Pełen artykuł

Wywiad
IT Security Review
Minimalizując ryzyko
Kierownictwo w wielu instytucjach bardzo poważnie traktuje sprawy bezpieczeństwa, rozumianego
jako zachowanie poufnosci, interalności i dostępności informacji, budując na tym swój wizerunek
jako wiadrygodnego powiernika, czy dostawcy – rozmowa z Tomaszem Dobkowskim.
Dlaczego Audytel zajął się
problematyką bezpieczeństwa
informacji w firmach?
Problematyka bezpieczeństwa teleinformatycznego
pojawia się od samego początku istnienia firmy Audytel. Świadczone klientom korporacyjnym usługi doradcze w zakresie optymalizacji infrastruktury teleinformatycznej, wymagają podejścia kompleksowego, a
więc również uwzlędnienia spraw bezpieczeństwa teleinformatycznego. Firma Audytel bada w trakcie projektów audytowych i doradczych problematykę klasyfikacji informacji, inwentaryzuje wspólnie z klientem
aktywa informacyjne, analizuje rozwiązania techniczne i organizacyjne pod kątem poufności, integralności
i dostępności informacji oraz wydajności systemów.
Audytel świadczy również usługi zarządzania teleinformatyką, kształtując w organizacjach politykę bezpieczeństwa. W swoich działaniach opieramy się na
dobrych wzorcach opisanych w normie ISO 27001,
modelu COBIT (Control Objectives for Information
and related Technology), a także rozwiązaniach, proponowanych przez Information Technology Infrastructure Library. Jeśli chodzi o zagadnienia, związane z ochroną informacji oraz bezpieczeństwem przetwarzania danych w systemach i aplikacjach, działających w sieciach teleinformatycznych, mamy dużo
dobrych doświadczeń i własnych sprawdzonych rozwiązań organizacyjnych.
Większość pracowników firmy Audytel uczestniczy w
procesie certyfikacji i uzyskuje certyfikat audytora systemów informatycznych CISA, bądź przechodzi kurs audytora wiodącego normy ISO 27001. Uzyskana wiedza w procesie certyfikacji, służy rozwojowi kompetencji pracowników w zakresie bezpieczeństwa.
W naszej pracy kładziemy nacisk na niezależność
od dostawców, proponowanych przez nas rekomendacji. Ta filozofia jest trudna, bo wymaga dużo większego zaangażowania i staranności od naszych pracowników. Podporządkowana jest jej cała organizacja
firmy Audytel, proces kształcenia konsultantów oraz
kodeks postępowania.
TOMASZ DOBKOWSKI
CISA – dyrektor operacyjny w firmie Audytel sp z o.o., odpowiedzialny m. in. za projekty audytowe oraz doradztwo z zakresu bezpieczeństwa informacji i ochrony danych osobowych. Doświadczony konsultant specjalizujący się w zarządzaniu i optymalizacji infrastruktury teleinformatycznej oraz budowie systemów zarządzania
bezpieczeństwem informacji; audytor systemów informatycznych oraz zintegrowanych systemów zarządzania
bezpieczeństwem informacji według norm BS 7799-2/ISO 27001.
24
www.boston-review.com
Jakie są najczęstsze problemy,
bariery dla firm, dotyczące wdrażania
bezpieczeństwa?
Zacznę od barier i wymienię pięć głównych, jakie wyłaniają się w badaniach, dotyczących bezpieczeństwa
Nr 3/2007 (4)
Wywiad
IT Security Review
ministratorów bezpieczeństwa w całej Europie stale zwiększa się.
Czwartym czynnikiem jest niedostateczne wsparcie
ze strony kierownictwa firmy – choć z naszego doświadczenia wynika, że świadomość osób decydujących o nakładach na bezpieczeństwo rośnie. Przyczyniają się do
tego różne regulacje, które mają na celu ochronę interesów udziałowców/akcjonariuszy, np. ochrona informacji w spółkach giełdowych, amerykańskie regulacje
dotyczące raportowania finansowego – SOX (SarbanesOxley Act). Kierownictwo w wielu instytucjach bardzo
poważnie traktuje sprawy bezpieczeństwa, rozumianego jako zachowanie poufności, integralności i dostępności informacji, budując na tym swój wizerunek jako wiarygodnego powiernika, lub dostawcy. Troska o zachowanie wizerunku firmy dbającej o bezpieczeństwo, ma
swoje głębokie uzasadnienie biznesowe, szczególnie w
sektorze usług finansowych. Oczywiście, nadal istnieje
spora grupa przedsiębiorców, którzy nie inwestują w
bezpieczeństwo systemów, przetwarzających informacje. Niski priorytet mają równie często działania służące
zachowaniu ciągłości działania przez firmę.
Piątą barierą, którą napotykają przedsiębiorstwa w
chwili podjęcia działań, zmierzających do podniesienia poziomu bezpieczeństwa informacji w organizacji, jest skomplikowana integracja produktów, wspierających praktyki kontrolne. Problem ten nasila się,
kiedy podejmujemy decyzję o automatyzacji procesów zarządzania bezpieczeństwem. W tym specyficznym obszarze kontrola coraz bardziej złożonego środowiska informatycznego wymaga koordynacji działań na wielu płaszczyznach, w tym także definiowania
reguł i konfigurowania wielu mechanizmów ochronnych, a następnie monitorowania incydentów.
Duże przedsiębiorstwa wdrażają rozwiązania klasy Identity Management (IdM) – zarządzanie tożsamością. W swojej ofercie, tego typu produkty posiadają IBM, Microsoft, Novell i Oracle. Wdrożenia IdM
wymagają nie tylko scalenia z oprogramowaniem innych producentów, ale także ingerują znacznie głębiej w organizację, bo za reguły, np. praw dostępu
i podziału obowiązków odpowiada biznes, informatyka zaś pełni tylko funkcję usługową, implementując w
systemach informatycznych narzucone reguły.
Czy firmy chetnie podejmują działania
zmierzające do podniesienia poziomu
bezpieczeństwa ?
IT przeprowadzonych przez firmę Audytel w latach
2004 i 2006. Podstawowym ograniczeniem, wskazywanym przez respondentów, jest niska świadomość
użytkowników oraz osób odpowiedzialnych za dany
obszar działalności biznesowej firmy.
Drugim problemem są zbyt małe budżety na ochronę aktywów firmy.
Nr 3/2007 (4)
Trzecią barierą jest brak zasobów w organizacji IT, które byłby dedykowane tylko sprawom bezpieczeństwa. Dla części dużych polskich przedsiębiorstw oraz administracji publicznej poważnym
problemem staje się deficyt specjalistycznej kadry, co jest efektem niskich nakładów na informatykę i bezpieczeństwo IT. Dodatkowo, popyt na adwww.boston-review.com
Obserwujemy rosnącą świadomość ochrony informacji i zasobów w firmach, co przekłada się na coraz
większą liczbę podmiotów, zainteresowanych uporządkowaniem procesów zarządzania bezpieczeństwem. Jeśli chodzi o duże przedsiębiorstwa, w przeciągu ostatnich dwóch lat o ponad 25 % wzrosła liczba firm, deklarujących wprowadzenie polityki bezpieczeństwa. Trend wzrostowy, jeśli chodzi o deklaracje
wdrożenia polityki, widoczny jest niezależnie od wielkości przedsiębiorstwa.
Wiele działań podejmowanych jest oddolnie. Szczególnie bardzo aktywni są pracownicy działów IT. Mechanizmy kontroli uprawnień są dziś obecne w większości systemów i aplikacji. Administratorzy systemów muszą jednak wiedzieć, komu nadać uprawnienia w systemie i jakie. Aby to dobrze zrobić, trzeba zaangażować właścicieli biznesowych.
25
Wywiad
IT Security Review
Pewnym problemem jest jakość polityki bezpieczeństwa. Często zdarza się, że jest wola działania i powstaje dokument, który składa się z cytatów z norm, nie jest zarządzalny i nie odzwierdziedla kultury organizacji. W efekcie nigdy nie zostaje wdrożony w życie. Między kartką papieru, oceną
możliwości i wydaniem miliona złotych na zabezpieczenia, jest trochę przemyśleń. Dzisiaj firmy zaczynają liczyć zwrot nakładów na inwestycje w bezpieczeństwo.
Jakie są najczęściej spotykane
zagrożenia w firmach?
W rozmowach o zagrożeniach informatycy podnoszą kwestie technologiczne, zagrożenia wirusami, słabości sprzętu i oprogramowania, nadużycie
uprawnień przez pracowników lub osoby działające
z wnętrza organizacji. Natomiast biznes patrzy na
zagrożenia w kontekście usług: brak dostępu, integralności, czy poufności danych oraz negatywnych
skutków tych zdarzeń: utraty przychodów, klientów,
dobrej reputacji. To spojrzenie ma często także wymiar ekonomiczny.
Ciekawa wydaje się obserwacja, że oswoiliśmy się z
wszechobecnością wirusów. Oprogramowanie antywirusowe mają już wszyscy. Coraz częściej podkreśla
się natomiast znaczenie zagrożeń, płynących z wnętrza organizacji.
Jak można zminimalizować ryzyko?
Jeżeli potrafimy zidentyfikować ryzyko, to możemy
podjąć działania, zmierzające do jego minimalizacji
lub eliminacji. Wiele organizacji stoi dziś przed problemem, jak zidentyfikować ryzyko IT i nim zarządzać.
I tu potrzebna jest właśnie analiza ryzyka, której zadaniem jest znalezienie takich miejsc w infrastrukturze i
takich procesów, gdzie zagrożenie może wywołać realne straty. To ułatwia działowi IT znalezienie sponsora, który sfinansuje ewentualne nakłady na działania
zabezpieczające.
Wirusy nadal stanowią realną groźbę, ale bardziej
dokuczliwe będzie wstrzymywanie działania systemu
na skutek uszkodzenia sprzętu, łączy transmisyjnych
bądź oprogramowania. Istnieje także wiele niebezpieczeństw, które po namyśle i analizie nakładów na ich
usunięcie zostanie zaakceptowanych. Ważne, aby takie decyzje były świadome.
Podsumowując, jakie usługi
związane z bezpieczeństwem
teleinformatycznym proponuje
Audytel swoim klientom?
Firma Audytel może pomóc w ocenie stanu faktycznego, przeanalizować ryzyko biznesowe i technologiczne, związane z IT, pomóc w procesie planowania zabezpieczeń i nadzorować ich wdrożenie. Mamy doświadczenie we wdrażeniu polityki bezpieczeństwa. Oferujemy klientom usługi insourcingu
funkcji, związanych z zarządzaniem bezpieczeństwem, np. możemy pełnić dla organizacji rolę Administratora Bezpieczeństwa Informacji, zgodnie z
wymaganiami Ustawy o Ochronie Danych Osobowych.
Dziękuję za rozmowę.
26
www.boston-review.com
Nr 3/2007 (4)