Sindrom princa Charlesa

Incidenti se često događaju zbog neupućenosti zaposlenika u sigurnosne procedure (skladištenje ili dijeljenje informacija) ili zbog niske razine informatičkog znanja.

Ako se nađete u situaciji da morate procijeniti isplativost uvođenja nekog segmenta informacijske sigurnosti, zapitajte se: ‘Koliko vrijedi moj ugled?’ Stvari će odmah postati mnogo jasnije jer IT sustavi tvrtki u kojima su pohranjeni svi njihovi podaci i informacije danas su izloženi sigurnosnim prijetnjama više nego ikada prije.

Informacijska sigurnost odgovornost je svakog zaposlenika, a uprava je ta koja odlučuje o sigurnosnoj politici i pripadajućem proračunu. Problem je što većina članova uprave i drugih izvršnih funkcija ne razumije na koje sve načine može biti ugrožena sigurnost tvrtke, kako ispravno reagirati u slučaju incidenta i kako se uopće skladište, kreću i štite informacije. Također, pogrešna je pretpostavka da se IT odjel može samostalno baviti sigurnošću jer je ona problem upravljanja, a samo je rijetko isključivo tehnički problem. Ovisno o veličini poduzeća potrebno je ili osnovati poseljan odjel specijalista informacijske sigurnosti koji razumije poslovne procese i prijetnje te na temelju procijenjenih rizika predlaže politike i procedure te služi kao poveznica između IT-a i uprave ili pak za iste potrebe angažirati specijaliziranu tvrtku čija je temeljna djelatnost informacijska sigurnost. Kako sigurnost ne bi bila sama sebi svrha, odnosno trošak, potrebno je dobro procijeniti rizike i odabrati prihvatljivu razinu rizika u odnosu na vrijednost informacijske imovine.

Sigurnosne prijetnje nisu samo tehničke prirode i ne vrebaju samo izvana. Najviše ih dolazi iz djelovanja organizacije, svjesnog ili nesvjesnog. U većini slučajeva zaposlenik sudjeluje u sigurnosnom incidentu. Najčešći razlog tome je neupućenost u sigurnosne procedure (skladištenje ili dijeljenje informacija) ili razina informatičkog znanja (neprimjereno korištenje informacijskim sustavom). Najčešći su primjeri pohrana informacija na javnim servisima ili nekriptiranim medijima za pohranu te otvaranje sadržaja iz sumnjivih poruka elektroničke pošte. Najgori oblik unutarnje prijetnje zlonamjerni je zaposlenik ili bivši zaposlenik kojem nisu ukinuta prava pristupa informacijskom sustavu. U posljednjih nekoliko godina sve je češća praksa uporaba privatnih uređaja u poslovne svrhe radi smanjenja troškova (BYOD). Kad takvi uređaji nisu upravljani i pravilno zaštićeni, izrazita su prijetnja informacijskom sustavu. Što se tiče vanjskih prijetnji na našim prostorima, u posljednje vrijeme bili smo svjedoci učestalih kibernetičkih napada u kojima se traži neka vrsta otkupnine (ransomware), koja i kad se plati ne jamči željeni rezultat. Makar je to incident izazvan vanjskom prijetnjom, u njemu često sudjeluje i zaposlenik jer se zločudni sadržaj distribuiru elektroničkom poštom. Posljedice se mogu podijeliti u dvije usko povezane skupine, kvalitativne i kvantitativne. Najboljša posljedica gubitak je reputacije, što sa sobom poteže slabljenje pozicije na tržištu. Tu su još krađa intelektualnog vlasništva, gubitak produktivnosti i prekid ili otežan rad informacijskog sustava. Kvantitativne su posljedice kolica izgubljenog novca zbog prekida rada servisa, gubitak povjerljivih podataka, tržišnog udjela i pojedinačnog klijenta ili poslovnog partnera.

Za početak potrebno je educirati zaposlenike o prijetnjama, kibernetičkim napadima i rizicima za poslovanje. To je ključna stvar u ostvarivanju ciljeva sigurnosne politike jer naročito bezazlona pogreška može velike investicije u tehnička rješenja učiniti uzaludnima, odnosno oslabiti njihovu razinu zaštite. Također je važna specijalistička obuka tehničkog osoblja koje upravlja sigurnosnim uređajima i softverom. Sljedeća je mjera konstruiranje sigurnosne politike na takav način da ne otežava obavljanje poslovnih procesa. To se postiže upravljanjem rizikom, koji treba identificirati ranjivosti u informacijskim sustavima organizacije i za rezultat dati razumne korake koji trebaju osigurati povjerljivost, cjelovitost i raspoloživost svih komponenti IT sustava organizacije. Upravljanje incidentima mora biti inteligentno i donekle automatizirano kako bi se informacijski sustav što prije vratio u operabilno stanje i gubici smanjili na najmanju moguću razinu. Glavni tehnički koraci, pri kojima Megatrend može pomoći, uključuju segmentaciju mreže na osnovi tehničko-sigurnosnih standarda, zaštitu prema internetu (Firewall, Antimalware, Antivirus, Antispam, Antibot, Internet Proxy, IPS/IDS, DLP ili UTM rješenja), zaštitu na ‘end-point’ uređajima (Antivirus, Host IDS, DLP…). Isto tako važne tehničke radnje su centralizacija podataka i aplikacija u podatkovni centar, uvođenje sigurnosnog centra (SIEM, log management, nadzor u realnom vremenu), implementacija rješenja za upravljanje mobilnim uređajima (MDM), redovno ažuriranje sigurnosnih definicija, nadogradnja verzija operativnih sustava i aplikacija te redovno ispitivanje ranjivosti sustava.

Ispitivanje ranjivosti mora uključivati pregled svih segmenata informacijskog sustava i pronalaženje ranjivosti u bilo kojem njegovom dijelu. Što se češće obavljaju takve provjere, to se više smanjuje mogućnost uspešnog napada na sustav, a i obvezne su za dobivanje sigurnosnih certifikata. Korištenjem infrastrukture javnih ključeva (PKI) također se podiže razina sigurnosti i pruža mogućnost enkripcije ili potpisivanja informacija.

Najtoplje preporučujem da osnivač dugo i dobro razmisli o tome kad će se povući iz operativnog poslovanja, kako će to učiniti te što će raditi poslije toga.

Na mlađima svijet ostaje, čim stariji donesu takvu odluku – davno je primijetio srpski pjesnik Duško Radović. U obiteljskim tvrtkama, kako vrijeme prolazi, i stariji i mlađi naraštaj postaje sve mlađi i mlađi. ‘Još nije zreo’, kratko je odgovorio živahni sedamdeset-petogodišnji osnivač na moje pažljivo postavljeno pitanje kad namjerava prepustiti operativno vođenje poduzeća svome pedesetogodišnjem sinu. Pitanje sam mu postavio u opuštenom ozračju u kojem smo nazdravljali rođenju unuka sina njegova nezreloga i vjerojatno je ta prigoda utjecala na to da ne bude grub poput jednoga svoga vršnjaka: ‘Ti me hoćeš ubiti, što hoćete, da umrem?! Kakve su to gluposti, planirati kad ćeš se povući?! Što da kažem: tog i tog dana više neću voditi ovo poduzeće? To je moj život!’

Sebično. Još netko ima pravo na svoj život. Svaki osnivač mora reći svome nasljedniku kad planira prestati operativno voditi tvrtku.

Ne samo da mislim nego sam siguran i najtoplje preporučujem da osnivač dugo i dobro razmisli o tome kad će se povući iz operativnog poslovanja, kako će to učiniti te što će raditi poslije toga; da kad bude pri kraju svojih promišljanja, sjedne i porazgovara s članovima sljedećeg naraštaja, ne jedanput, nego nekoliko puta, i da nakon toga zajedno donesu odluku. Hladne glave. Polako. Zašto?

Polazimo od pretpostavke da je nasljednik najprije želio obiteljsku tvrtku, a zatim se pripremao i radio u njoj. Nakon godina pripreme i rada postaje spreman stati na njezino čelo, voditi i preuzeti odgovornost za rezultate poslovanja. Prema osnivačevim visoko postavljenim mjerilima, koje je odredio gledajući se u ogledalo, a u njemu je vidio ono što su mu drugi govorili, nasljednici nikad neće biti dovoljno spremni. Pogotovo ako je u pitanju osnivača, u obitelji prepoznata kao majka.

Biološki nasljednici bit će u mnogim stvarima bolji od svojih roditelja, osnivača. Bolje će poznavati planiranje, budžetiranje, rad s ljudima… Mala je vjerojatnost da će biti bolji u onome što je osnivač najbolje radio, da će imati tako dobar i pronicljiv poduzetnički nos kao što su imali karizmatični osnivači. Vjerojatnije je da će pred nasljednicima biti izazov da budu na čelu kompaktnog tima koji će voditi tvrtku.

Poduzetnički duh i energija nužni su da bi se pokrenuo biznis. Da bi se biznis dalje razvijao, tvrtki treba obrazovani menadžer ili, ako baš hoćete i više volite, lider. Ali mora mu se pružiti prilika.