29.5.07

45% zaposlenika na odlasku otuđuje podatke

Nedavno su objavljeni rezultati jedne ankete prema kojima čak 45% zaposlenika kopira i odnosi (ili otuđuje) podatke svojih poslodavaca neposredno prije prestanka radnog odnosa. Naravno, svakoj anketi ili tržišnom ispitivanju treba, prije nego što uronite u same rezultate, provjeriti metodologiju, uzorak ispitanika i motive (ovo istraživanje ju naručila tvrtka Liquid Machines). No, i bez dužnog opreza vjerujem da ćete se suglasiti s rezultatima. Odlazak zaposlenika jedan je od najelegantnijih oblika otuđivanja povjerljivih informacija, a ponekad i intelektualnog vlasništva. Zaposlenici na odlasku čak se i ne moraju izlagati osobitim rizicima: odlasci se obično planiraju dulje vrijeme i u završnom razdoblju na starom radnom mjestu biti će mnogo prilika za prikupljanje svih informacija, prije nego što se pojave sumnje kod nadređenih. Osim toga, mnoge vrijedne informacije mogu se prikupljati tijekom cijelog radnog odnosa a, jednostavno rečeno, mogu se i pamtiti (za sada ne postoji tehnologija brisanja podataka iz sivih ćelija). Stoga, ovaj visoki postotak ne čudi, no isto tako ne mora značiti da će sve informacije biti zloupotrebljene: možda novi poslodavci neće biti zaintersirani ili će im donešene informacije već biti poznate ili pak otuđene informacije nemaju specifičnu težinu. Rezultati ove ankete zapravo potvrđuju tezu koju u zadnje vrijeme zastupaju neki stručnjaci a govori o tome da se sigurnosne mjere moraju biti provođene iz središta prema vanjskom okruženju, a ne obrnuto. Drugim riječima, pažnja sigurnosnih timova mora biti fokusirana na podatke a tek onda na perimetar. Tradicionalnim pristupom, primjena sigurnosnih tehnologija u najvećoj se mjeri bavi perimatarskom infrastrukturom i prijetnjama koje dolaze iz vanjskog okruženja.

Visoki postotak na koji nas upućuje objavljeno istraživanje potvrđuje i procjene, stare gotovo cijelo desetljeće, da je približno tri četvrtine računalnih delikata uzrokovano ponašanjem "insidera". Još do nedavno mogla su se pročitati osporavanja takvih procjena, no kvaliteta i vrijednost poslovnih informacija te neprobojnost perimetarskih zaštitinih tehnologija, upućuju dovoljno motivirane strane da prolaz do atraktivnih informacija pronađu zaobilaženjem Interneta - dakle pronalaženjem najslabijih karika u unutarnjoj organizaciji (te iskorištavanjem nelojalnih zaposlenika).

21.5.07

Treba li regulirati informacijsku sigurnost?

Iako se smatra da je management u poslovnim sustavima danas sasvim svjestan problema informacijske sigurnosti i načina za njihovo rješavanje, u svijetu je zavladala praksa regulacije informacijske sigurnosti zakonima i sličnim tržišnim propisima (SOX, EU Data Protection, Basel II...). No, pojavljuju se pitanja je li takav način regulacije sukladan zakonima tržišta i slobodnoj ekonomiji. Treba li zaista zakonom urediti informacijsku sigurnost ili se može, kao i u nekim drugim slučajevima, ovo pitanje prepustiti samoregulaciji?

Moj odgovor je: regulacija je neophodna. Evo i glavnih razloga.

Informacije koje se kreiraju i obrađuju današnjim poslovnim modelima obuhvaćaju znatno širu vrijednost od one koja ima značenje za upravu i vlasnike pojedinog poduzeća. Nekoliko primjera: sve detaljniji, opsežniji i delikatniji osobni podaci (dakle podaci koji ne samo da pripadaju pojedincima nego su ponekad od naročitog osobnog značaja) a predmet su svakodnevnih poslovnih transakcija u poduzećim i organizacijama svih profila; financijski podaci koji imaju značaj za brojne dioničare (institucionalne i vaninstitucionalne); podaci čija bi zloupotreba ili narušavanje moglo utjecati na bankarski, mirovinski, zdravstveni, energetski (ali i na neki drugi) sustav (a koje možemo okarakterizirati kao sustave od općeg značaja)...

Današnji informacijski rizici mogu na jednostavan i direktan način uzrokovati značajne posljedice ne samo upravi i vlasnicima nego i drugim interesnim grupama uključenim u rad informacijskih sustava. Ako uprave nisu direktno motivirane (čitaj: prisiljene) očuvati, osim vlastitih, i vrijednosti drugih sudionika onda je, nažalost, vrlo izvjesno da to neće napraviti (ili će napraviti veoma površno i nedjelotvorno).

Stoga, neophodno je da država i državna regulatorna tijela propisuju pravila za specifične segmente poslovanja koja se moraju slijediti u primjeni informacijskih tehnologija i kojima će se zaštiti svi sudionici ovih segmenata poslovanja.

No, isto tako je važno da se ova pravila primjenjuju, te da specijalizirana tijela provjeravaju njihovu provedbu (razumije se: uz tržišne posljedice za prekršitelje).

9.5.07

"Top-down" načelo kod upravljanja informacijskim rizicima (3)

Ovo je treći i završni nastavak zapisa (ovdje pogledajte prvi i drugi nastavak) koji obrazlaže potrebu da se procesu upravljanja informacijskim rizicima, pa onda i informacijskoj sigurnosti, pristupi "odozgo", pogledom managementa. Važno je još jednom naglasiti da smo do visinu rizika mogli utvrditi samo na temelju suradnje rukovodstva (jer samo osobe odgovorne za pojedine poslovne procese mogu točno odrediti moguće posljedice) i informatičkog osoblja (koje je, najčešće, najbolje poznaje informatičku infrastrukturu).

Ovdje dolazimo do treće važne točke u "top-down" konceptu: najviši management mora biti upoznato ne samo s visinom rizika nego i s popisom kontrolnih mjera i mora dati nalog za njihovu primjenu. Samo na taj način će ove mjere dobiti potrebnu težinu a u praksi će se prevladati primjedbe korisnika i rukovodstva organizacijskih cjelina o svoijevoljnom nametanju ovih mjera od strane informatičkog osoblja.

Četvrta važna točka u primjeni "top-down" koncepta odnosi se na proširenja poslovnih procesa s novim tehnološkim sustavima (što se danas najčešće povezuje s otvaranjem novih poslovnih mogućnosti ili s ponudom novog proizvoda). Današnje tržišne inovacije su uglavnom neraskidivo vezane s primjenom novih informacijskih tehnologija i aplikativnih sustava, a svaki nova aplikativni sustav mora proći kroz proces upravljanja rizcima. Nova aplikacija može u sebi sadržavati značajne sigurnosne rizike, no s druge strane i otvarati značajne poslovne mogućnosti. Odluka o prihvaćanju ili izbjegavanju ovih rizika mora biti ostavljena rukovodstvu organizacije s obzirom da se radi o strateškoj poslovnoj odluci.

Peta važna točka "top-down" koncepta je održavanje odnosa unutar organizacije prema kojemu informatičke službe moraju biti svojevrsni davatelji informatičkih usluga a stvarni "vlasnici" podataka, odnosno korisnici s nadležnošću za sve značajne odluke o korištenju i obradi mora imati rukovodstvo pojedinih poslovnih procesa. Na taj način će se postići i kvalitetnija primjena pojedinih komponenti sustava a rukovodstva poslovnih cjelina preuzeti značajni dio odgovornosti.

Šesta točka "top-down" koncepta obuhvaća obvezu stalne provjere rada informacijskog sustava, praćenje stupnja ostvarivanja poslovnih ciljeva organizacije kroz korištenje informacijskog sustava te utvrđivanje svih događaja koji ukazuju na povredu predviđene razine sigurnosti. Rukovodstvo organizacije mora biti izvještavano o rezultatima provjere, ali i niže razine rukovodstva moraju biti upoznate s rezulttaima provjere za dijelove informacijskog sustava iz svoje nadležnosti. To se posebno odnosi na rukovodstvo informatičke službe, koje mora provoditi detaljnije praćenje rada na dnevno-operativnoj razini.

4.5.07

"Top-down" načelo kod upravljanja informacijskim rizicima (2)

Upravljanje rizicima mora točno identificirati i popisati svu informacijsku imovinu s kojom organizacija raspolaže, a na tako strukturiranom imovinom napraviti procjenu prijetnji i analizu ranjivosti, utvrditi visinu rizika te propisati potrebne sigurnosne mjere.

Inventura informacijske imovine druga je glavna točka "top-down" koncepta i ujedno prvi korak u procesu upravljanja rizicima. Informacijsku imovinu treba sagledati prije svega kao poslovne podatke koji imaju određenu vrijednost za organizaciju i čijom bi povredom došlo do značajnih posljedica za poslovanje. Evidencija tako definirane imovine mora biti usklađena s glavnim poslovnim procesima, a rukovoditelji ovih procesa moraju odgovoriti kakve posljedice očekuju uslijed gubitka povjerljivosti, integriteta ili dostupnosti podataka s kojima se svakodnevno služe.

Sve dok se držimo informacijskog sustava i njegovih glavnih modula, inventura informacijske imovine ići će predvidljivim tokom, iako ne uvijek sasvim glatko. No, moramo pripaziti da ne zanemarimo podatke koji su smješteni izvan baze podataka ili izvan aplikativnih sustava. Jako puno značajnih, ponekad i kritičnih, infomacija generira se kroz Office ili Excel, a smještaju se kojekuda po diskovima osobnih računala (uključujući i sve arhivske kopije, draft verzije dokumena i sve kopije koje se ponekad i nesvjesno generiraju). Elektronička pošta je odavno dobila svojstvo kritična poslovne informacija, a intelektualno vlasništvo je obuhvaćeno i drugim formatima (prezentacijama, grafičkim zapisima, nacrtima...). Konačno, popis informacijske imovine ne smije zanemariti ni papirnate podatke, koliko god se to smatralo nespojivim s karakterom informacijskog sustava.

Potom slijede preostale aktivnosti u procesu upravljanja rizicima, a jedan od završnih rezultata biti procjena visine rizika i definicija potrebnih kontrolnih mjera koje organizacija mora provesti kako bi spriječila eskalaciju prisutnih prijetnji.