Sigurnost u rukama menadžera

Uvriježeno je mišljenje da je informacijska sigurnost posao za IT odjel i da tu priča završava. To je, smatraju stručnjaci, pogrešno jer, ako se doista želi zaštititi informacije, uprava se mora uključiti u taj proces.

Informacijska i informatička sigurnost danas postaju ključne u liniji korporativne sigurnosti. No njih ipak treba razlikovati kako bi se bolje ustrojio sustav sigurnosti. Tako je informacijska sigurnost širi pojam i bavi se zaštitom informacija, što uključuje informacije i u digitalnom i u papirnatom obliku. Iako će se mnogima činiti drukčije, stručnjaci kažu da su dokumenti upravo u papirnatu obliku često vrlo osjetljivi.

Zaštita informacija dijeli se u tri segmenta: od neovlaštenog dostupa (štitimo povjerljivost), od uništenja (štitimo dostupnost) te od neovlaštenih promjene (štitimo integritet).

Opasnost vreba sa svih strana. Strah od unutarnjeg i/ili vanjskog neprijatelja s nekadašnjeg političkog danas se prebacio na korporativno područje. Napadači će uglavnom doći izvana, a nove komunikacijske tehnologije (internet) omogućavaju im da to učine kako iz Zagreba tako i iz Kine. Međutim, iako u manjem broju, najteži napadi doći će, zapravo, iznutra, od onih koji jako dobro poznavaju situaciju. Jedina opasnost koju je vrlo teško predvidjeti i nešto planirati, iako se i tu može organizirati zaštita, jest opasnost od više sile poput potresa, poplava, kvarova na informatičkoj opremi i sl.

Industrijska špijunaža i razni oblici manipulacije današnja su realnost. Uz pomoć računala može se napraviti što god se poželi. Kao što kaže poznati IT stručnjak Ivica Ostojić, u svijetu nula i jedinica postoji uzrečica ‘samo nebo je granica’, u pozitivnom, ali i u negativnom smislu. Informatička je tehnologija, pak, danas toliko napredovala u odnosu na prije 15 godina da su promjene drastične. Danas je IT mnogo složeniji i uvukao se gotovo u svaku poru društva, a da toga uglavnom nismo svjesni. Današnjim svijetom u pravilu upravljuju računala, a ljudi ih zasad još koliko-toliko uspjevaju nadgledati.

Ovisnost o tehnologiji opasno je velika, s tendencijom pogoršanja, što ipak treba shvatiti kao realnost. Zato su i tvrtke, ali i svakodnevni život, mnogo ugroženiji nego prije 15 godina. U prilog tome govore i podaci da je IT kriminal danas broj 1 u svijetu i da je od 2005. godine postao unosniji od trgovine narkoticima i fizičkog kriminala zajedno – kaže Ostojić.

Prijve svega treba uzeti u obzir da je srce svake tvrtke danas upravo njegov IT. S obzirom na to da podatak doveden u korelaciju s drugim podatkom čini informaciju, ljudi na osnovi informacija donose određene odluke, odnosno pokreću određeni slijed događaja.

Promijene li se podaci ‘u letu’ i donesu odluke na osnovi netočnih podataka, odnosno informacija, posljedice mogu biti vrlo teške.

Eskalacija problema očita je u cijelom svijetu, a ne samo u zemljama u tranziciji. Problem je u tome što se sigurnost mora primarno procesno obraditi, a tehnologija je samo sredstvo izvršenja koje treba primijeniti sukladno uspostavljenim procesima. Nažalost, tek malo klijenata to razumije, a kad se pogrešno postave temelji, teško je graditi dalje. Prije ili poslije dolazi do urušavanja – kaže Ostojić. Mogućnost zaštite od napada postoji, ali kao što kaže Ostojić, nema stopotstne sigurnosti. Ali dovesti razinu sigurnosti na prihvatljivu razinu moguće je i ulaganja nisu toliko velika kao što to većina ljudi misli. U Hrvatskoj ulaganje u zaštitu varira, čak i unutar sektora, od onih koji nisu uložili gotovo ništa do onih koji su u svjetskom vrhu. Najdalje su, dojam je, otišle veće banke koje su uistinu uložile mnogo truda, znanja i novca u osiguranje IT infrastrukture. Ali da bi to imalo efekta, upozorava Ostojić, iznimno je važno ulagati u razvoj ljudskih potencijala na tom području. Izreka ‘znanje je moć’ danas je istinita više no ikad, pogotovo primijenimo li je na području informacijske i informatičke sigurnosti.

No, uloga menadžmenta tu je najvažnija. Uvriježeno je mišljenje da je informacijska sigurnost posao za IT odjel i da tu priča završava. To je, smatraju stručnjaci, pogrešno jer, ako se doista želi zaštititi informacije, uprava se mora uključiti u taj proces.

Razlog je vrlo jednostavan; zaštitna informacija organizacijsko je pitanje, mora se odrediti tko je za što odgovoran, koja se razina sigurnosti želi postići, koliki je proračun, rokovi i sl. Na ta pitanja može odgovoriti samo uprava.

Budućnost je vrlo izgledna i očekuje nas daljnja eskalacija. Razlog je jednostavan. Kriminal se mnogo brže prilagođava novim uvjetima nego legitimni poslovi. Tako je uvijek bilo, a IT nipošto pritom neće biti iznimka. Međutim, postoje načini koji izloženost mogu uvelike smanjiti. Treba samo imati volju i početi rješavati probleme – zaključuje Ostojić.