21.5.07

Treba li regulirati informacijsku sigurnost?

Iako se smatra da je management u poslovnim sustavima danas sasvim svjestan problema informacijske sigurnosti i načina za njihovo rješavanje, u svijetu je zavladala praksa regulacije informacijske sigurnosti zakonima i sličnim tržišnim propisima (SOX, EU Data Protection, Basel II...). No, pojavljuju se pitanja je li takav način regulacije sukladan zakonima tržišta i slobodnoj ekonomiji. Treba li zaista zakonom urediti informacijsku sigurnost ili se može, kao i u nekim drugim slučajevima, ovo pitanje prepustiti samoregulaciji?

Moj odgovor je: regulacija je neophodna. Evo i glavnih razloga.

Informacije koje se kreiraju i obrađuju današnjim poslovnim modelima obuhvaćaju znatno širu vrijednost od one koja ima značenje za upravu i vlasnike pojedinog poduzeća. Nekoliko primjera: sve detaljniji, opsežniji i delikatniji osobni podaci (dakle podaci koji ne samo da pripadaju pojedincima nego su ponekad od naročitog osobnog značaja) a predmet su svakodnevnih poslovnih transakcija u poduzećim i organizacijama svih profila; financijski podaci koji imaju značaj za brojne dioničare (institucionalne i vaninstitucionalne); podaci čija bi zloupotreba ili narušavanje moglo utjecati na bankarski, mirovinski, zdravstveni, energetski (ali i na neki drugi) sustav (a koje možemo okarakterizirati kao sustave od općeg značaja)...

Današnji informacijski rizici mogu na jednostavan i direktan način uzrokovati značajne posljedice ne samo upravi i vlasnicima nego i drugim interesnim grupama uključenim u rad informacijskih sustava. Ako uprave nisu direktno motivirane (čitaj: prisiljene) očuvati, osim vlastitih, i vrijednosti drugih sudionika onda je, nažalost, vrlo izvjesno da to neće napraviti (ili će napraviti veoma površno i nedjelotvorno).

Stoga, neophodno je da država i državna regulatorna tijela propisuju pravila za specifične segmente poslovanja koja se moraju slijediti u primjeni informacijskih tehnologija i kojima će se zaštiti svi sudionici ovih segmenata poslovanja.

No, isto tako je važno da se ova pravila primjenjuju, te da specijalizirana tijela provjeravaju njihovu provedbu (razumije se: uz tržišne posljedice za prekršitelje).

Nema komentara: