Władza absolutna deprawuje absolutnie, czyli kto powinien odpowiadać za politykę bezpieczeństwa w firmie

Posłuchaj:
Udostępnij:

Rozmowa z Michałem Kaźmierczykiem, CEO w Enteo Tech

Na co szczególnie powinien zwrócić uwagę menedżer zarządzający finansami, działem księgowym, generalnie tym obszarem, gdzie są kluczowe dane dla firmy w zakresie bezpieczeństwa i dostępu do danych?

Nie bez powodu Kevin Mitnick dał w swojej książce ?Sztuka podstępu? podtytuł ?Łamałem ludzi nie hasła?. W każdym systemie IT niezależnie od stopnia jego złożoności najsłabszym ogniwem jest zawsze człowiek. Im większą swobodę pozostawiamy pracownikom w zakresie IT, tym de facto są oni łatwiejszym celem ataku.

Oczywiście, podstawowym krokiem powinna być edukacja w zakresie bezpieczeństwa. Jednak należy otwarcie powiedzieć, iż ryzyka ludzkiego nie da się wyeliminować bez eliminacji pracowników jako takich 😊. Wykorzystywane w firmie technologie IT, budowa cyfrowego stanowiska pracy (czy to biurze czy w domu), powinny być tak dobrane oraz odbudowane takim zestawem procedur i procesów alby minimalizować ryzyka (luki) w bezpieczeństwie, aby nawet atak na najsłabsze ogniowo, czyli pracownika nie przyniósł spodziewanych rezultatów (np. wykradzenia danych). To swojego rodzaju wojna ? nigdy nie da się jej wygrać, ale trzeba ją toczyć bitwa po bitwie i z każdym krokiem usprawniać posiadany system bezpieczeństwa.

Kto tak naprawdę w organizacji powinien odpowiadać za cyberbezpieczeństwo i dlaczego nie powinien to być CIO? Jaka jest w dzisiejszych organizacjach świadomość ryzyk związanych z tym obszarem?

Przedsiębiorstwo jako organizacja w wielu aspektach przypomina Państwo. W teorii państwowości istnieje wiele sposobów sprawowania władzy, ale najpowszechniejszym obecnie – poza wyjątkami – jest podział władzy na wykonawczą i ustawodawczą. W modelowym państwie władza ustawodawcza stanowi prawo, czyli mówi jak ma być, a władza wykonawcza odpowiada za egzekucje tego prawa ? zapewnienie, aby było tak jak zostało postanowione.

Podobnie mamy w wielu firmach. Szef, rada nadzorcza, akcjonariusze mówią, jak ma być, a menedżer np. CEO odpowiada za zapewnienie, aby tak było – żeby przedsiębiorstwo działało, jak chce właściciel.

Jeśli w państwie jedna władza ustala prawo i je jednocześnie egzekwuje istnieje wiele ryzyk, np. ustanawianie takie prawa, aby lepiej było władzy, a nie obywatelom, ukrywanie błędów prawa etc. Podobnie w przedsiębiorstwie, jeśli jedna osoba ustala strategie, np. bezpieczeństwa i ją wykonuje, to łatwo jej popaść w swojego rodzaju pętlę i nie dostrzegać własnych błędów.

Jeśli więc CIO czy specjalista od IT ustali politykę bezpieczeństwa, będzie to najlepsza polityka w jego oczach, a nie najlepsza polityka dla organizacji. Polityka tego typu może być osadzona w kontekście spojrzenia na organizacja od strony IT, a nie jej rzeczywistej struktury i sposobu działania.

Oczywiście, nie można wprost powiedzieć, że taki model nie zadziała tak jak wielokrotnie świetnie działała monarchia czy monarchia absolutna. Należy jednak pamiętać, że ?władza deprawuje a władza absolutna deprawuje absolutnie? 😊 i należy brać to pod uwagę jako ryzyko w ustanawianiu modelu odpowiedzialności za bezpieczeństwo w filmie.

Jednak większość tych ryzyk dotyczy raczej dużej skali biznesu. W mniejszych firmach model autorytarny może zadziałać równie dobrze jak rozproszony.

Jakie są różnice w podejściu do bezpieczeństwa, gdy wszyscy pracują w przestrzeniach firmowych, a sytuacją, gdy niektórzy pracują z domu? Czy te różnice są podyktowane samym trybem pracy, czy ryzykiem dostępu do komputera postronnych osób, czy samym łączem lub używanymi nowymi aplikacjami, np. do wideokonferencji?

Nie ulega wątpliwości, że praca zdalna niesie ze sobą pewne wyzwania dot. bezpieczeństwa informacji. Jednakże sporo zależy od trybu, w jakim jest prowadzona. Dostępne obecnie technologie, jak wszelkiego rodzaju połączenia VPN, pozwalają na realizacje bezpiecznej transmisji bez ryzyka wycieku czy modyfikacji przesyłanych informacji. Problemy tkwią, raczej w samym przygotowaniu zdalnego stanowiska pracy. Jeśli, pozwalamy naszym użytkownikom na korzystanie z własnych urządzeń a nie zadbamy o ich właściwe zabezpieczenie, możemy swobodnie założyć, iż nasze dane są istotnie narażone zarówno na wyciek jak i utratę. W lepszej sytuacji są firmy, które wymuszają (jest to relatywnie trudne) korzystanie tylko z autoryzowanych zabezpieczonych przez dział IT urządzeń. W takim przypadku istotnym ryzykiem jest sama utrata danych przechowywanych na urządzeniu lub ich wyciek w wyniku np. kradzieży. Najlepszym rozwiązaniem jest utrzymanie przetwarzania danych w obrębie firmowego centrum danych co praktycznie niweluje ww. ryzyka.

Jeśli zaś chodzi o zagrożenia wynikające z wykorzystania zewnętrznych aplikacji, to rzeczywiście one w praktyce istnieją, ale można spokojnie założyć, że w skali naszych firm i przy odpowiednim wykorzystaniu aplikacji są to ryzyka raczej marginalne.

Grupa ENTEO jest partnerem Digital Finance Excellence, programu Klubu Dyrektorów Finansowych „Dialog”

_______________________________________

Zapraszamy na spotkanie na ten temat 21.05 g. 15-17. Rejestracja  https://businessdialog.pl/wydarzenia/dfe-21052020