30.4.07

"Top-down" načelo kod upravljanja informacijskim rizicima

Ako pogledamo praksu u većini organizacija, informatičke službe imaju vodeću riječ kada se odlučuje o vrsti, opsegu i težini sigurnosnih mjera. Takva uloga je rezultat tradicionalnih odnosa koji potječu još iz razdoblja kada su se ove službe nazivale "Elektronički računski centar", a njihove su usluge služile uglavnom da se nešto brže izračunaju kamate ili plaće zaposlenih.

No informcijski sustavi danas imaju neusporedivo značajniju ulogu, a rizici kojima je rad informacijskih sustav izložen mogu imati katastrofalne posljedice za poslovanje poduzeća. Ujedno, ostvarivanje poslovnog uspjeha znači i spremnost preuzimanja određenih rizika, pa tako i onih s područja informacijskih tehnologija.

Odluka o tome koje resurse zaštiti i kakvim mjerama to provesti, donosi se kroz proces upravljanja rizicima. Pogrešna odluka može imati značajne posljedice, bilo zbog nedovoljno jake mjere i financijske štete koju je izazvao sigurnosni incident, bilo kao propuštena poslovna prilika koju je nepovratno zauzela konkurencija. Stoga, odlučivanje o sigurnosnim mjerama prestaje biti dio uobičajenih nadležnosti informatičkih službi, već se mora sagledavati kao obaveza rukovodstva. Postojanje "risk-management" postupka je prvi preduvjet provedbu programa sigurnosti prema "top-down" načelu, od pozicije uprave prema pojednim poslovnim procesima.

Dakako, stvari nisu baš crno-bijele i postojeće procese nije moguće preusmjeriti i promjeniti samo naredbom presjednika uprave. Koje su glavne značajke "top-down" pristupa u provedbi informacijske sigurnosti?

Najvažniji je prvi korak: planiranje i provedba upravljanja informacijskim rizicima. Inicijativa za upravljanje rizicima mora biti pokrenta s razine uprave, a uprava (ili jedan njen član) mora biti pokrovitelj ovog procesa. U postupak upravljanja rizicima moraju biti uključeni i drugi članovi rukovodstva i odgovorne osobe pojedinih poslovnih procesa (izvan službe informacijskih tehnologija).

Nastavlja se...

29.4.07

Namjena ovog bloga

Pred vama se nalazi prvi tekst u blogu info-rizici.blogspot.com, službenom blogu poduzeća Borea. Cilj ovog bloga je približiti čitateljima pristup sigurnosti informacija i informacijskih sustava koji slijedimo u svojem radu. A taj pristup zasnovan je na "top-down" smjeru djelovanja kod planiranja, provedbe i provjere mjera kojima se održava integritet, dostupnost te čuva povjerljivost informacija i informacijskih servisa.

Naime, nekako je uobičajeno da najviše rukovodstvo u poduzećima i organizacijama stoji po strani kada se donose odluke o informacijskoj sigurnosti, smatrajući da se radi isključivo o tehničkom pitanju. No, prema načelima korporativnog upravljanja ali i zakonske regulative (koja je prisutnija u razvijenijim zemljama, no sve bliža i nama) danas više nije moguće opravdati takvu nezainteresiranost. Sve razine rukovodstva, ne samo unutar kruga IT službi, preuzimaju odgovornost za sigurnost informacija iz svog djelokruga, a nebriga najvišeg rukovodstva o provedbi mjera sigurnosti smatra se primjerom nemarnosti koju vlasnici ili dioničari sankcioniraju.

Sigurnost informacijskih sustava postiže se prije svega dobrom definicijom neophodnih organizacijskih procesa i uključivanjem svih zaposlenih u ove procese. Tehnološka rješenja su često neophodan element bez kojeg se procesi ne bi mogli dobro provoditi, ali tehnološka rješenja dolaze na dnevni red tek kada smo definirali procese.

U praksi imamo, najčešće, suprotan smjer: odlučivanje o sigurnosnim mjerama je upravljano tehnološkim rješenjima a ne poslovnim zahtjevima. Rezultat toga je nekonzistentna sigurnost informacija i visoki troškovi primjene ovih rješenja, a često je i nezadovoljstvo rukovodstva konačnim rezultatima.

Ovaj blog će se baviti problematikom primjene "top-down" pristupa kod implemenatcije programa informacijske sigurnosti i upravljanjem rizicima kao osnovnim mehanizmom za takav pristup. Pisati ćemo o jednoj temi o kojoj se u Hrvatskoj rijetko govori, a to je "IT Governance", odnosno u upravljanju informacijskom sustavima unutar konteksta korporativnog upravljanja, glavnim sigurnosnim procesima koji se moraju provoditi i mnogim srodnim temama.

Vaše komentari i prijedlozi su nam osobito važni. Javite nam se na ovim stranicama ili na adresu inforisk@borea.hr