- Email: [email protected]
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Opracowanie i wdrożenie SZBI, czyli Systemu Zarządzania Bezpieczeństwem Informacji jest niezbędne w organizacji lub firmie w celu ochrony wrażliwych informacji, minimalizowania ryzyka utraty danych, zapewnienia i utrzymania ciągłości działania organizacji, a także spełnienia przepisów i norm związanych z bezpieczeństwem informacji i ochroną przetwarzanych danych. Dzięki SZBI organizacja może skutecznie zarządzać swoimi zasobami informacyjnymi i chronić je przed zagrożeniami. Swój punkt widzenia na temat opracowania i wdrożenia SZBI, największych błędów w tym procesie, przedstawia Iwona Barańska – ekspert Krajowego Instytutu Cyberbezpieczeństwa, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji PN-EN ISO/IEC 27001, menedżer z międzynarodowym certyfikatem ILM.
W tym materiale skupiamy się raczej nie na samej procedurze wdrożenia SZBI krok po kroku, co na kluczowych błędach i kwestiach związanych z podejściem do SZBI w firmie, organizacji czy jednostkach samorządu terytorialnego (JST). Nasze doświadczenie w opracowywaniu i wdrażaniu SZBI w firmach i instytucjach publicznych pokazuje jak bardzo temat traktowany jest po macoszemu, wyłącznie pod kątem spełnienia formalnych procedur, a nie faktycznego zabezpieczenia danych danego podmiotu.
Największym błędem w całym procesie przygotowywania dokumentacji SZBI w JST jest marginalny o ile nie zupełny brak wiedzy czemu taka dokumentacja ma w ogóle służyć. Nagminne są źle skonstruowane opisy przedmiotu zamówienia przy ogłaszaniu przetargów czy zapytań ofertowych w tym zakresie. Widać, że są to często skopiowane zapisy znalezione gdzieś w sieci, które zupełnie nie odzwierciedlają konkretnych potrzeb danej jednostki.
Kolejna sprawa to marginalizowanie tematu SZBI przez Najwyższe Kierownictwo (nomenklatura zaczerpnięta z KRI). Powszechna wśród klientów jest ocena, że jeżeli jednostka jest mała, to nie ma sensu takich procedur wprowadzać. Nic bardziej mylnego. Duże jednostki mają zazwyczaj więcej środków i możliwości (technicznych, osobowych czy organizacyjnych) by stworzyć odpowiednie zabezpieczenia dla organizacji. Małe jednostki muszą się chronić najlepiej jak mogą, a wprowadzenie czytelnego i „szytego na miarę” Systemu Zarządzania Bezpieczeństwem Informacji może je chronić przed poważnymi kłopotami – m.in. płaceniem kar finansowych jeżeli doszłoby do incydentu bezpieczeństwa informacji jak to już bywało w naszym kraju.
Problemem jest również dość niska wiedza personelu informatycznego w zakresie cyberbezpieczeństwa. Nie jest to niczym dziwnym biorąc pod uwagę w jaki sposób są często obsadzane stanowiska informatyków – np. często zdarza nam się podczas audytu słyszeć, że dana osoba nie jest tak naprawdę informatykiem, a została do tego stanowiska przydzielona z innego obszaru kompetencyjnego bo nikt nie zgłosił się na rekrutacji zewnętrznej. Jest to oczywiście działanie zrozumiałe, ale nie rozwiązuje problemu doświadczenia i odpowiednich kompetencji w zakresie zabezpieczenia danej jednostki przed ew. wyciekiem informacji.
Co prawda nawet przy rozbudowanych procedurach i najlepszej wykwalifikowanej kadrze zdarzają się wycieki – wszak najsłabszym ogniwem zawsze jest czynnik ludzki (tu użytkownik danego systemu informatycznego).
Przy wyborze firmy świadczącej usługi napisania lub aktualizacji i wdrożenia SZBI w danej firmie niezwykle istotne jest bardzo dokładnie i świadome przygotowanie dokumentacji przetargowej. Ważne, by w sposobie oceny ofert włączyć jako jedno z kryteriów doświadczenie w tworzeniu podobnej dokumentacji. Niestety, z doświadczenia wiemy, że często nawet doświadczone (przynajmniej na papierze) firmy dostarczają zamawiającemu tzw. gotowca, który nijak nie odpowiada potrzebom zamawiającego.
Czym mogą skutkować gotowe szablony? Mogą mieć wpływ na bezpieczeństwo firmy, ponieważ nie chronią jej w sposób do jakiego został stworzony System Zarządzania Bezpieczeństwem Informacji w danej jednostce. Każdy z dokumentów składających się na SZBI ma wpływ na procedury w zakresie bezpieczeństwa, które są stosowane w danej firmie. Jeżeli jakaś procedura opisuje np. zasady zabezpieczenia serwerowni, a firma takowej nie posiada – jest to błędny zapis i tu może nie przyniesie on szkody większej, ale są sytuacje, gdy zapisy w tych „gotowcach” są zbyt lakoniczne i zbyt ogólne by chronić firmę przed cyberzagrożeniami i chronić ich dane osobowe. Pomimo posiadania SZBI de facto dalej go nie mają, bo ten który kupili nie spełnia podstawowego zadania -nie chroni firmy w zakresie bezpieczeństwa informacji.
W przypadku konstruowania dokumentacji przetargowej warto wprowadzić zapis, z którego jasno wynika, że żadne gotowe szablony nie będą akceptowane, a dokumentacja ma być w pełni dostosowana do potrzeb jednostki. Częstą procedurą jest poprawianie dokumentacji, którą wybrana firma dostarczyła zamawiającemu. W niej są np. opisane zabezpieczenia, których nigdy w firmie nie było (np. archiwum czy 3 serwerownie) i zasoby, których ta firma nie posiadała. Dokumentacja oczywiście była, ale był to powielany (zapewne w każdej obsługiwanej przez danego Wykonawcę) gotowiec, który nawet nie został w części dostosowany do zamawiającego.
Iwona Barańska – ekspert Krajowego Instytutu Cyberbezpieczeństwa, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji PN-EN ISO/IEC 27001, menedżer z międzynarodowym certyfikatem ILM.