Według mojej oceny, Bezpieczeństwo Informacji i reputacja organizacji stają się strategicznymi zasobami o kluczowym znaczeniu, niezależnie od tego, czy mówimy o sektorze publicznym, czy prywatnym. Kadra kierownicza odgrywa w tym procesie zasadniczą rolę, ustanawiając i zarządzając kontrolą nad Bezpieczeństwem Informacji. W pierwszej części tego opracowania postaram się przedstawić argumenty, które tę tezę podkreślają. Natomiast w drugiej części skoncentruję się na trzech filarach efektywnej kontroli Bezpieczeństwa Informacji, a mianowicie – ludziach, procesach i technologii.
Jeśli nie my, zrobi to ktoś inny
Organizacje zmieniają się. Zmienia się środowisko biznesowe. Czy pamiętasz stare szafy i biurka ze sklejek wpasowane w kilkuosobowe pomieszczenia? Zastąpione są ergonomicznymi meblami, w świetnie przystosowanych otwartych przestrzeniach, nowoczesnych i komfortowych biurowców. Także dotychczasowe praktyki, zastępowane są w przedsiębiorstwach międzynarodowymi standardami i normami, takimi jak ISO9001, seria ISO27k, BCBS 239, Rekomendacja D, ISAE 3402, SSAE 16, SOC 1,2,3 i wiele innych. I choć nie wszystkie organizacje wykazują się pełną elastycznością, to chcąc nie chcąc środowisko zewnętrzne wymusza rozwój, zgodnie z duchem czasów. Należy zauważyć, że jeśli nie my wykonamy ruch, to może zrobić go to ktoś inny, zdobywając przewagę na rynku lokalnym, międzynarodowym lub arenie międzynarodowej w zakresie bezpieczeństwa publicznego i infrastruktury krytycznej.
Dzieje się tak, ponieważ jeszcze przed erą cyfrową dokumentacja papierowa, która służyła do przekazywania informacji i była nieodpowiednio zabezpieczona, mogła doprowadzić do strat finansowych, utraty reputacji, zaufania i w efekcie utraty pozycji rynkowej czy międzynarodowej. Źródłem problemu był czynnik białkowy, czyli straty wynikające z działania lub zaniechania człowieka. Dziś problem jest jeszcze bardziej złożony, ponieważ obrót dokumentacji – w tym poufnej – odbywa się w formie cyfrowej a ludzie w parkach maszynowych, fabrykach i elektrowniach zastępowani są systemami i sztuczną inteligencją. Z jednej strony optymalizujemy pracę i zwiększamy wydajność organizacji, instytucji i przedsiębiorstw, lecz z drugiej daje to pole do nowych wektorów ataku i generuje specyficzne dla każdego sektora wymagania regulacyjne. Mamy do czynienia między innymi z dedykowanymi atakami typu Phishing, Ransomwere (WannaCry), Malware (Stuxnet) oraz z regulacjami dotyczącymi przetwarzanych danych (RODO/GDPR), czy cyber-bezpieczeństwa w skali kraju (Ustawa o Krajowym Systemie Cyberbezpieczeństwa i rozporządzenia wykonawcze do niej).
Ekstremalnie ważny aspekt strategicznego zarządzania
Nie mam wątpliwości co do tego, że Bezpieczeństwo Informacji – postrzegane jako dyscyplina służąca zapewnieniu Poufności (Confidentiality), Integralności (Integrity) oraz Dostępności (Availability) danych – stało się dziś ekstremalnie ważnym aspektem strategicznego zarządzania każdej organizacji opartej na danych, walczącej o strategiczną pozycję na rynku. Przytoczę kilka faktów:
Grafika: opracowanie własne
Jaką rolę odgrywa kierownictwo wyższego szczebla?
Skuteczna ochrona elektronicznych zasobów organizacji, ochrona organizacji przed wyciekami informacji (Data Loss Prevention), czy w końcu ochrona reputacji organizacji na zewnątrz wymaga określenia, jak poszczególne jednostki biznesowe (całe departamenty i działy), personel oraz kierownictwo wyższego szczebla powinny współpracować w ramach spójnego dla całej organizacji nadzoru nad Bezpieczeństwem Informacji.
Załóżmy, że prowadzisz cukiernię. Strategia to nadawanie kierunku, więc planujesz na najbliższe 3 lata wprowadzenie kilku nowych produktów, wdrożenie nowej polityki w oparciu o normę ISO – dla poprawy jakości i zdobycia zaufania nowych dostawców i klientów. Spójna polityka powinna wówczas objąć całe przedsiębiorstwo, a więc kadrę wyższego szczebla i nadzór także… Kierownik Projektu, który odpowiada za wdrożenie normy i utrzymanie nowych standardów pozostaje w tym przypadku bez wsparcia, ponieważ odpowiedzialność za nadzór nad jakością nie został określony na poziomie Zarządu. Jakiś czas później dział zajmujący się, dajmy na to pączkami, nie adresuje wytycznych Projektu, ponieważ Manager tego działu zauważył, że doprowadzi to do spadku wydajności procesu produkcji. Z czym zgodził się Członek Zarządu odpowiedzialny za sprzedaż. Załóżmy, że pomimo poniesionego wysiłku jakiś czas później klient znajduje w Twoim produkcie, coś nietypowego – ja kiedyś znalazłem upieczonego owada. Przypuśćmy, że podzieli się tym ze swoimi znajomymi w mediach społecznościowych, a sprzedaż pączków spadnie równocześnie ze sprzedażą tortów i lodów… W tym przypadku specjalista odpowiadający za wdrożenie normy został nieodpowiednio wsparty przez kierownictwo wyższego szczebla, co skutkowało konfliktem interesu wewnątrz organizacji. A w ostateczności doprowadziło do utraty reputacji.
Rola strategicznych zasobów i obszarów organizacji jest realnie zapewniona tylko wtedy, kiedy Zarząd (C-Suite) daje pełne wsparcie oraz zaangażowanie ze swojej strony, aby wysiłek był zaadresowany na poziomie całej organizacji. Bez szarej strefy.
Nierówna walka o Bezpieczeństwo Informacji
Czy wiesz, że problemy proceduralne i te dotykające kwestii zarządzania są skutecznie adresowane najczęściej w tych organizacjach, które są zadecydowane jakich technologii czy rozwiązań chcą i potrzebują? Takie decyzje wymagają strategii i zaangażowania ze strony kierownictwa wyższego szczebla…
Z jednej strony, w przypadku organizacji opartych na danych Bezpieczeństwo Informacji jest już niekiedy częścią biznesu, więc odpowiedzialność za zarządzanie tym obszarem w sposób zdecydowany przenoszona jest na poziom Zarządu. Z drugiej strony Rady Nadzorcze (Board of Directors) w wielu organizacjach wciąż nie mają zobowiązania i odpowiedzialności wobec Bezpieczeństwa Informacji, co utrudnia dedykowanym funkcjom i rolom kierowniczym (jak na przykład Chief Information Officer, czy Chief Information Security Officer) wdrażanie Bezpieczeństwa Informacji w sposób ciągły i w skali całej firmy. W wielu przypadkach kierownictwo wyższego szczebla, a w szczególności poziom Rady Nadzorczej nadal postrzega Bezpieczeństwo Informacji jako problem techniczny, który powinien być delegowany do strumienia odpowiedzialnego za obszar IT, a następnie zapomniany.
Umocowanie i kompleksowe działanie
Po pierwsze, bez wsparcia na poziomie Zarządu, Managerowie ds. Bezpieczeństwa Informacji będą bardzo często prowadzić ciężką i nierówną walkę we wdrażaniu Planu Bezpieczeństwa Informacji, który powinien objąć całą organizację. Niekiedy podczas ‘wodowania’ nowego Planu, czy struktury nadzorczej dojdzie do konfliktu interesów. Z doświadczenia wiem, że CIO lub CISO zaszeregowany na jednakowym poziomie z Managerami (C-Suite -2) czy Dyrektorami Zarządzającymi (C-Suite -1), zamiast na poziomie Zarządu (C-Suite) lub bez silnego wsparcia ze strony Członka Zarządu będzie miał problem z przeforsowaniem nowej struktury, nowych ról i odpowiedzialności, KPI, etc.
Po drugie, plan taki powinien pokrywać wszystkie wymiary w zakresie Bezpieczeństwa Informacji. Innymi słowy, skuteczna zmiana to taka, która wdrażana jest … kompleksowo. I ta zasada dotyczy wielu płaszczyzn, jak: regulacje rynkowe, instytucje, organizacje, i tak dalej. W przypadku przedsiębiorstw i korporacji, wdrożenie prowadzone powinno być od budowania świadomości poprzez adresowanie regulacji zewnętrznych, rozwijanie polityk wewnętrznych, po mierzalność i monitorowanie zaimplementowanych procesów i procedur.