Własna komórka bezpieczeństwa czy warto w ogóle ją posiadać?

Czy w Twojej firmie znajduje się komórka bezpieczeństwa?
Wyżej wymienione pytanie, jest jednym z wielu jakie zadajemy naszym klientom podczas konsultacji, doradztwa i wycen naszych usług.
Pewnie zastanawiasz się dlaczego jest to takie istotne?
a) wpierw musimy ocenić poziom świadomości firmy dotyczący bezpieczeństwa teleinformatycznego.
Zdziwiłbyś się pewnie jak wiele firm nie posiada wcale komórek odpowiedzialnych za bezpieczeństwo (ani lokalnych ani zewnętrznych) – co więcej są przekonani, że taka grupa osób jest im zbędna w organizacji, dlatego że nie przez wiele lat nie mieli żadnych ataków (z tym nie mieli, to bardziej może pasować, że nie wiedzą, żeby miały one miejsce) bo jeśli nikt tego odpowiednio nie weryfikuje to może być też tak, że nasi partnerzy żyją w błogiej nieświadomości.
b) wśród firm które posiadają takie zespoły należy teraz zwrócić uwagę na następujące kwestie:

  • Czy obowiązki wykonywane przez te osoby są sformalizowane (określone w ramach obowiązków pracy) – zdarza się bowiem też tak, że za bezpieczeństwo odpowiadać mają osoby będące administratorami, pierwszą linią wsparcia (patrz HelpDesk),
  • Czy istnieje jakiś nadzór nad pracą tych osób? Jeśli tak kto go realizuje?
  • W jakim miejscu umieszczona jest komórka bezpieczeństwa? Czy znajduje się ona w Dziale/Sekcji IT? Czy też jest niezależna i nie znajduje się w strukturach IT?
  • Czy zespół odpowiedzialny za bezpieczeństwo jest odpowiednio umocowany w strukturach spółki? To znaczy czy może zatrzymać realizację jakiegoś procesu jeśli zauważy rażące naruszenie zasad przetwarzania danych?

Pewnie zastanawiasz się teraz jak naszym zdaniem powinno to wyglądać i jak znaleźć złoty środek?
Niestety nie mamy na to pełnej gotowej recepty, zależy to w dużej mierze od danej firmy, jej struktury i sposobie działania w niej procesów.
Warto jednak wiedzieć jakie są plusy i minusy danego rozwiązania, przejdźmy więc do szczegółów:

Czy firma posiada komórkę odpowiedzialną za bezpieczeństwo IT

Za

Przeciw

Nie musi to być osoba zatrudniona na stałe, może to być także partner B2B -najlepiej formę współpracy dostosować do realiów firmy (wielkość, ilość systemów przetwarzających dane, dostępność aplikacji z Internetu, itd.).

Jednak fakt posiadania kogoś odpowiedzialnego za bezpieczeństwo w znaczny sposób zmniejsza ryzyko wystąpienia potencjalnych problemów.

Jeśli w ogóle nikt w organizacji nie zajmuje się bezpieczeństwem (nie ważne czy jest to osoba zatrudniona, czy partner B2B) – stanowi to duże zagrożenie dla spółki.

Argumenty typu – nie mieliśmy żadnych włamań przez kilka lat, mogą być zupełnie nietrafne, dlatego że jeśli danych obszar nie jest wcale nadzorowany i zarządzany, to przeświadczenie o braku incydentów bezpieczeństwa może być całkowicie błędne.

Tak naprawdę w systemach firmy może od dawna już być poważny incydent bezpieczeństwa, a jedynym powodem przez który kierownictwo firmy nie wie o problemach, jest właśnie brak monitorowania danego obszaru działalności.

  

Czy obowiązki wykonywane przez te osoby są sformalizowane

Za

Przeciw

W przypadku kiedy obowiązki są sformalizowane – sytuacja jest jasna i klarowna – pracownik wie dokładnie za co i w jakim zakresie odpowiada.

Nie będzie się także musiał zastanawiać nad tym czy danym zadaniem ma się w ogóle zająć.

Jeśli obowiązki związane z odpowiedzialnością za bezpieczeństwo IT nie są sformalizowane, należy pamiętać, że pracownik wpierw będzie wykonywać swoje podstawowe zadania (np. obsługę użytkowników, administrację usługami, etc).
Dopiero kiedy znajdzie wolny czas, będzie próbował zajmować się dodatkowymi zadaniami.Nie mamy więc żadnej gwarancji, że kwestie związane z bezpieczeństwem będą przez niego regularnie wykonywane, co może stanowić poważnie zagrożenie.

Dodatkowo, jeśli pracownik zaniedbałby celowo dany temat – nie będzie można mu udowodnić, że należało to do jego obowiązków.

  
  

W jakim miejscu umieszczona jest komórka bezpieczeństwa?

Na pytanie nie posiadamy niestety gotowej odpowiedzi, są różne podejścia do tego tematu.

Jedno z nich mówi, że komórka odpowiedzialna za bezpieczeństwo nie powinna się znajdować w strukturach IT (co jest podyktowane tym, że podejmowanie przez nią decyzji może być utrudnione, ze względu na konflikt interesów).

Z drugiej strony jednak jeśli osoby pracują w jednej komórce organizacyjnej (a może też pracują w 1 pomieszczeniu) – to przepływ wiedzy pomiędzy nimi jest znacznie uproszczony i wtedy osoby odpowiedzialne za bezpieczeństwo będą w stanie zareagować znacznie szybciej niż projektowo – gdy będą słyszeć omawiane tematy.

Zazwyczaj skłaniamy się ku pierwszemu rozwiązaniu (rozdzielność działu bezpieczeństwa od Informatyki), jednak też nie ganię w znaczny sposób drugiego podejścia (sam pracowałem kiedyś w takiej strukturze i przy założeniu rozsądnego przełożonego odpowiedzialnego za całą komórkę IT – nie powinno to stanowić dużego problemu).

  

Czy zespół odpowiedzialny za bezpieczeństwo jest odpowiednio umocowany w strukturach spółki?
Czy istnieje jakiś nadzór nad pracą tych osób? Jeśli tak kto go realizuje?

Za

Przeciw

Jeśli zespół jest odpowiednio umocowany – to jest to właściwe podejście.

Komórka ta ma jako swój cel dbanie o to, żeby Twoje i Twoich klientów były bezpieczne,  czasem więc niestety musi podejmować też decyzje kontrowersyjne.

Jeżeli widzisz, że w Twojej firmie zespół bezpieczeństwa nie jest odpowiednio umocowany – to znaczy jest, ale nie może podejmować odpowiednich decyzji biznesowych – np. nie wstrzymać procesu, który ich zdaniem jest niebezpieczny, aż do czasu kiedy zostanie naprawiony we właściwy sposób – powinieneś porozmawiać ze swoimi przełożonymi, zarządem spółki żeby to naprawić.

Sam fakt posiadania osób odpowiedzialnych za bezpieczeństwo nie chroni Cię przed zdarzeniami jakie mogą mieć miejsce. Ta grupa osób (bądź partner biznesowy – zależy jakie rozwiązanie wybrałeś) musi móc podejmować decyzje biznesowe – czasem może nie do końca zgodne z interesami innych komórek organizacyjnych.

Warto jednak pamiętać o tym, co jest istotniejsze dla Ciebie – kradzież, uszkodzenie danych, czy realizacja planów biznesowych?

Mamy nadzieję, że powyższe krótkie podsumowanie pomoże Ci podjąć decyzję na temat posiadania komórki odpowiedzialnej za bezpieczeństwo w Twojej firmie.

Masz pytania lub chcesz z nami współpracować?