Dla każdej organizacji informacja jest jej największą wartością biznesową. Przede wszystkim informacja handlowa, prawna, techniczna, a także ta związana z działaniem kierownictwa, sposobem zarządzania, nie mówiąc już o danych osobowych klientów i partnerów.
Zapraszam do lektury wywiadu z Joanną Bańkowską, Dyrektorem Zarządzającym BSI, w którym poruszamy zagadnienia związane z bezpieczeństwem informacji.

Sprawa bezpieczeństwa informacji ma nieco inny charakter w organizacjach publicznych, które muszą się stosować do przepisów państwowych dotyczących m.in ochrony danych osobowych, niż w biznesie, który musi dbać o ochronę informacji z przyczyn konkurencyjnych. Czy ta różnica ma znaczenie przy wprowadzaniu systemów bezpieczeństwa informacji?

Są ustawy i rozporządzenia, które wręcz przywołują standardy PN-ISO, np. Rozporządzenie RM z 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów informatycznych powołuje się na PN-ISO/IEC 20000-1 i 2000-2 (dotyczące zarządzania usługami informatycznymi) oraz na PN-ISO/IEC 27001 (dotyczącą zarządzania bezpieczeństwem informacji) i pokrewne, obejmujące zarządzanie ryzykiem czy odtwarzanie techniki informatycznej po katastrofie. Przepisy państwowe w tej materii będą się rozwijać; niebawem np. wejdzie w życie nowe Europejskie Rozporządzenie o ochronie danych osobowych RODO, które zostanie zaadaptowane do polskiego prawa, znacznie zmieniające obecne przepisy.

Co poza tym w systemach zarządzania bezpieczeństwem informacji jest najważniejsze dla biznesu?

Dla każdej organizacji informacja jest jej największą wartością biznesową. Przede wszystkim informacja handlowa, prawna, techniczna, a także ta związana z działaniem kierownictwa, sposobem zarządzania, nie mówiąc już o danych osobowych klientów i partnerów. Jesteśmy zdominowani przez świat informatyczny i technologie mobilne. Tym trudniej więc jest chronić tajemnice firmy. Korzyści z systemu ISO/IEC 27001 to przede wszystkim identyfikacja zagrożeń i wprowadzenie właściwych zabezpieczeń na poszczególnych obszarach działalności, zdobycie zaufania interesariuszy i klientów w kwestii bezpieczeństwa danych wykazanie zgodności uzyskanie pierwszeństwa wyboru jako dostawca oraz spełnienie większej liczby wymogów przetargowych przez wykazywanie zgodności.

Co jest najsłabszym ogniwem z punktu widzenia bezpieczeństwa informacji? Gdzie zagrożenie jest największe?

Myślę, że o to należy pytać prawników, którzy przeanalizowali sytuacje, gdy następowały szkodliwe wycieki informacji. Najsłabszym punktem jest oczywiście człowiek. W systemach zarządzania bezpieczeństwem chodzi nie tyle o zabezpieczenie techniczne systemów informatycznych, co o taką organizację pracy, by ludzie byli dokładnie świadomi, za co odpowiadają i jak powinni nadzorować system bezpieczeństwa. Wdrażanie systemu już po stracie wynikającej ze złych zabezpieczeń to działanie spóźnione, najlepsze jest zapobieganie, prewencja. Dysponujemy dwoma rodzajami standardów: tymi, które są wymaganiami podlegającymi certyfikacji, i wspomagającymi, które można określić jako funkcjonalne. Są to zwykle dobre praktyki, a więc wnioski z zebranych doświadczeń z organizacji z całego świata.

Jaka jest relacja między zarządzaniem bezpieczeństwem a zarządzaniem ryzykiem w aspekcie norm?

Zarządzanie ryzykiem jest w części wspólne z zarządzaniem bezpieczeństwem informacji, ale może też współdziałać z systemami zarządzania jakością serii ISO 9000 i pozostałymi, tym bardziej, że nowe wersje systemów zarządzania zawierają już segmenty zarządzania ryzykiem. W ocenie ilościowej strat wynikających z braku zabezpieczeń i z powodu wycieku informacji pomocny jest standard ISO 31000 Zarządzanie Ryzykiem.

W każdej działalności zarówno ryzyko jak kryzys mogą mieć bardzo rozmaite źródła, niekoniecznie związane z informacją.

Dlatego tylko w części standardy ISO 31000 oraz nowy standard brytyjski BS 11200 Zarządzanie Kryzysem dotyczą informacji. Polska Ustawa o Zarządzaniu Kryzysowym odnosi się do podmiotów infrastruktury krytycznej. Ale systemy zarządzania kryzysowego to przewodniki dające jasne wskazówki każdej organizacji jak ułożyć procesy wewnętrzne, by zminimalizować ryzyko wystąpienia kryzysu, łagodzić jego przebieg i skutki. Jest wiele bardzo różnych czynników ryzyka i przyczyn kryzysów, ale zwróćmy uwagę, że w każdym z nich jest pewna warstwa informacyjna, którą można zarządzać tak, by minimalizować ryzyko i wystąpienie sytuacji kryzysowej. To również jest zagadnienie wchodzące w zakres zarządzania bezpieczeństwem.