Informacijska sigurnost

Danas je vrijeme za vrijeme informacije – sva poslovna dokumentacija, ugovori s poslovnim partnerima, dokumentacija o poslovnim rezultatima, baze podataka, datoteke, aplikacijska, sistemski i komunikacijska programski oprema, razvojni alati, računalna, komunikacijska i tehnička oprema, korisničke upute, materijali za obrazovanje, planovi kontinuiteta poslovanja. Tu su i informacije o zaposlenicima, korisnicima, imidž naše tvrtke, informacije o uslugama.

Ukratko, informacije su danas najvrednija imovina svakoga poslovnog sustava, njegov intelektualni kapital. Procjenjuje se da predstavljaju 95 posto vrijednosti tvrtke. Kao svaka druga imovina, i informacija se odnosno informacijski sustav mora štititi na odgovarajući način.

Da bi se proveo postupak provjere sigurnosti informacijskog sustava, prvo moraju biti utvrđena pravila kojima se definira tko, što i kako će obavljati provjeru. Uz to, detaljno mora biti određen opseg, sastav i funkcija informacijskog sustava čiju se provjeru želi provesti. Također, postupak provjere, a kao posljedica tog postupka i donošenje odluke o stanju sigurnosti informacijskog sustava, treba biti općeprihvaćen – rekao nam je Zdenko Adelsberger, stručnjak s područja informacijske sigurnosti.

Objašnjava da je to razlog donošenja međunarodnih normi kojima se može postići relevantan efekt provjere. Najpoznatije norme za uspostavu i unapređenje sustava informacijske sigurnosti su ISO 17799 i ISO 27001. Dok je ISO 17799 skup preporuka i smjernica izrađen prema najboljoj praksi, ISO 27001 sadržava popis zahtjeva obaveznih za certifikaciju. Upravo ti zahtjevi određeni u normi ISO 27001 koriste se i za provjeru cijelog sustava informacijske sigurnosti. Naime, smatra se da je sustav informacijske sigurnosti funkcionalan na prihvatljivoj razini samo ako ste u stanju dokazati da ispunjavate sve zahtjeve koje određuje spomenuta norma. ISO 27001 je pripremljen tako da se odlično integrira s poslovnim procesima organizacije i već postojećim standardima ISO 9001 i ISO 14001 te kroz prizmu poslovne opravdanosti upravlja procesima informacijske sigurnosti u organizaciji.

Stanko Cerin iz tvrtke S&T-a, koja je nedavno organizirala Tjedan informacijske sigurnosti, dodaje da i domaće tvrtke sve više traže međunarodno certificirane stručnjake za sigurnost koji posjeduju certifikate: CISA (poziva područje revizije informacijskih sustava), CISM (poziva upravljanje informacijskom sigurnošću), CISSP te u novije vrijeme i CBCP. Upravljanje informacijskom sigurnošću pokriva CISM – Certified Information Security Manager, a CISSP (poziva niz domena, od kriptografije, telekomunikacija do fizičke sigurnosti) te CBCP certifikat za stručnjake orijentirane na osiguranje kontinuiteta poslovanja.

Kod svih tvrtki važnost problema informacijske sigurnosti određena je u prvom redu razinom svijesti top-menadžmenta – koliko je on svjestan problema, tolika je u pravilu razina svijesti i kod ostalih zaposlenika. Nakon što se razina svijesti o informacijskoj sigurnosti uspije podignuti na željenu razinu u cijeloj organizaciji, može se pristupiti i profesionalnim postupcima ostvarenja pojma informacijske sigurnosti u realnom životu tvrtke. Najčešća zabluda hrvatskih menadžera jest da je informacijska sigurnost isključivo tehnološki problem. No kada se govori o problematici informacijske sigurnosti, samo 20 posto otpada na tehnologiju i primjenu tehnoloških rješenja, a ostalih 80 posto vezano je uz organizacijsku sferu.

Ljudi zaduženi za informacijsku sigurnost moraju razumjeti strategiju i poslovne ciljeve organizacije, imati izražene komunikativne sposobnosti i biti stručni u području informacijske sigurnosti i tehnologija. Takvi su rijetki, a idealna pozicija u organizaciji im je na mjestu člana ili savjetnika uprave za sigurnost. Njihov je posao uspostaviti korporativni okvir i odgovornosti za upravljanje informacijskom sigurnošću temeljene na upravljanju rizicima i surađivati sa svim odjelima u organizaciji. Za to moraju imati punu potporu uprave. Sama tehnološka sigurnost bez primjerene organizacije i upravljanja redovito se može smatrati lošom investicijom i neopravdanim troškom – zaključio je Cerin.

Testirajte sigurnost svojeg sustava:

1. Jeste li sigurni da podatke o vašim kupcima i dobavljačima nitko ne može prenijeti vašoj konkurenciji?

2. Uvjereni ste da vam nitko ne upada u podatke koji su na vašim računalima i koristi ih za svoje potrebe?

3. Sigurni ste da su podaci koje ste unijeli u računala prije nekog vremena i sada isti, odnosno da ih nitko nije promijenio i neće bez vašeg znanja ili upotrijebiti u zlonamjerne svrhe?

4. Jest li sigurni da ćete u slučaju požara, krađe kompjutera ili fizičkog oštećenja moći nastaviti poslovanje u najkraćem prihvatljivom roku?

5. Znate li tko je u vašoj organizaciji odgovoran za sigurnost informacija na strateškoj, taktičkoj i operativnoj razini?

Ako nemate pozitivne odgovore na ova pitanja, vjerojatno trebate uspostaviti sustava za upravljanje informacijskom sigurnošću.