29.10.07

Pozicioniranje odgovornosti za informacijsku sigurnost

Tema jednog od ranijih napisa bila je odgovornost za provjeru stanja sigurnosti informacijskog sustava. Tom prilikom je rečeno da provjera valjanosti sigurnosnih mjera mora biti u nadležnosti odjela koji upravlja sustavom informacijske sigurnosti i da bi, radi vjerodostojnosti same provjere, takve aktivnosti trebale biti neovisne od drugih strana čiji se rad provjerava (prije svega od odjela informatike). No, u neposrednoj vezi s ovim problemom pojavljuju se najmanje tri pitanja:

1. Kako organizacijski pozicionirati odjel koji upravlja informacijskom sigurnošću?
2. Kakvim ovlastima ovaj odjel mora biti naoružan?
3. Kako će ovaj odjel odrediti uspješnost sigurnosnih mjera?

U odgovoru na prvo pitanje treba reći da je samo manji dio domaćih tvrtki pozicionirao odjel informacijske sigurnosti izvan službe informatike. Radi se uglavnom o bankama (iako ima izuzetaka i u nefinancijskom sektoru), i to ponajviše zato što je prošlogodišnja incijativa HNB-a, između ostalog, jasno istaknula zahtjev o neovisnom položaju "security officer-a". Tvrtke koje su propustile napraviti takvu reorganizaciju postigli su možda zadovoljavajuću kvalitetu sigurnosti informatičkih tehnologija, no suočavaju se s problemom ograničenog utjecaja na sigurnost informacija, a od sigurnosne nepogode dijeli ih možda samo korak.

No, pokretanje neovisnog odjela informacijske sigurnosti i njegovo pozicioniranje izvan IT-a nije, samo po sebi, jamstvo uspješnog rada. Ostaje niz pitanja: je li uprava samo formalno zadovoljila uvjete regulatora ili sigurnosnih normi, a novopokrenuti odjel lišila stvarnih ovlasti... je li zaista osigurala zadovoljavajuću razinu kompetencije, ali i primjeren proračun... je li novopokrenuta služba u pravom smislu neovisna ili je pozicionirana unutar nekih drugih odjela (npr. upravljanja rizicima, odjela opće sigurnosti, interne revizije...) a da pri tome nema dovoljnu neovisnost? Stoga, uprava mora dati jasan odgovor na drugo pitanje, odabrati kompetentne ljude i ovlastiti ih na adekvatan način.

Ali ni to nije sve. Odjel informacijske sigurnosti vidi često dosege svog angažmana isključivo kroz izradu pravilnika, pokretanja radnih procedura i podupirajuće, ponekad samo formalno, sudjelovanje u drugim poslovnim procesa. To je, naravno, nužno za uspjeh programa sigurnosti ali ne i dovoljno. Praćenje i mjerenje uspješnosti sigurnosnih aktivnosti i specifičnih mjera mora biti jedna od glavnih obveza odjela informacijske sigurnosti. Nije dovoljno postići usklađenost sigurnosnog sustava tvrtke s regulatornim zahtjevima ili sigurnosnim normama, baš kao što nije dovoljno investirati, ponekad i značajne iznose, u sigurnosnu tehnologiju. Karika koja nedostaje u ukupnom uspjehu je kontinuirano praćenje i upravljanje svim postignućima koje je proveo ili incirao odjel informacijske sigurnosti.

Naše su tvrtke za sada zagrizle u pitanje pod brojem 1, a neke su to pitanje i uspješno riješile. No, tek se manji tvrtki suočio i s preostalim pitanjima.

Netko će reći "Sve je u redu dok nema posljedica", no nadam se da je management svjestan da je ovo pogrešan odgovor na bilo koje pitanje postavljeno na ovom mjestu.


3.10.07

"Poslovni dnevnik" o insiderskim prijetnjama

S malim zakašnjenjem upućujem vas na članak "Informatički sustavi na udaru pete kolone" koji je prije desetak dana izašao u Poslovnom dnevniku. Pored nekoliko primjera iz američke prakse, članak donosi i procjenu o potencijalnim štetama koje se mogu očekivati kod insiderskih prijetnji.

Prijetnjama insidera bavio se i seminar koji je Borea održala krajem rujna u Zagrebu, a članak iz Poslovnog dnevnika donosi i kratki intervju o ovoj temi koji sam s vodio s autorom članka.