstwie, staje się czynnikiem współdecydującym o przewadze nad konkurencją. Funkcjonowanie przedsiębiorstw w warunkach konkurencji globalnej znaczenie tego czynnika jeszcze nasila się. Dlatego Autor postawił kilka szczegółowych problemów do rozwiązania, aby ograniczyć interdyscyplinarną rozległość badawczą i skupić się na badaniu problemu z punktu widzenia teorii organizacji i zarządzania. Autor starał się znaleźć dosyć satysfakcjonującą odpowiedź na wyzwanie zawarte w pytaniu: w jaki sposób doskonalić funkcje zarządzania, aby sprostać wyzwaniom współczesnego świata?. Aktualność i istotne znaczenie tak postawionego pytania są oczywiste i jednocześnie uzasadniają podjęcie rozważań na ten temat w recenzowanej rozprawie. 3. Cel pracy, tezy i hipoteza Cele rozprawy zostały przez Autora postawione w trzech płaszczyznach (wprawdzie Autor bezpośrednio tych trzech płaszczyzn nie zdefiniował jednak z treści rozprawy one jednoznacznie wynikają). Mam na myśli płaszczyzny: teoretyczną, metodyczną i empiryczną. W pierwszej płaszczyźnie Doktorant zamierza ustalić istotę bezpieczeństwa informacji i zdefiniować system zarządzania tym bezpieczeństwem. W drugiej płaszczyźnie podejmuje się trudu opracowania metody budowy koncepcji skutecznego zarządzania bezpieczeństwem informacji w organizacjach gospodarczych posiadających infrastrukturę krytyczną. Zbudowana koncepcja jest przejrzysta i przekonująca. W trzeciej płaszczyźnie - w zakresie utylitarnym prezentuje Autor wyniki badań empirycznych, ukazujących słabe ogniwa w istniejącym systemie zarządzania bezpieczeństwem w badanych organizacjach gospodarczych. Jest to równocześnie kanwa budowy przez Autora projektu modelu podwyższającego sprawność i skuteczność zarządzania bezpieczeństwem informacji. Dla osiągnięcia postawionego celu a zatem rozwiązania problemu badawczego Autor sformułował pięć tez głównych w formie pytań szczegółowych. Stanowiło to podstawę przyjęcia hipotezy badawczej, jako przypuszczeniu: „zarządzanie bezpieczeństwem informacji stanowiących tajemnice przedsiębiorstwa, jako stanem pożądanym, wymaga, dla swojej skuteczności, skonstruowania modelu zarządzania". Tak sformułowana hipoteza wypełnia jej istotę metodologiczną. Dla jej weryfikacji Autor zbudował 2 strategię procesu badawczego, nazywając go „metodycznym schematem badań", obejmującym dwa bloki postępowań badawczych ( blok empiryczny i blok teoretyczny s. 18 - 23). Wymienionej strategii badawczej przyporządkowana jest struktura pracy (rozdziały II do IV). 4. Struktura rozprawy Rozprawa doktorska mgr Zdzisława Długosza pt.: „Zarządzanie bezpieczeństwem systemu ochrony informacji stanowiących tajemnice przedsiębiorstwa posiadającego infrastrukturę krytyczną", obejmuje łącznie 199 stron (w tym 185 stron poświęconych tematyce merytorycznej) i składa się ze wstępu, zakończenia oraz czterech rozdziałów ilustrowanych 27 rysunkami i 3 tabelami. W pracy wykorzystano literaturę i dokumenty obejmujące 281 pozycji, w tym 13 obcojęzycznych. Przeważnie jest to literatura najnowsza. Zasób wykorzystanej literatury i sposób wykorzystania oceniam pozytywnie. Rozdziały ( z wyjątkiem uwagi zawartej poniżej) stanowią ciąg logiczny rozważań i badań Autora. Kolejne rozdziały podzielone zostały na podrozdziały i tezy, będące kolejnymi krokami Autora w przechodzeniu, z jednej strony od rozważań teoretycznych do praktyki gospodarczejtworzenia projektu modelu zarządzania bezpieczeństwem, z drugiej zaś od analizy dokumentów normujących zachowanie się podmiotów gospodarczych w różnych sytuacjach naruszających - zdefiniowaną sytuację bezpieczeństwa do ukazania luk w tych normach, które projektowanym systemem Autor zamierza wypełnić. 5. Ocena merytoryczna rozprawy Prezentując merytoryczną ocenę rozprawy pragnę zwrócić uwagę na jej prawidłową konstrukcję i zachowanie proporcji pomiędzy poszczególnymi częściami. Logiczny i przejrzysty układ, bogaty, ale nieudziwniony język (profesjonalna terminologia), właściwy i zróżnicowany dobór nowoczesnego warsztatu badawczego należą do mocnych stron warsztatowej warstwy rozprawy i dojrzałości naukowej doktoranta. W rozdziale pierwszym Doktorant przedstawił rozważania i uzasadnienie postępowania badawczego a zatem z zakresu metodyki badań naukowych w nauce o zarządzaniu. Rozważania te są głęboko osadzone w literaturze metodologicznej, którą Doktorant trafnie wykorzystuje dla ukazania kolejnych etapów zamierzonego postępowania badawczego. W treści rozdziału dostrzec można koncepcję badawczą i strategie badania, problemy szczegółowe oraz metody i techniki badawcze, a także zamierzoną kwantyfikację wyników badań ( w spisie treści w odniesieniu do tego podrozdziału jest błąd s. 2. podrozdz. 4. Kwantyfikacja przyjętej metodyki powinno być: kwantyfikacja wyników przyjętej metodyki). Treść rozdziału drugiego wypełniona została systematyką pojęć niezbędnych dla identyfikacji systemu zarządzania bezpieczeństwem informacji. Doktorant na podstawie dokumentów normatywnych i współczesnej literatury z zakresu zarządzania bezpieczeństwem ( polskiej i obcojęzycznej) zdefiniował istotę zarządzania ochroną tajemnicy przedsiębiorstwa, wskazując na jego podstawowe elementy, jej miejsce w strategii konkurencji oraz istotę zagadnień związanych z ochroną infrastruktury krytycznej. 3 Znaczącym dorobkiem w tej części jest usystematyzowanie pojęć zawartych w różnych dokumentach, a bardzo istotnych z punktu widzenia zarządzania bezpieczeństwem informacji w przedsiębiorstwie posiadającym infrastrukturę krytyczną. Dalej Doktorant dokonał charakterystyki takich pojęć jak: informacja, tajemnica, bezpieczeństwo, system, czyli główne elementy zarządzania bezpieczeństwem informacji. Charakteryzuje także w tym rozdziale istotę ochrony informacji stanowiących tajemnice przedsiębiorstwa. Kolejnym zagadnieniem zawartym w treści rozdziału jest opis podstawowych zagrożeń dla informacji stanowiących tajemnice przedsiębiorstwa. Jest to część rozważań Doktoranta stanowiąca praktyczne uzasadnienie podjętych badań i ich efektu. Rozdział trzeci w swej treści identyfikuje elementy składowe systemu ochrony tajemnicy przedsiębiorstwa. Jest to ujęcie wielo płaszczyznowe. Doktorant zwraca tu główną uwagę na płaszczyźnie podmiotowej ( pracownicy), na procesach identyfikując organizację w ujęciu czynnościowym, proces szkolenia, ochrona fizyczna, przepływ informacji i struktura tego przepływu, trzecią płaszczyzną są stany (bezpieczeństwa, zagrożeń, ryzyka, kryzysu) i ich główne źródła w przedsiębiorstwie. Rozdział czwarty poświęcił Doktorant na stworzenie i uzasadnienie ( opartym na identyfikacji incydentów naruszenia bezpieczeństwa informacji) modelu zarządzania bezpieczeństwem informacji. Zbudowany model jest moim zdaniem kompletny i przekonywujący. Dorobek Doktoranta zawiera się w inżynierii modelu jego podmiotowej i przedmiotowej harmonizacji wraz z przypisaniem kompetencji podmiotom funkcyjnym, a także opracowanie procedur niezbędnych dla wdrożenia modelu do praktyki. Reasumując ogólną ocenę rozprawy stwierdzam, że: - Po pierwsze; zaprezentowane postępowanie badawcze porządkuje stan wiedzy na temat zarządzania bezpieczeństwem informacji w organizacjach gospodarczych o szczególnym znaczeniu, - Po drugie; zawiera oryginalną diagnozującą identyfikację rozwiązywanego problemu badawczego, - Po trzecie; dostarcza, w postaci projektu i wniosków z badań, wypracowanego logicznie narzędzia, mogącego podwyższyć skuteczność zarządzania bezpieczeństwem informacji przedsiębiorstwach. Ponadto rozprawa: Przedstawia dobrą orientację w badaniach nie tylko krajowych w zakresie podjętego zagadnienia, wskazując, iż Doktorant posiadł umiejętność prowadzenia krytycznej analizy piśmiennictwa i uporządkowania wiedzy, Wyróżnia się poprawnością konstrukcyjną, relatywnie wyrównanym poziomem rozdziałów i ich pełną kompatybilnością oraz językiem precyzyjnym, lecz nie hermetycznym, pozwalającym na łatwe przyswajanie proponowanej wiedzy, Stanowi twórczy przyczynek dostarczający menedżerom polskich przedsiębiorstw konkretnych argumentów przemawiających za koniecznością doskonalenia systemu zarządzania bezpieczeństwem informacją. 4 6. Uwagi metodyczne i edytorskie W mojej ocenie wstęp pracy jest zbyt obszerny i rozdziela cel pracy i hipotezę badawczą od strategii badawczej, ujmującej zarówno operacje poznania naukowego, jak też metody badawcze, które służą weryfikacji hipotezy. Autor rozumiejąc to sztuczne rozdzielenie zmuszony został do koniecznych powtórzeń w rozdziale pierwszym stwierdzeń zawartych we wstępie ( s. 10 i s. 29). Wydaje się, że trafniejsze byłoby włączenie części wstępu ( od s.7-11) do rozdziału pierwszego i nazwanie tego rozdziału Np.: „ Metodologiczne podstawy pracy". Uwaga ta nie umniejsza wartości poznawczej i empirycznej dorobku Autora. Mało precyzyjnie jest wyjaśniony, przyjęty przez Autora teren badań (ujęcie podmiotowe). Na s. 8- 9 Autor wyjaśnia, że terenem badań było 10 przedsiębiorstw, na s. 24, Autor dodaje, jakie branże przedsiębiorstwa reprezentowały („ przemysł wydobywczy, przetwórstwo chemiczne i świadczyły różne usługi o charakterze strategicznym"), dalej stwierdza: „Ich dobór wynikał z ich reprezentatywności w danym rodzaju działalności na terenie Unii Europejskiej oraz przemyślanej ze względu na cel działania ich struktury organizacyjnej..", Na s. 25 Autor wyjaśnia, że procedurom wdrożeniowym i badawczym poddano 4 przedsiębiorstwa z załącznika do Rozporządzenia Rady Ministrów i dodatkowo 1 przedsiębiorstwo szczególnie ważne. I dalej Autor stwierdza: „ Z cytowanych wyżej wykazów, jako obiekty badane pilotażowo i ostatecznie w ciągu 8 lat, znalazło się 12 przedsiębiorstw". W efekcie czytelnik nie wie, co jest populacją generalną i jakie kryteria ilościowe i jakościowe były podstawą doboru próby i co to jest próba reprezentatywna oraz ile tych przedsiębiorstw poddano badaniom. (Z tego wykazu 4 przedsiębiorstwa, podczas gdy w wykazie jest ich 197). Jest to równocześnie prośba do Doktoranta: proszę o przybliżenie przyjętych zasad doboru zbiorowości badawczej przy podmiotowym określeniu terenu badań i jak to odnosi się do zasad statystycznych. Doktorant nie ustrzegł się pewnych potknięć edytorskich. Do nich zaliczam przede wszystkim: - Kończenie podrozdziałów cytatem, ilustracją albo przypisem (s. 34, 37, 41,60,148); - Brak nazwiska autora dzieła, na które się Doktorant powołuje (s.27); - W przypisach nie podaje stron, do których się odnosi (s. 6, 10, 11, 12, 13, 15, 16, 17, 20, 27, 34, 42, 55, itd.); - W przypisie stosuje skrót „op. cit." (cytowane dzieło) zamiast „tamże" (s. 7, 8, 12, 60, itd.), a skrót „op. cit." zastępuje „..." (12,14); - Źródło pod ilustracjami ukazane jest w nawiasie ( dotyczy wszystkich ilustracji); - Ilustracje 4.17 I 4.18 (s. 169 i 170), są mało czytelne i nie dokładnie wyjaśnione dla czytelnika. 5 Wymienione uwagi nie obniżają, w zasadniczym stopniu, wartości poznawczej, naukowej i empirycznych wyników ocenianej pracy doktorskiej. 7. Uwagi końcowe- rekomendacja Recenzowana rozprawa doktorska zawiera wyraźnie dostrzegalny dorobek praktyczny doktoranta i wkład do praktyki implementacji koncepcji zarządzania bezpieczeństwem organizacji gospodarczej. Rozprawę czyta się z dużym zainteresowaniem a wywody Autora są przekonywujące. Wskazane wywody wynikają zarówno z głęboko rozwiniętej analizy krytycznej literatury, z wnikliwych badań empirycznych oraz własnych spostrzeżeniach badawczych. Pozwala to na stwierdzenie, że postawione w pracy cele ( por. s. 6-12), zostały osiągnięte, zaś hipotezy badawcze ( por. s. 29) pozytywnie zweryfikowane. Doktorant przez to w pełni udowodnił, że: 1. Posiadł wiedzę interdyscyplinarną i wystarczającą znajomość badanych problemów naukowych, a także umiejętności samodzielnego prowadzenia badań naukowych; 2. Poprawnie i adekwatnie do konkretnych problemów formułuje i weryfikuje tezy badawcze; 3. Samodzielnie podejmuje i poprawnie rozwiązuje problemy aktualne i istotne dla teorii i praktyki sterowania składnikami bezpieczeństwa organizacji gospodarczej. Wymienione stwierdzenia pozwalają ocenić rozprawę mgr Zdzisława Długosza, jako pozycję wzbogacającą narzędzia poznania naukowego w zarządzaniu bezpieczeństwem. W świetle przedstawionej oceny stwierdzam, że recenzowana rozprawa doktorska mgr Zdzisława Długosza, pt: „Zarządzanie bezpieczeństwem systemu ochrony informacji stanowiących tajemnice przedsiębiorstwa posiadającego infrastrukturę krytyczną", spełnia wymagania stawiane rozprawom doktorskim i wnoszę o dopuszczenie jej do publicznej obrony. Stanisław Piocha KIE RJDWNIK Z A K t A Q#r E K 0*N O M 11 Hrhob. Stnriihiw Piocha 6