Očuvanje povjerljivosti, integriteta i dostupnosti informacija

U AKD-u, jedinoj hrvatskoj tvrtki koja proizvodi dokumente, zaštićene tiskovine i pametne kartice, upravo je u tijeku primjena sustava za upravljanje informacijskom sigurnošću (ISMS) u skladu sa zahtjevima međunarodne norme ISO/IEC 27001:2005.

Smanjenje ili uklanjanje rizika kojima je izložena informacijska imovina tvrtki, unatoč već postojećoj visokoj razini informacijske sigurnosti, AKD definira kao temeljni kontekst uspješnog poslovanja i jednu od odrednica svojeg strateškog razvoja. U današnjem dinamičnom okružju i izazovima globalizacije informacija je ključni čimbenik poslovanja organizacije – ona je moć koju organizacija ima kao preduvjet ostvarenja ciljeva poslovanja i neizostavni je dio ostvarenja konkurentske prednosti. Kontinuitet poslovanja protkan je finim informacijskim tkanjem koje je temelj poslovnog odlučivanja na operativnim i strateškim razinama. U vremenu ubrzana razvoja informacijske tehnologije i globalne povezanosti informacija postaje sve vjednija imovina organizacije, a rizik narušavanja njezine povjerljivosti, integriteta i dostupnosti definira važan podskup ukupnog rizika kojem je organizacija izložena.

Informacijska sigurnost koja definira očuvanje povjerljivosti, integriteta i dostupnosti informacije postaje vrlo važna u svakoj industriji, bez obzira na vrstu proizvoda ili usluge koja se pruža. Neobvezni telefonski razgovor na javnome mjestu o ponudi koja je dostavljena kupcu može biti rizik jednak gubitku važnih nacrta novoga proizvoda ili osobnih podataka korisnika usluga. Otuđeno prijenosno računalo, nezaštićena komunikacija u sustavu elektroničke trgovine ili odbačeni medij za prijenos podataka mogu napraviti iznimno veliku izravnu i/ili neizravnu štetu poslovanju organizacije.

Vremena u kojima je tjelesna zaštita bila gotovo jedini način zaštite organizacije su za nama, upravo kao i paradigma razdvajanja načina zaštite. Integriranost svih načina zaštite imovine organizacije postaje nužnost i preduvjet uklanjanja ili smanjenja rizika kojima je organizacija izložena. Kad organizacija ima kontrolu pristupa, ali istodobno zaposlenici mogu neovlašteno instalirati programski kod na svoja računala ili ne rabe zaporke za prijavljivanje na informacijski sustav organizacije, tada kontrola pristupa ne može dati rezultat.

U razmatranju cjelokupnog sustava upravljanja informacijskom sigurnošću svaka organizacija mora identificirati informacijsku imovinu važnu za poslovanje, procijeniti rizike kojima je ta imovina izložena i u praksi primijeniti mjere za uklanjanje ili smanjenje rizika te osiguranje kontinuiteta poslovanja. Sve te aktivnosti proporcionalno povećavaju sposobnost preživljavanja organizacije u slučaju neželjenih situacija.

Na projektu razvoja novoga strateškog proizvoda u multinacionalnoj tvrtki u kojoj je razvoj uključivao više lokacija u svijetu, a kick-off sastanak bio događaj koji je uključivao više stotina članova projektnog tima, u procjeni rizika bili su i naizgled trivijalni elementi. Jedan od takvih bio je, primjerice, i razdvajanje tima od 40 ljudi u tri zrakoplova kako bi se spriječilo da eventualni pad bilo kojeg zrakoplova i gubitak trećine projektnoga tima ugrozi projekt. Bez obzira na to koliko ne želite misliti o posljedicama poput pada zrakoplova ili uzimajući u obzir malu vjerojatnost događaja, ta tvrtka nije htjela prihvatiti rizik. Jeste li spremni prihvatiti rizike poslovanja zatvaranjem očiju i sudjelovanjem u velikoj igri brojki koje definiraju vjerojatnost događaja? Na pitanje što je stvarnost, Phillip K. Dick odgovorio je sljedeće: ‘Stvarnost je sve što odbija nestati kad prestanem vjerovati u to.’ To svakako treba sagledati u kontekstu pogrešne percepcije da se neželjene posljedice uvijek događaju drugima jer je vjerovanje da ste nevidljivi kada zatvorite oči ipak dio jedne druge priče.

Unatoč vrlo visokoj razini informacijske sigurnosti, u Agenciji za komercijalnu djelatnost d.o.o. ne zatvaramo oči pred rizicima, posebice stoga što smo jedina tvrtka u Hrvatskoj koja proizvodi visokozaštićene tiskovine, pametne kartice i sve osobne dokumente građana Republike Hrvatske.

AKD je prepoznao potrebu i za formalnim certificiranjem sustava za upravljanje informacijskom sigurnošću (ISMS) u skladu s međunarodnom normom ISO/IEC 27001:2005. U suradnji s certifikatorskom kućom Bureau Veritas u AKD-u su osposobljena dva vodeća ISMS auditora za navedenu normu, a i intenzivno se radi na primjeni sustava čije se certificiranje planira u veljači 2007. godine. Uspoređno s tim aktivnostima, pogon za proizvodnju pametnih kartica dodatno će se certificirati u skladu s EMV-ovim (Europay Mastercard Visa) standardom za proizvodnju bankarskih pametnih kartica, čime će AKD postati uistinu siguran izvor pametnih rješenja.