Zanim wycieknie tajemnica...czyli Zarządzanie Bezpieczeństwem Informacji z BSI

Portal "PORADNIK BIZNESU INFO", Mediaplanet
Wywiad z Joanną Bańkowską, Dyrektorem Zrządzającym BSI, Wrzesień 2016


Dla każdej organizacji informacja jest jej największą wartością biznesową. Przede wszystkim informacja handlowa, prawna, techniczna, a także ta związana z działaniem kierownictwa, sposobem zarządzania, nie mówiąc już o danych osobowych klientów i partnerów. 

Jesteśmy zdominowani przez świat informatyczny i technologie mobilne. Tym trudniej więc jest chronić tajemnice firmy. Korzyści z systemu ISO/IEC 27001 to przede wszystkim identyfikacja zagrożeń i wprowadzenie właściwych zabezpieczeń na poszczególnych obszarach działalności, zdobycie zaufania interesariuszy i klientów w kwestii bezpieczeństwa danych. 

Standardy powinny przede w wszystkim pomagać samej firmie i pomagają, ponieważ są oparte na dobrych praktykach wielu przedsiębiorstw z całego świata. Oczywiście kooperanci cenią takie systemy u partnera, ponieważ wiedzą, że przestrzegając ich, partner również przestrzega prawa.

 


BSI Certyfikacja CSA STAR

Zanim wycieknie tajemnica 

EDUKATOR PRZEDSIĘBIORCY

Dla każdej organizacji informacja jest jej największą wartością biznesową. Przede wszystkim informacja handlowa, prawna, techniczna, a także ta związana z działaniem kierownictwa, sposobem zarządzania, nie mówiąc już o danych osobowych klientów i partnerów. 

Poradnik Biznesu: Systemy zarządzania bezpieczeństwem informacji to w polskiej administracji i biznesie ciągle zagadnienie nowe. Państwo certyfikujecie te systemy. Czy jest to główny nurt działalności, czy jeden z wielu? 

Joanna Bańkowska: Zajmujemy się bardzo szerokim spektrum zarówno standardów technicznych jak i systemów zarządzania, BSI to firma z tradycjami - powstała w Wielkiej Brytanii w 1901 r., kiedy to wprowadzono pierwszy standard techniczny - dla szyny kolejowej. Pierwotnie działała jako stowarzyszenie inżynierów, które przekształcono w firmę BSI. Kiedy po wojnie powstała Międzynarodowa Organizacja ds. Standaryzacji ISO, przejęła standardy wypracowane w BSI. Również systemy zarządzania ISO mają swój początek w standardach BSI. Standardy powinny przede w wszystkim pomagać samej firmie i pomagają, ponieważ są oparte na dobrych praktykach wielu przedsiębiorstw z całego świata. Oczywiście kooperanci cenią takie systemy u partnera, ponieważ wiedzą, że przestrzegając ich, partner również przestrzega prawa. Zwróćmy uwagę, że np. w systemach zarządzania środowiskowego czy bhp większość standardów (90 proc.) odwołuje się do przepisów obowiązujących w danym kraju. Podczas audytu sprawdza się również zgodność z prawem. 

PB: Sprawa bezpieczeństwa informacji ma nieco inny charakter w organizacjach publicznych, które muszą się stosować do przepisów państwowych dotyczących m.in ochrony danych osobowych, niż w biznesie, który musi dbać o ochronę informacji z przyczyn konkurencyjnych. Czy ta różnica ma znaczenie przy wprowadzaniu systemów bezpieczeństwa informacji?

JB: Są ustawy i rozporządzenia, które wręcz przywołują standardy PN-ISO, np. Rozporządzenie RM z 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów informatycznych powołuje się na PN-ISO/IEC 20000-1  (dotyczące Zarządzania Usługami Informatycznymi) oraz na PN-ISO/IEC 27001 (dotycząca Zarządzania Bezpieczeństwem Informacji) i pokrewne, obejmujące Zarządzanie Ryzykiem czy odtwarzanie techniki informatycznej po katastrofie. Przepisy państwowe w tej materii będą się rozwijać; niebawem np. wejdzie w życie nowe Europejskie Rozporządzenie o ochronie danych osobowych RODO, które zostanie zaadaptowane do polskiego prawa, znacznie zmieniające obecne przepisy.

PB: Co poza tym w systemach zarządzania bezpieczeństwem informacji jest najważniejsze dla biznesu? 

JB: Ola każdej organizacji informacja jest jej największą wartością biznesową. Przede wszystkim informacja handlowa, prawna, techniczna, a także ta związana z działaniem kierownictwa, sposobem zarządzania, nie mówiąc już o danych osobowych klientów i partnerów. Jesteśmy zdominowani przez świat informatyczny i technologie mobilne. Tym trudniej więc jest chronić tajemnice firmy. Korzyści z systemu ISO/IEC 27001 to przede wszystkim identyfikacja zagrożeń i wprowadzenie właściwych zabezpieczeń na poszczególnych obszarach działalności, zdobycie zaufania interesariuszy i klientów w kwestii bezpieczeństwa danych wykazanie zgodności uzyskanie pierwszeństwa wyboru jako dostawca oraz spełnienie większej liczby wymogów przetargowych przez wykazywanie zgodności. 

PB: Co jest najsłabszym ogniwem z punktu widzenia bezpieczeństwa informacji? Gdzie zagrożenie jest największe? 

Mysię, że o to należy pytać prawników, którzy przeanalizowali sytuacje, gdy następowały szkodliwe wycieki informacji. Najsłabszym punktem jest oczywiście człowiek. W systemach zarządzania bezpieczeństwem chodzi nie tyle o zabezpieczenie techniczne systemów informatycznych, co o taką organizację pracy, by ludzie byli dokładnie świadomi , za co odpowiadają i jak powinni nadzorować system bezpieczeństwa. Wdrażanie systemu już po stracie wynikającej ze złych zabezpieczeń to działanie spóźnione, najlepsze jest zapobieganie, prewencja. Dysponujemy dwoma rodzajami standardów: tymi, które są wymaganiami podlegającymi certyfikacji, i wspomagającymi, które można określić jako funkcjonalne. Są to zwykle dobre praktyki, a więc wnioski z zebranych doświadczeń z organizacji z całego świata. 

PB: Jaka jest relacja między zarządzaniem bezpieczeństwem a zarządzaniem ryzykiem w aspekcie norm? 

JB: Zarządzanie ryzyk em jest w części wspólne z zarządzaniem bezpieczeństwem informacji, ale może też współdziałać z systemami zarządzania jakością serii ISO 9000 i pozostałymi, tym bardziej, że nowe wersje systemów zarządzania zawierają już segmenty zarządzania ryzykiem. W ocenie ilościowej strat wynikających z braku zabezpieczeń i z powodu wycieku informacji pomocny jest standard ISO 31000 Zarządzanie Ryzykiem. 

PB: W każdej działalności zarówno ryzyko jak kryzys mogą mieć bardzo rozmaite źródła, niekoniecznie związane z informacją. 

Dlatego tylko w części standardy ISO 31000 oraz nowy standard brytyjski BS 11200 Zarządzanie Kryzysem dotyczą informacji. Polska Ustawa o Zarządzaniu Kryzysowym odnosi się do podmiotów infrastruktury krytycznej. Ale systemy zarządzania kryzysowego to przewodniki dające jasne wskazówki każdej organizacji jak ułożyć procesy wewnętrzne, by zminimalizować ryzyko wystąpienia kryzysu, łagodzić jego przebieg i skutki. Jest wiele bardzo różnych czynników ryzyka i przyczyn kryzysów, ale zwróćmy uwagę, że w każdym z nich jest pewna warstwa informacyjna, którą można zarządzać tak, by minimalizować ryzyko i wystąpienie sytuacji kryzysowej. To również jest zagadnienie wchodzące w zakres zarządzania bezpieczeństwem. 

PB: Wynika z tego, że w interesie każdej organizacji jest uświadomienie sobie skąd mogą płynąć zagrożenia oraz jak im zapobiegać. 

Tak, budowanie świadomości oraz właściwa prewencja są tutaj kluczowe. Zapraszamy do odwiedzenia naszej strony internetowej www.bsigroup.pl gdzie są zamieszczone nie tylko szerokie informacje na temat wspomnianych standardów ISO, bezpłatne materiały do pobrania ale również zaproszenia do uczestnictwa w konferencjach w tematyce ryzyka, ochrony bezpieczeństwa organizacji, których firma BSI jest gospodarzem nawet kilka razy do roku.