Österreich
Secure Your Business
 

NIE-bezpieczny biznes

Bezpieczeństwo informacji?

 

Zapewne wielu z nas jako czytelnicy, gdybyśmy zobaczyli artykuł zatytuawany ,,Bezpieczeństwo informacji" odwróciłoby głowy, przerzuciło stronę lub nie doczytało artykułu do końca.

 

Wynika to z ogromnego skrótu myślowego i ukierunkowania, iż bezpieczeństwo informacji to temat dotyczący jedynie informatyków. Dlatego też może powinienem sformułować tytuł bardziej przewrotnie, raczej jako: NIE-BEZPIECZNY BIZNES. Myślę, iż taki tytuł przynajmniej wzbudza refleksję nad jego znaczeniem.

 

Artykuł wcale nie ma na celu opisania wysoko rentownych biznesów obarczonych duzym ryzykiem, nalansujących na granicy prawa, niebezpiecznych, itp. Wbrew pozorom każdy biznes jest niebezpieczny dla nas jako właścicieli, managerów, pracowników.

 

Dokładniej powinienem powiedzieć ,,w pewnym stopniu niebezpieczny" - a jeżeli to ,,w pewnym stopniu" uznajemy za akceptowalny poziom ryzyka - to wtedy możemy spać spokojniej. I takiej tezy będziemy się trzymać, a dla uproszczenia zastosujemy termin ,,bezpieczeństwo" zdefiniowany jako stan pewności istnienia / funkcjonowania organizacji.

 

IMG_0008Gdybyśmy spojrzeli na rys historyczny ogólnie pojętego aspektu bezpieczeństwa sprowadza się ono do uproszczonej tezy ,,myslenia przed...". Tego typu działanie z jednej strony będące truizmem
z drugiej jest często zapomnianym aspektem w zarządzaniu. Współczesne organizacje funkcjonują, prowadzą działalność w warunkach niepewności, zmienności rynku, globalizacji, otoczenia politycznego i innych warunków.

 

Wpływ tych zmiennych na prowadzenie działalnosci w dużej mierze jest nieprzewidywalny i trudno nam jest teraz dywagować nad bezpośrednim wpływem pojedynczych czynników w kontekście konkretnej sytuacji biznesowej. Takie podejście wymusiłoby napisanie kilkudziesięciu książek w tym temacie -
a i tak okazały by się one mało precyzyjne w odniesieniu do problemów. Moim celem
w ramach tego artykułu jest zwrócenie uwagi na trendy uświadamiające nam, iż bezpieczeństwo to potrzeba biznesowa.

 

Bezpieczeństwo ma wiele definicji, lecz w tym artykule nie chciałbym zajmować się szczegółowymi rozważaniami w tym temacie, raczej chcę ukazać pragmatyczne podejście do zagadnienia.

 

Problematyka bezpieczeństwa ma tak samo długą historię, jak długa jest historia człowieka, który ma swoje potrzeby, postrzeganie otoczenia i miejsce w społeczności. Zderzenie różnych potrzeb i ich priorytetów w powiązaniu z siłami natury jak np. powodzie, trzęsienia ziemi, powoduje poczucie utraty lub zachwiania bezpieczeństwa. Również warto byśmy wzięli pod uwagę oprócz bezpieczeństwa fizycznego, czynniki religijne czy też psychologiczne lub nawet irracjonalne zachowania.

 

Jeżeli weźmiemy pod uwagę proces jakim jest ,,bezpieczeństwo" danej organizacji w sensie praktycznym to mówimy o obszarach działań zmierzających do:

  • zapewnienia funkcjonowania,
  • przetrwania,
  • rozwoju,
  • swobód realizacji zamierzeń poprzez:
    • wykorzystanie sprzyjających szans,
    • podejmowanie wyzwań,
    • przeciwdziałaie wszelkim rodzajom zagrożeń dla organizacji,
    • minimalizację ryzyka.

Dotykający nas na co dzień aspekt ,,bezpieczeństwa" znajduje również odzwierciedlenie w normalizacji, poczynając od norm ISO serii 27000 w dziedzinie bezpieczeństwa informacji, przez normy ISO 31000
w zakresie zarządzania ryzykiem, ISO 22301 dotyczącej ciągłości działania, aż po projekt nowej wersji normy ISO 9001 ,,Zarządzanie jakością".

 

Trud, który zadają sobie organizacje tworzące standardy próbując opisać najlepsze praktyki, odzwierciedla się w postaci publikacji norm, które mają nam pomóc w ,,ogarnięciu tego trudnego tematu". To wiedza i narzędzia, które przy ich zastosowaniu stają się bronią dla naszej organizacji, pozwalają przygotować się do sytuacji dla nas niepożądanych w funkcjonowaniu i prowadzeniu działań operacyjnych.

 

I o ile przywołanie norm ISO 27001, ISO 31000, ISO 22301 dla wielu będzie jak najbardziej zasadne, to skąd w tym zestawieniu znalazła się norma ISO 9001?

 

Otóż jesteśmy świadkami dokonującej się nowelizacji tejże normy. Nowa edycja ISO 9001 została zaplanowana do publikacji w roku 2015 wprowadza istotne zmiany podejścia. Jak określił jeden
z naszych trenerów to zmiana koncepcji zarządzania jakością w jakość zarządzania. w tej nowej koncepcji mieści się również podejście do zarządzania ryzykiem, a stąd już blisko do postawionej tezy na początku artykułu.

 

Odchodząc na parę chwil od pojęcia bezpieczeństwa informacji, chciałbym skupić się na kwestii zarządzania ryzykiem i ciągłością dzialania. W normach ISO znajdziemy dla tych dwóch obszarów wiele sformułowań, które kojarzą się już w sposób bezpośredni z działaniami organizacji, czy to podmiotów w sektorze prywatnym czy państwowym.

 

Systemy zarządzania ryzykiem i ciągłością działania zakładają systematyczne podejście do przewidywania potencjalnych sytuacji zagrożenia i ich skutków. Dobrze ukierunkowane
i systematyczne zapobieganie jest najlepszym działaniem, mającym na celu uniknięcie skutków potencjalnych zagrożeń oraz zwiększenie szans na osiągnięcie wyższej efektywności czy też skuteczne realizowanie celów organizacji. Różnice społeczne w dużych obszarach gospodarczych,
a także globalizacja przestępczości przyczyniają się do wzrostu zagrożeń dla każdej firmy. Z kolei ochrona własnej organizacji związana z incydentami i ich skutkami jest często zaniedbywana,
a w związku z tym głównym wyzwaniem dla każdej organizacji jest zarządzanie polegające na znalezieniu odpowiedzi i rozwiązań dla tych zagrożeń.IMG_0009

 

W celu ograniczenia skutków i usprawnienia procesów zarządzania ryzykiem w 2009 utworzona została norma ISO 31000 dotycząca systemu zarządzania ryzykiem. Standard integruje zarządzanie ryzykiem we wszystkich działaniach, które rozciągają się od ustanowienia strategii organizacji aż do wdrożenia operacyjnego w poszczególnych etapach procesu. ISO 31000:2009 wprowadza perspektywę zagrożeń
i szans zarówno w zarządzaniu strategicznym, jak i operacyjnym. Zarządzanie ryzykiem oznacza przewidywanie przypadkowych zagrożeń poprzez systematyczne podejście.

 

Zarządzanie ciągłością działania, czyli BCM (Business Continuity Management), to podejście do zarządzania organizacją w sposób pozwalający na utrzymanie wyznaczonego i akceptowanego poziomu dostarczania wyrobów lub usług w wypadku wystąpienia zakłóceń w jakiejkolwiek jej części. Zarządzanie ciągłością działania (BCM) jest procesem rozwoju i kierowania, ustanawiającym strategię dostosowawczą i ramy operacyjne, które:

  • proaktywnie ulepszają odporność organizacji na zakłócenia jej zdolności osiągania kluczowych celów;
  • zapewniają metody służące do weryfikowania i utrzymywania zdolności Organizacji do dostarczania jej kluczowych wyrobów i uzług na uzgodnionym poziomie, w uzgodnionym czasie po wystąpieniu zdarzenia, które zakłóciło normalną działalność Organizacji;
  • oraz dostarczają sprawdzonych metod, by sprostać zakłóceniom działalności oraz chronić reputację organizacji i jej markę.

Nieprzerwanie działanie w przypadku jego zakłóceń, czy to wiekiej katastrofy, czy małego incydentu, jest fuundamentalnym wymogiem dla każdej orgznizacji. Norma ISO 22301 powstała na bazie brytyjskiego standardu BS 25999, pierwszej na świecie normie zarządzania ciągłością działania (BCM), została opracowana w celu zminimalizowania ryzyka takich zakłóceń. Norma ta ma na celu poprzez zbudowanie i utrzymanie systemu zarządzania zagwarantowanie działania firmy w najbardziej wymagających i niespodziewanych sytuacjach - w ten sposób ma chronić organizację oraz podtrzymać zdolność do dalszego działania.

 

Po tym krótkim, naprawdę bardzo krótkim wprowadzeniu w tematykę jak się okazuje bliską każdej organizacji, możemy już zupełnie z innej perspektywy patrzeć na ,,bezpieczeństwo". Pewnie każdy
z nas znalazł w powyższych charakterystykach systemów zarządzania, elementy, które bierze pod uwagę we własnej organizacji lub nawet je realizauje. podejście do tematyki ,,bezpieczeństwa"
w oparciu o standardy ma niewątpliwie kilka zalet:

  • budujemy ,,system zarządzania", czyli podejście oparte na metodyce normy i systematyce działań;
  • mamy możliwość korzystania z najlepszych praktyk zawartych w normach;
  • możemy poddać się procesowi certyfikacji, a w związku z tym możliwość tworzenia wizerunku świadomej organizacji - a to dobry sygnał dla naszego otoczenia;
  • dla sektora administracji publicznej, często jest to ułatwienie spełnienia wymagań wynikających
    z przepisów prawa, gdzie standardy są przywoływane.

Wykorzystując powyższe cechy organizacje budują swoje ,,szyte na miarę" strategie, w budowaniu których nieodłącznym elementem jest śledzenie rynku, korzystanie z dostępnych rozwiązań, ale
i podnoszenie kompetencji personelu organizacji, mamagerów. Gdy poruszamy obszar kompetencji
i doświadczenia nie sposób nie odnieść się do osób bezpośrednio odpowiedzialnych za strategię. Skoro termin strategi awywodzi się od greckiego słowa strategos, którym to terminem określano najwyższego, naczelnego dowódcę wojskowego odpowiedzialnego za przygotowanie
i przeprowadzenie działań wojennych, to osobami odpowiedzialnymi w organizacjach są osoby zarządcze.

 

Otoczenie i kontekst funkcjonowania organizacji oraz niejednokrotnie bezpośrednio przepisy prawne są czynnikami, które w zasadzie nie pozostawiają wyboru i zmuszają zarządców organizacji do zmierzenia się z problematyką ,,bezpieczeństwa". Obecnie w tej dziedzinie jest coraz więcej dostępnych wartościowych publikacji, powstają organizacje, stowarzyszenia, a na rynku pracy funkcjonuja nowe stanowiska w organizacjach, jak pełnomocnik ds. zarządzania ryzykiem, czy manager systemu zarządzania bezpieczeństem informacji. Natomiast największym wyzwaniem
w dziedzinie bezpieczeństwa jest zapobieganie zagrożeniom i sprostanie synamice rozwoju technologii informacyjnej oraz sytuacji geopolitycznej. Managerowie stoją przed jedynym pewnym faktek jakim jest ,,zmienność", a to z kolei wymusza aktywność w działaniach.

 

organizacje takie jak CIS-Certification & Information Security Services Sp. z o. o. oprócz działań związanych z certyfikacją systemów zarządzania pełnią również funkcję edukacyjną. Bezpośredni udział w tworzeniu standardów daje nam możliwość przekazywania informacji między innymi
o zmianach i trendach w ,,bezpieczeństwie".

 

Michał Kubista


Michał Kubista

Koordynator Usług

 
 
CIS - Certification & Information Security Services Sp. z o.o. T +48 32 216 26 40 office.pl@cis-cert.com Imprint

T&C