Budowanie SZBI

System zarządzania bezpieczeństwem informacji cz. IV

System zarządzania bezpieczeństwem informacji – Cele bezpieczeństwa informacji.

Jeżeli w wyniku przeprowadzonej analizy ryzyka lub własnej inicjatywy zdecydowaliśmy się wdrożyć działania na rzecz bezpieczeństwa informacji powinniśmy określić czemu takie działania mają służyć. Innymi słowy wyznaczyć cele bezpieczeństwa odpowiadając sobie na pytanie co poprzez planowaną politykę, procedurę, plan postępowania itp. chcemy osiągnąć. Żeby było ciekawiej powinniśmy wyznaczyć osoby oraz przypisać im role, odpowiedzialność i uprawnienia w odniesieniu do podejmowanych działań. Jednak najtrudniejszym etapem jest określenie w jaki sposób będziemy oceniać ich wyniki. Pod uwagę musimy wziąć skuteczność oraz efektywność nie zapominając w tym wszystkim o zdrowym rozsądku i zasobności naszego portfela.

Cele

Gdyby zadać pytanie, w jakim celu organizacje tworzą polityki bezpieczeństwa, pewnie w większości odpowiedź byłaby zbliżona – „bo trzeba mieć”. Być może jakaś cześć z tych organizacji odpowiedziałaby, że chce „usankcjonować i zorganizować przetwarzanie informacji”. Nieliczni wskazaliby „konieczność zabezpieczenia konkretnego obszaru przetwarzania”. Na pewnym poziomie szczegółowości odpowiedzi wydają się normalne ale czy to rzeczywiście określa nam cel? Niestety większość osób zakorzeniona jeszcze w starych przepisach o ochronie danych osobowych trzyma się kurczowo polityk rekomendowanych przez ówczesne GIODO. To błąd przynajmniej z dwóch powodów. Po pierwsze podejście „kopiuj-wklej” spłyca podejście do bezpieczeństwa informacji nie obejmując swoim zakresem niektórych aspektów. Po drugie próżno tam doszukiwać się jakiegoś celu – wymagana procedura musi być i już. W takim razie jak prawidłowo określić cel? Cel powinien wynikać z potrzeby i być na tyle precyzyjny aby można było go w jakiś sposób zmierzyć. Mierzenie nie jest to obligatoryjne, ponieważ nie zawsze się da coś zmierzyć lub jest to mało wymierne. Jednak jak powie każdy specjalista od zarządzania: „jeżeli nie możesz czegoś zmierzyć nie możesz tym zarządzać”. A cel powinien być również zarządzalny to znaczy podatny (w dobrym tego słowa znaczeniu) na zmiany. Dla przykładu: „obsługa incydentów w określonym czasie”.

Zasoby

Zacznijmy od najważniejszego zasobu jakim jest człowiek. Zwykle procedury zawierają informacje kto jest za nie odpowiedzialny. Natomiast co ta odpowiedzialność w zasadzie oznacza, pozostaje niedookreślone. Czy ta osoba odpowiedzialna jest za treść procedury, za zatwierdzanie, za wdrożenie, za przegląd, za informowanie o nieprawidłowościach a może jeszcze za coś bliżej niesprecyzowanego? Przecież za wszystko odpowiedzialnym być nie można. W związku z tym powinniśmy określić jakie osoby powinny być zaangażowane w działania opisywane w procedurze. Co więcej, jak wspomina norma ISO 27001: „Organizacja powinna ustanowić cele bezpieczeństwa informacji dla wszystkich funkcji i szczebli”. Jednak człowiek bez odpowiedniego wsparcia nie zawsze jest sam w stanie sobie poradzić z realizacją wyznaczonych zadań. Pal sześć jeżeli musimy np. wykonywać pomiary temperatury co parę godzin. Zawsze możemy oddelegować kogoś odpowiedniego do przeprowadzania odczytów. Natomiast dużym wyzwaniem dla organizacji może być konieczność monitorowania aktywności pracownika. Bez dedykowanych rozwiązań informatycznych to się po prostu nie może udać. Organizacje powinny zapewniać odpowiednie technologie, systemy i narzędzia, które wspomogą gromadzenie, monitorowanie i raportowanie. W naszym przypadku będzie to system ticketowy.

Wyniki

Organizacja powinna ciągle doskonalić przydatność, adekwatność i skuteczność systemu zarządzania bezpieczeństwem informacji. Aby coś doskonalić najpierw trzeba ustanowić punkt wyjścia, do którego będziemy porównywać kolejne wyniki. W przypadku celów bezpieczeństwa powinniśmy skupić się na skuteczności. Wedle wielu definicji skuteczność to po prostu wymierny wynik. Aby taki wymierny wynik otrzymać powinniśmy okresowo przeprowadzać ocenę rezultatów naszych działań. Norma wskazuje nam trzy możliwości oceny, poprzez: monitorowanie i mierzenie, audyt wewnętrzny i przegląd zarządzania. Każda z tych metod powinna w pewnym stopniu dać nam odpowiedź o poziomie ich realizacji. Problem polega na tym, że audyt wewnętrzny jest za bardzo rozciągnięty w czasie a przegląd zarządzania wykonuje się stosunkowo rzadko. Co prawda, prędzej czy później otrzymamy oczekiwane wyniki ale poleganie jedynie na tych metodach nie będzie efektywne. Najbardziej efektywną opcją są pomiary. Dlatego na etapie przygotowania procedur powinniśmy dobrać takie mierniki, które pozwolą nam oszacować skuteczność przyjętych rozwiązań. Nie zaszkodzi również wskazać źródła danych jak i sposób na ich obliczenie. Pamiętajmy, że wybrany algorytm musi gwarantować porównywalność i powtarzalność. Na koniec należy wyznaczyć kryteria oceny wyników. Jeżeli za miernik przyjęliśmy „obsługę incydentów w określonym czasie”, powinniśmy wskazać jaki poziom rozwiązanych spraw pozwoli nam uznać, że cel został osiągnięty.

Samokrytyka

Posiadając wiedze, jak określać cele bezpieczeństwa i w jaki sposób planować ich osiągnięcie zajrzyjcie do własnych dokumentacji. Zastanówcie się czy ów procedury są zrobione „na sztukę” i czy spełniają potrzebę waszą lub organizacji. Czy wyznaczają jakiś cel, jak te cele zostały sformułowane i czy da się je jakoś zmierzyć. Czy wyznaczyliście odpowiedni personel do wdrożenia i utrzymania oraz przy okazji czy został on wyposażony w niezbędne zasoby. Jeżeli nic nie wzbudziło waszego niepokoju, możecie być spokojni o wasz system zarządzania bezpieczeństwem informacji.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.