Pełen artykuł
Transkrypt
Pełen artykuł
Wywiad IT Security Review Minimalizując ryzyko Kierownictwo w wielu instytucjach bardzo poważnie traktuje sprawy bezpieczeństwa, rozumianego jako zachowanie poufnosci, interalności i dostępności informacji, budując na tym swój wizerunek jako wiadrygodnego powiernika, czy dostawcy – rozmowa z Tomaszem Dobkowskim. Dlaczego Audytel zajął się problematyką bezpieczeństwa informacji w firmach? Problematyka bezpieczeństwa teleinformatycznego pojawia się od samego początku istnienia firmy Audytel. Świadczone klientom korporacyjnym usługi doradcze w zakresie optymalizacji infrastruktury teleinformatycznej, wymagają podejścia kompleksowego, a więc również uwzlędnienia spraw bezpieczeństwa teleinformatycznego. Firma Audytel bada w trakcie projektów audytowych i doradczych problematykę klasyfikacji informacji, inwentaryzuje wspólnie z klientem aktywa informacyjne, analizuje rozwiązania techniczne i organizacyjne pod kątem poufności, integralności i dostępności informacji oraz wydajności systemów. Audytel świadczy również usługi zarządzania teleinformatyką, kształtując w organizacjach politykę bezpieczeństwa. W swoich działaniach opieramy się na dobrych wzorcach opisanych w normie ISO 27001, modelu COBIT (Control Objectives for Information and related Technology), a także rozwiązaniach, proponowanych przez Information Technology Infrastructure Library. Jeśli chodzi o zagadnienia, związane z ochroną informacji oraz bezpieczeństwem przetwarzania danych w systemach i aplikacjach, działających w sieciach teleinformatycznych, mamy dużo dobrych doświadczeń i własnych sprawdzonych rozwiązań organizacyjnych. Większość pracowników firmy Audytel uczestniczy w procesie certyfikacji i uzyskuje certyfikat audytora systemów informatycznych CISA, bądź przechodzi kurs audytora wiodącego normy ISO 27001. Uzyskana wiedza w procesie certyfikacji, służy rozwojowi kompetencji pracowników w zakresie bezpieczeństwa. W naszej pracy kładziemy nacisk na niezależność od dostawców, proponowanych przez nas rekomendacji. Ta filozofia jest trudna, bo wymaga dużo większego zaangażowania i staranności od naszych pracowników. Podporządkowana jest jej cała organizacja firmy Audytel, proces kształcenia konsultantów oraz kodeks postępowania. TOMASZ DOBKOWSKI CISA – dyrektor operacyjny w firmie Audytel sp z o.o., odpowiedzialny m. in. za projekty audytowe oraz doradztwo z zakresu bezpieczeństwa informacji i ochrony danych osobowych. Doświadczony konsultant specjalizujący się w zarządzaniu i optymalizacji infrastruktury teleinformatycznej oraz budowie systemów zarządzania bezpieczeństwem informacji; audytor systemów informatycznych oraz zintegrowanych systemów zarządzania bezpieczeństwem informacji według norm BS 7799-2/ISO 27001. 24 www.boston-review.com Jakie są najczęstsze problemy, bariery dla firm, dotyczące wdrażania bezpieczeństwa? Zacznę od barier i wymienię pięć głównych, jakie wyłaniają się w badaniach, dotyczących bezpieczeństwa Nr 3/2007 (4) Wywiad IT Security Review ministratorów bezpieczeństwa w całej Europie stale zwiększa się. Czwartym czynnikiem jest niedostateczne wsparcie ze strony kierownictwa firmy – choć z naszego doświadczenia wynika, że świadomość osób decydujących o nakładach na bezpieczeństwo rośnie. Przyczyniają się do tego różne regulacje, które mają na celu ochronę interesów udziałowców/akcjonariuszy, np. ochrona informacji w spółkach giełdowych, amerykańskie regulacje dotyczące raportowania finansowego – SOX (SarbanesOxley Act). Kierownictwo w wielu instytucjach bardzo poważnie traktuje sprawy bezpieczeństwa, rozumianego jako zachowanie poufności, integralności i dostępności informacji, budując na tym swój wizerunek jako wiarygodnego powiernika, lub dostawcy. Troska o zachowanie wizerunku firmy dbającej o bezpieczeństwo, ma swoje głębokie uzasadnienie biznesowe, szczególnie w sektorze usług finansowych. Oczywiście, nadal istnieje spora grupa przedsiębiorców, którzy nie inwestują w bezpieczeństwo systemów, przetwarzających informacje. Niski priorytet mają równie często działania służące zachowaniu ciągłości działania przez firmę. Piątą barierą, którą napotykają przedsiębiorstwa w chwili podjęcia działań, zmierzających do podniesienia poziomu bezpieczeństwa informacji w organizacji, jest skomplikowana integracja produktów, wspierających praktyki kontrolne. Problem ten nasila się, kiedy podejmujemy decyzję o automatyzacji procesów zarządzania bezpieczeństwem. W tym specyficznym obszarze kontrola coraz bardziej złożonego środowiska informatycznego wymaga koordynacji działań na wielu płaszczyznach, w tym także definiowania reguł i konfigurowania wielu mechanizmów ochronnych, a następnie monitorowania incydentów. Duże przedsiębiorstwa wdrażają rozwiązania klasy Identity Management (IdM) – zarządzanie tożsamością. W swojej ofercie, tego typu produkty posiadają IBM, Microsoft, Novell i Oracle. Wdrożenia IdM wymagają nie tylko scalenia z oprogramowaniem innych producentów, ale także ingerują znacznie głębiej w organizację, bo za reguły, np. praw dostępu i podziału obowiązków odpowiada biznes, informatyka zaś pełni tylko funkcję usługową, implementując w systemach informatycznych narzucone reguły. Czy firmy chetnie podejmują działania zmierzające do podniesienia poziomu bezpieczeństwa ? IT przeprowadzonych przez firmę Audytel w latach 2004 i 2006. Podstawowym ograniczeniem, wskazywanym przez respondentów, jest niska świadomość użytkowników oraz osób odpowiedzialnych za dany obszar działalności biznesowej firmy. Drugim problemem są zbyt małe budżety na ochronę aktywów firmy. Nr 3/2007 (4) Trzecią barierą jest brak zasobów w organizacji IT, które byłby dedykowane tylko sprawom bezpieczeństwa. Dla części dużych polskich przedsiębiorstw oraz administracji publicznej poważnym problemem staje się deficyt specjalistycznej kadry, co jest efektem niskich nakładów na informatykę i bezpieczeństwo IT. Dodatkowo, popyt na adwww.boston-review.com Obserwujemy rosnącą świadomość ochrony informacji i zasobów w firmach, co przekłada się na coraz większą liczbę podmiotów, zainteresowanych uporządkowaniem procesów zarządzania bezpieczeństwem. Jeśli chodzi o duże przedsiębiorstwa, w przeciągu ostatnich dwóch lat o ponad 25 % wzrosła liczba firm, deklarujących wprowadzenie polityki bezpieczeństwa. Trend wzrostowy, jeśli chodzi o deklaracje wdrożenia polityki, widoczny jest niezależnie od wielkości przedsiębiorstwa. Wiele działań podejmowanych jest oddolnie. Szczególnie bardzo aktywni są pracownicy działów IT. Mechanizmy kontroli uprawnień są dziś obecne w większości systemów i aplikacji. Administratorzy systemów muszą jednak wiedzieć, komu nadać uprawnienia w systemie i jakie. Aby to dobrze zrobić, trzeba zaangażować właścicieli biznesowych. 25 Wywiad IT Security Review Pewnym problemem jest jakość polityki bezpieczeństwa. Często zdarza się, że jest wola działania i powstaje dokument, który składa się z cytatów z norm, nie jest zarządzalny i nie odzwierdziedla kultury organizacji. W efekcie nigdy nie zostaje wdrożony w życie. Między kartką papieru, oceną możliwości i wydaniem miliona złotych na zabezpieczenia, jest trochę przemyśleń. Dzisiaj firmy zaczynają liczyć zwrot nakładów na inwestycje w bezpieczeństwo. Jakie są najczęściej spotykane zagrożenia w firmach? W rozmowach o zagrożeniach informatycy podnoszą kwestie technologiczne, zagrożenia wirusami, słabości sprzętu i oprogramowania, nadużycie uprawnień przez pracowników lub osoby działające z wnętrza organizacji. Natomiast biznes patrzy na zagrożenia w kontekście usług: brak dostępu, integralności, czy poufności danych oraz negatywnych skutków tych zdarzeń: utraty przychodów, klientów, dobrej reputacji. To spojrzenie ma często także wymiar ekonomiczny. Ciekawa wydaje się obserwacja, że oswoiliśmy się z wszechobecnością wirusów. Oprogramowanie antywirusowe mają już wszyscy. Coraz częściej podkreśla się natomiast znaczenie zagrożeń, płynących z wnętrza organizacji. Jak można zminimalizować ryzyko? Jeżeli potrafimy zidentyfikować ryzyko, to możemy podjąć działania, zmierzające do jego minimalizacji lub eliminacji. Wiele organizacji stoi dziś przed problemem, jak zidentyfikować ryzyko IT i nim zarządzać. I tu potrzebna jest właśnie analiza ryzyka, której zadaniem jest znalezienie takich miejsc w infrastrukturze i takich procesów, gdzie zagrożenie może wywołać realne straty. To ułatwia działowi IT znalezienie sponsora, który sfinansuje ewentualne nakłady na działania zabezpieczające. Wirusy nadal stanowią realną groźbę, ale bardziej dokuczliwe będzie wstrzymywanie działania systemu na skutek uszkodzenia sprzętu, łączy transmisyjnych bądź oprogramowania. Istnieje także wiele niebezpieczeństw, które po namyśle i analizie nakładów na ich usunięcie zostanie zaakceptowanych. Ważne, aby takie decyzje były świadome. Podsumowując, jakie usługi związane z bezpieczeństwem teleinformatycznym proponuje Audytel swoim klientom? Firma Audytel może pomóc w ocenie stanu faktycznego, przeanalizować ryzyko biznesowe i technologiczne, związane z IT, pomóc w procesie planowania zabezpieczeń i nadzorować ich wdrożenie. Mamy doświadczenie we wdrażeniu polityki bezpieczeństwa. Oferujemy klientom usługi insourcingu funkcji, związanych z zarządzaniem bezpieczeństwem, np. możemy pełnić dla organizacji rolę Administratora Bezpieczeństwa Informacji, zgodnie z wymaganiami Ustawy o Ochronie Danych Osobowych. Dziękuję za rozmowę. 26 www.boston-review.com Nr 3/2007 (4)