W dobie coraz powszechniejszego stosowania rozwi±zañ teleinformatycznych, jednym z kluczowych aspektów bezpieczeñstwa staje siê zabezpieczenie posiadanych informacji, które oprócz pracowników s± najwa¿niejszym zasobem spó³ki. Niejednokrotnie dostêp do informacji czy know-how decyduje o przewadze konkurencyjnej i pozycji przedsiêbiorstwa na rynku, a utrata danych mo¿e wi±zaæ siê ze stratami finansowymi, a w skrajnym przypadku tak¿e z sankcjami karnymi lub nawet upad³o¶ci±. Znajduje to swoje odzwierciedlenie w prowadzonym od dziesiêciu lat przez Ernst & Young niezale¿nym ¦wiatowym Badaniu Bezpieczeñstwa Informacji. W 2008 r. respondenci badania (mened¿erowie w ¶rednich i du¿ych przedsiêbiorstwach) pytani o swoje g³ówne obawy zwi±zane z utrat± posiadanych informacji, na pierwszym miejscu wymieniali kwestie bezpo¶rednio wp³ywaj±ce na konkurencyjno¶æ i przysz³o¶æ firmy, takie jak utrata dobrej reputacji (85 proc. wskazañ) czy utrata zaufania udzia³owców (77 proc. wskazañ). Tak¿e respondenci badania „Internal IT Threats In Europe 2006” firmy InfoWatch, pytani o swoje g³ówne obawy zwi±zane z utrat± posiadanych informacji, na pierwszym miejscu wymieniali kwestie bezpo¶rednio wp³ywaj±ce na konkurencyjno¶æ i przysz³o¶æ firmy.

Dlatego tak istotne jest podjêcie dzia³añ maj±cych na celu zapewnienie adekwatnej ochrony zasobów informacyjnych firmy. Podstawowym dzia³aniem jest tu wypracowanie zbioru podstawowych zasad ochrony informacji w przedsiêbiorstwie. Zasady te, stanowi±ce Politykê Bezpieczeñstwa Informacji (wytyczne, której okre¶lone s± w standardzie bezpieczeñstwa ISO 27001), wytyczaj± ramy poprawnych zachowañ w obszarze bezpieczeñstwa informacji. Przyk³adem takich zasad mog± byæ wytyczne dotycz±ce stosowania Polityki Czystego Biurka (ang. Clean Desk Policy), ochrony przed oprogramowaniem szkodliwym (np. wirusami komputerowymi), hase³ dostêpu czy postêpowania z elektronicznymi no¶nikami informacji (np. no¶niki USB). Nale¿y mieæ jednak na uwadze, ¿e nawet najlepsze zasady bezpieczeñstwa i wspieraj±ce je systemy kontroli bêd± praktycznie bezu¿yteczne, je¶li zabraknie elementu budowy ¶wiadomo¶ci bezpieczeñstwa w¶ród pracowników firmy.

O wadze kwestii ¶wiadomo¶ci bezpieczeñstwa mo¿e ¶wiadczyæ jedna z wypowiedzi Kevina Mitnicka, uznawanego za najs³ynniejszego hakera ¶wiata, który stwierdzi³ ³ama³em ludzi, nie has³a. Równie¿ z corocznego Badania Bezpieczeñstwa organizowanego przez CompTIA, opublikowanego w kwietniu 2009 r., wynika ¿e 48 proc. problemów zwi±zanych z bezpieczeñstwem informacji, które napotykaj± firmy, wynika z braku ¶wiadomo¶ci bezpieczeñstwa w¶ród pracowników.

Dlatego najprostszym sposobem podniesienia poziomu bezpieczeñstwa jest podjêcie dzia³añ w obszarze budowy ¶wiadomo¶ci, takich jak krótkie szkolenie z zakresu bezpieczeñstwa w ramach spotkania integracyjnego czy jawne wskazywanie po¿±danych wzorców zachowañ.

Zatem przed podjêciem decyzji o rozpoczêciu zakrojonych na szerok± skalê dzia³añ inwestycyjnych zwi±zanych z bezpieczeñstwem, zawsze warto zastanowiæ siê, czy zrobili¶my wystarczaj±co du¿o w obszarze budowania ¶wiadomo¶ci bezpieczeñstwa w¶ród pracowników. Dopiero wówczas, gdy bêdziemy mieæ takie przekonanie, przyjdzie czas na wdra¿anie zabezpieczeñ jak najlepiej adresuj±cych wymagania biznesowe spó³ki, przy jednoczesnym zapewnieniu racjonalno¶ci kosztu ich wdro¿enia i pó¼niejszego utrzymania. To w³a¶nie ta racjonalno¶æ biznesowa le¿y u podstaw sukcesu rynkowego wielu firm – pocz±wszy od ma³ych i ¶rednich przedsiêbiorstw, a skoñczywszy na globalnych korporacjach, takich jak Microsoft czy Apple, które jeszcze kilka lat temu rozpoczyna³y swoj± dzia³alno¶æ w przys³owiowym ju¿ „gara¿u”.

Autor: dr in¿. Miros³aw Ryba

Mened¿er, Dzia³ Doradztwa Biznesowego Ernst & Young