Bezpieczeństwo informacji w firmie
Bezpieczeństwo informacji w firmie – każda dana osobowa jest informacją, nie każda jednak informacja jest daną osobową. Nie oznacza to jednak, że informacji, które danymi osobowymi nie są nie warto w firmie chronić. Wprost przeciwnie – jeśli chcemy zachować atrybuty informacji, w szczególności ich poufność warto rozważyć wdrożenie w organizacji Systemu Zarządzania Bezpieczeństwem Informacji wykraczającego poza obszar ochrony danych osobowych.
Przygotowanie do wdrożenie RODO jest bardzo dobrą okazją do szerszego spojrzenia na bezpieczeństwo informacji w firmie, dla której dane są podstawowym aktywem. Jak może wyglądać wdrożenie SZBI z perspektywy przyszłego Inspektora Ochrony Danych? Na co zwrócić uwagę? Na co przygotować szefa, który poważnie podchodzi do tematu jakim jest bezpieczeństwo informacji w firmie?
Bezpieczeństwo informacji to proces nie stan
W gruncie rzeczy chodzi o to, aby uzyskać i utrzymać subiektywne odczucie graniczące z pewnością, że proces przetwarzania informacji kluczowych dla organizacji jest niezagrożony.
Oznacza to, że podczas „obróbki” danych rozwiązania systemowe są w stanie utrzymać poufność, dostępność i integralność informacji, a więc uprawdopodobnić, że informacja nie zostanie ujawniona osobom nieupoważnionym, będzie dokładna i kompletna oraz dostępna i użyteczna na żądanie upoważnionego personelu. Doświadczenie pokazuje, że często główne wysiłki organizacje kładą na zachowanie poufności, zapominając przy tym o właściwym ustanowieniu mechanizmów gwarantujących użyteczność i dostępność informacji we właściwym czasie.
Odpowiedni format informacji oraz zagregowanie ich we właściwym czasie np. szybszym niż konkurencja może być kluczowy z punktu widzenia działania firmy. Dlatego tak istotne jest podejście procesowe do zachowania bezpieczeństwa informacji, bo nawet jeśli dziś jest dobrze, to przecież nie jest to stan dany raz na zawsze. Zmieniają się technologie, modyfikują procesy i narzędzia, zmienia się kontekst działania organizacji. I to jest podstawowa informacja, jaka powinna trafić „na biurko szefa” od świadomego swoich zadań i zagrożeń IODy (jeśli oczywiście osoba taka w firmie będzie funkcjonować). Być może nie przypadkiem nazwany został on Inspektorem Ochrony Danych – bez zawężenia zakresu działań w postaci dopisku „osobowych”.
Oczekiwania i chęć poczucia bezpieczeństwa mogą być wygórowane, co zrozumiałe, bo każdy szef chce swoje aktywa chronić. Dla tych, których potrzeby w tym zakresie są duże odpowiedzią i drogowskazem, jak ustanowić SZBI w organizacji, będą niewątpliwe normy serii PN ISO/IEC 27000. Szczególnie pomocna może okazać się norma PN ISO-IEC 27005, która „podpowiada” jak podchodzić do ryzyk związanych z bezpieczeństwem informacji.
Incydenty
Jeśli potraktować ryzyko jako incydent, to organizacja musi wiedzieć, gdzie są jej najsłabsze punkty, gdzie mogą wydarzyć się, lub już się wydarzyły incydenty, które prowadzić mogą do niepożądanych naruszeń bezpieczeństwa. Skąd czerpać taką wiedzę? Są dwa podstawowe źródła: maszyna i człowiek. Urządzenie ma swoje podatności i ograniczenia. Gorzej działa w niektórych warunkach atmosferycznych, wymaga serwisowania, właściwego traktowania. Ale poprzez np. logi systemowe czy zastosowane ustawienia „powie” nam skąd nadejść mogą zagrożenia.
To w sumie podobnie jak człowiek. Z tym, że w tym przypadku nie da się go „ustawić” zerojedynkowo. Ale o tym za chwilę. Doświadczony pracownik firmy będzie jednak nieocenionym źródłem informacji dotyczącym słabych punktów naszej organizacji, niedoskonałości procesów, które chronić mają nasze dane. Pozostaje tylko wdrożyć odpowiedni system raportowania incydentów dotyczących bezpieczeństwa osobowego, środowiskowego i technicznego organizacji. Nie ma mniej lub bardziej istotnych, wszystkie mogą okazać się równie ważne. Możliwie szeroki katalog ryzyk trzeba poddać ocenie. Stosując najprostszy wzór na wagę ryzyka czyli mnożąc prawdopodobieństwo jego wystąpienia przez skutek jaki może wywołać dla naszej działalności.
Określ ryzyka, uzyskaj akceptacje kryteriów oceny ryzyk
Mityczna już niemal analiza ryzyka, o której przy okazji RODO słyszy się niemal na każdym kroku, jest niczym innym jak przewidywaniem scenariuszy dotyczących tego, co złego może się wydarzyć. I próbą oszacowania wagi tych niepożądanych zdarzeń na funkcjonowanie naszych procesów w firmie. W tym przypadku w kontekście utraty danych i informacji. Przedsiębiorca w bieżącej działalności, niemal na każdym kroku prowadzi analizę ryzyka. Osadza organizację w pewien kontekst funkcjonowania, analizuje czynniki zewnętrzne, ocenia szanse i zagrożenia. Różnica może być tylko taka, że nie każdy formalizuje i systematyzuje uzyskane wyniki i wnioski. Na pewno jednak potrafi dostrzec główne zagrożenia. Te związane z obszarem jaki stanowi bezpieczeństwo informacji można podzielić na kilka grup: celowe i niezamierzone, losowe zdarzenia natury technicznej, oraz te których przyczyną są żywioły. Każde z nich spowodować może naruszenie poufności, integralności lub dostępności danych.
Aby właściwie dobrać mechanizmy i zabezpieczenia, które mają nas ustrzec przed niepożądanymi skutkami materializacji ryzyk, warto przemyśleć i właściwie określić kryteria ich oceny i odnieść np. do wysokości ewentualnych strat materialnych (lub np. kar za naruszenie RODO), a być może strat wizerunkowych, które trudno wycenić na dziś ale w dłuższej perspektywie mogą okazać się istotne. Akceptacji takich kryteriów oraz wyliczonej wagi ryzyk powinien zawsze dokonać szef – jako właściciel aktywów, a w kontekście ochrony danych osobowych – administrator tych danych.
Najsłabsze ogniwa procesów przetwarzania informacji
Wracając do ludzi jako źródła informacji o incydentach. Owszem, ci czujni i zaangażowani niewątpliwie są takimi. Większość pracowników firmy może być jednak zazwyczaj źródłem informacji. ale dla osób postronnych, w tym tych, którzy pewnych danych uzyskać nie powinni. Był taki „haker” w USA – Kevin Mitnick, który w latach 90-tych XX wieku „włamał się” do kilku ważnych systemów informatycznych. Zasłynął jednak tym, iż jedną z kar jaką otrzymał był zakaz korzystania z Internetu. Mitnick, w trakcie procesu i kariery, jaką zrobił po odbyciu kary, bronił się, że nie łamał systemów ale ludzi. Dzwoniąc w różne miejsca zbierał informacje, które odpowiednio agregował i w ten sposób wykorzystywał luki systemów, uzyskując pożądany efekt. Wykorzystywał socjotechnikę.
Trafnie zdiagnozował najsłabszy element każdego systemu, zawodny i podatny na sugestie i wpływy. Tym elementem jest niestety człowiek. Jak zatem minimalizować ryzyko, jakie pracownicy, często nieświadomie generują? Tylko poprzez cykliczne podnoszenie ich świadomości, a więc szkolenia. Być może pozwoli to uniknąć ujawnienia tajemnic przedsiębiorstwa, bazy danych kluczowych klientów.
Trzeba jednak mieć świadomość, że nie ma 100 % bezpieczeństwa informacji. Organizacje ewoluują, zmieniają profil swojej działalności, klientów, dostawców usług. Dzisiejsze zagrożenie być może się zdezaktualizują, za to nowe pewnie przybiorą na sile.
