29.4.07

Namjena ovog bloga

Pred vama se nalazi prvi tekst u blogu info-rizici.blogspot.com, službenom blogu poduzeća Borea. Cilj ovog bloga je približiti čitateljima pristup sigurnosti informacija i informacijskih sustava koji slijedimo u svojem radu. A taj pristup zasnovan je na "top-down" smjeru djelovanja kod planiranja, provedbe i provjere mjera kojima se održava integritet, dostupnost te čuva povjerljivost informacija i informacijskih servisa.

Naime, nekako je uobičajeno da najviše rukovodstvo u poduzećima i organizacijama stoji po strani kada se donose odluke o informacijskoj sigurnosti, smatrajući da se radi isključivo o tehničkom pitanju. No, prema načelima korporativnog upravljanja ali i zakonske regulative (koja je prisutnija u razvijenijim zemljama, no sve bliža i nama) danas više nije moguće opravdati takvu nezainteresiranost. Sve razine rukovodstva, ne samo unutar kruga IT službi, preuzimaju odgovornost za sigurnost informacija iz svog djelokruga, a nebriga najvišeg rukovodstva o provedbi mjera sigurnosti smatra se primjerom nemarnosti koju vlasnici ili dioničari sankcioniraju.

Sigurnost informacijskih sustava postiže se prije svega dobrom definicijom neophodnih organizacijskih procesa i uključivanjem svih zaposlenih u ove procese. Tehnološka rješenja su često neophodan element bez kojeg se procesi ne bi mogli dobro provoditi, ali tehnološka rješenja dolaze na dnevni red tek kada smo definirali procese.

U praksi imamo, najčešće, suprotan smjer: odlučivanje o sigurnosnim mjerama je upravljano tehnološkim rješenjima a ne poslovnim zahtjevima. Rezultat toga je nekonzistentna sigurnost informacija i visoki troškovi primjene ovih rješenja, a često je i nezadovoljstvo rukovodstva konačnim rezultatima.

Ovaj blog će se baviti problematikom primjene "top-down" pristupa kod implemenatcije programa informacijske sigurnosti i upravljanjem rizicima kao osnovnim mehanizmom za takav pristup. Pisati ćemo o jednoj temi o kojoj se u Hrvatskoj rijetko govori, a to je "IT Governance", odnosno u upravljanju informacijskom sustavima unutar konteksta korporativnog upravljanja, glavnim sigurnosnim procesima koji se moraju provoditi i mnogim srodnim temama.

Vaše komentari i prijedlozi su nam osobito važni. Javite nam se na ovim stranicama ili na adresu inforisk@borea.hr

Nema komentara: