Zapewnienie bezpieczeństwa informacji…
Kwestie zapewnienia bezpieczeństwa informacji nie muszą być immanentnie związane z występowaniem o certyfikację systemu na zgodność z normą ISO/IEC 27001. Standard ten, jednakże stanowi wygodny dokument umożliwiający systematyczną pracę nad poprawą bezpieczeństwa tak ważnych kwestii związanych z kapitałem, jak wiedza i informacja zgromadzona w firmie, do której dostęp powinien wynikać z jasno określonych celów biznesowych. Wdrożenie SZBI w organizacji związane jest z uporządkowaniem wewnętrznych procedur i zasad bezpieczeństwa. Wytyczne normy nakładają na organizację obowiązek systemowego zarządzania bezpieczeństwem. Podstawą SZBI zgodnego z normą ISO 27001 jest proces analizy i oceny ryzyk związanych z potencjalnymi zagrożeniami. Ponadto w ramach ustanowionego SZBI konieczne jest zbudowanie świadomości pracowników, stworzenie dokumentacji systemowej, a także cykliczne działania związane z oceną skuteczności systemu oraz planowanie postępowania z ryzykami. Kto jak nieprofesjonalny Pełnomocnik Bezpieczeństwa Informacji może w tym pomóc. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji pozwala na wzmocnienie wizerunku firmy jako organizacji profesjonalnej i godnej zaufania, stosującej najlepsze standardy zarządzania.
Zapewnienie poufności, dostępności oraz integralności informacji…
Tak naprawdę celem wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji jest zapewnienie poufności, dostępności oraz integralności informacji przetwarzanych przez organizację. Wśród tych informacji pojawiają się również dane osobowe, które musimy chronić w oparciu o przepisy wynikające z RODO. Patrząc przez ten pryzmat wdrożenie SZBI będzie świetnym wsparciem dla spełnienia wymagań wynikających z ochrony danych osobowych. Samo wdrożenie SZBI nie wystarczy. Po pierwsze ktoś powinien pomóc w samym procesie wdrażania, po drugie ktoś musi nadzorować skuteczność wdrożonych zasad. W roli takiej osoby najlepiej sprawdzi się Pełnomocnik Bezpieczeństwa Informacji. Pełnomocnik Bezpieczeństwa Informacji na etapie początkowym przeprowadzi przegląd, uporządkowanie i usprawnienie procesów i rozwiązań w takich obszarach jak:
- komunikacja wewnętrzna i zewnętrzna;
- bezpieczeństwo teleinformatyczne;
- bezpieczeństwo fizyczne osób i aktywów.
Pamiętajmy, że sposobu zapewniającego ochronę informacji w 100% tak naprawdę nie ma. Oprogramowania, wyspecjalizowany sprzęt, inwestycje w techniczne instrumenty ochrony powodują wzrost poziomu bezpieczeństwa, jednakże chronią tylko pewną część naszych zasobów informacji.
Dokumentacja SZBI podstawą działania organizacji…
Celem dostosowania się organizacji do wymagań na gruncie bezpieczeństwa organizacji jest na pewno wzmocnienie jej bezpieczeństwa. Chcąc stosować zasady wynikające z tego bezpieczeństwa trzeba opracować właściwe dokumenty, które wskażą cele i zasady postępowania. W tym miejscu znowu wskazane byłoby posiadanie Pełnomocnika Bezpieczeństwa Informacji, który na pewno pomoże firmie w jej poprawnym przygotowaniu. To PBI zdefiniuje jakie lokalizacje firmy, zasoby ludzkie, aktywa oraz technologie należy objąć SZBI. Podstawowym dokumentem do opracowania jest Polityka Bezpieczeństwa Informacji. Do jej głównych funkcji należą:
- funkcja informacyjna: dostarcza pracownikom organizacji komunikat, że jej władze przykładają wagę do kwestii bezpieczeństwa, co przekłada się na podniesienie ogólnego poziomu świadomości i skłania do odpowiedzialnego postępowania;
- funkcja prewencyjna: chroni organizację przed zagrożeniami wynikającymi z celowych działań intruzów, jak i przypadkowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników oraz partnerów biznesowych i klientów niecelowych, wynikających z niewiedzy bądź braku ostrożności działań jej pracowników;
- funkcja dostosowawcza: zapewnienie zgodność z przepisami prawa lub standardami, których celem jest ochrona informacji i infrastruktury służącej do ich przetwarzania.
Wiadomo, że najczęstszymi pojawiającymi się zagrożeniami są te związane z czynnikiem ludzkim (błędy człowieka). Dobrze dobrany, jak również tworząc ten dokument przygotuje go w przystępnej formule.
Odpowiedzialność za ustanowienie, wdrożenie i utrzymywanie SZBI…
Wdrożenie SZBI pomoże w zapewnieniu klientom poczucia bezpieczeństwa. Podobnie jest z wdrożeniem wymagań RODO o którym jest głośno w obecnych czasach, głównie za sprawą zwiększenia kontroli i działań Urzędu Ochrony Danych Osobowych. Za System Zarządzania Bezpieczeństwem Informacji odpowiada w większości sytuacji zarząd danej organizacji. Jednakże ten zarząd ma tyle innych działań do wykonania, że powinien zlecić te działania profesjonalnemu Pełnomocnikowi Bezpieczeństwa Informacji. Istnieje na tyle dużo potencjalnych klientów, dla których bezpieczne gromadzenie, przetwarzanie i analizowanie informacji jest tak ważne, że w celu ich pozyskania, należy zagwarantować właściwy stan bezpieczeństwa informacji. Na pewno ważnym czynnikiem jest też chęć zabezpieczenia informacji na wypadek awarii i katastrof oraz poprawa wizerunku firmy. Te cele wskazują, że odpowiedzialność za ustanowienie, wdrożenie i utrzymywanie SZBI spoczywające na „barkach” zarządu organizacji może być ciężkie. Chcąc ulżyć samemu sobie warto skorzystać z profesjonalisty. Co istotne Pełnomocnikiem Bezpieczeństwa Informacji może być osoba z firmy zewnętrznej w ramach usługi outsourcingowej.
Odpowiedzialność i uprawnienia Pełnomocnika Bezpieczeństwa Informacji…
Wdrożenie mechanizmów regularnej weryfikacji skuteczności stosowanych zabezpieczeń pozwala uniknąć utraty informacji na skutek nieprzewidzianych następstw. Jest to wyraźny dowód na to, jak cenna jest informacja dla organizacji. Testowanie procesów prowadzone przez Pełnomocnika Bezpieczeństwa Informacji z wykorzystaniem audytów, działań korygujących i naprawczych oraz prowadzeniem prezentacji i szkoleń z SZBI dla wszystkich pracowników wzmacnia strukturę SZBI. Istotną kwestią jest na pewno określenie odpowiedzialności jak i zakresu uprawnień PBI. Wśród podstawowego zakresu odpowiedzialności można wyróżnić:
- nadzór nad realizacją Systemu Zarządzania Bezpieczeństwem Informacji;
- nadzór nad dokumentacją SZBI;
- zarządzanie analizą ryzyka;
- zarządzanie zabezpieczeniami aktywów informacyjnych w sposób adekwatny do celów stosowania zabezpieczeń;
- zapewnienie, że procesy potrzebne w SZBI są ustanowione, wdrożone i utrzymywane;
- planowanie prac dotyczących systemu zarządzania i nadzór nad ich realizacją;
- przedstawianie sprawozdań dotyczących funkcjonowania systemu;
- zarządzanie audytami wewnętrznymi (w obszarze bezpieczeństwa informacji) w zakresie nadzorowania zespołu audytorów, planowania audytów i nadzór nad ich realizacją oraz działaniami po audytowymi;
- inicjowanie oraz nadzorowanie działań wdrożeniowych, korygujących i zapobiegawczych;
- organizację przeglądów SZBI oraz nadzór nad realizacją ustaleń wynikających z przeglądów;
- powiadamianie kierownictwa o działalności niezgodnej z obowiązującą w SZBI;
- prowadzenie szkoleń z zakresu Systemu Zarządzania Bezpieczeństwem Informacji.
Uprawnień PBI daje się znacznie mniej niż zakres odpowiedzialności. Przecież chodzi nam o to, aby system działał i był właściwie nadzorowany. Do tych uprawnień na pewno należy zaliczyć możliwość podejmowania decyzji w kwestiach bezpieczeństwa informacji, w zakresie nierodzącym zobowiązań finansowych. Osobiście dałbym Pełnomocnikowi Bezpieczeństwa Informacji również uprawnienie w zakresie wydawania poleceń wszystkim pracownikom organizacji w ramach potrzeb związanych z funkcjonowanie Systemu Zarządzania Bezpieczeństwem Informacji.
