Realno stanje informacijske i integralne sigurnosti

April 18, 2009 // Posted in ICT sigurnost  

Mediji su prepuni izvješća o konferencijama koje se bave informacijskom i integralnom sigurnošću, sve je više tvrtki koje se bave certifikacijom sustava upravljanja informacijskom sigurnošću i konzultanata koji potpomažu uvođenje tehničkih rješenja sustava informacijske zaštite.

Priča se o tome kako je informacijska sigurnost condition sine qua non modernog poslovanja a posebno se kao svijetao primjer ističe financijski sektor, unutar kojega je zahvaljujući formalnim i zakonskim zahtjevima regulatora ta tematika osobito striktno regulirana.

Međutim, kada se siđe u “rovove” i pogleda kakvo je stanje na terenu, posve je moguće da direktno s ceste uđete u backoffice na katu poslovne zgrade jedne od po aktivi najvećih hrvatske banaka bez ikakve provjere - iako u prizemlju postoji prijamni dio s prostorom za smještaj zaštitara, koji stoji prazan “zbog štednje i recesije”.

Nakon toga, može se dogoditi da vam osobni bankar isplati novac logiran na računalni sustav s korisničkim imenom i lozinkom svog kolege, “pošto je smjena upravo sada, kolega kasni par minuta, a on ne bi smio isplatiti novac pod svojim imenom iza 13.30h”.

U drugoj banci koja za razliku od ove prve ima uveden germansko-anglosaksonski sustav  ”stand up” poslovanja gdje službenik dočekuje klijenta stojeći, uredski prostor organiziran je tako da u prizemlju jednostavno nema prostora za zaštitara, nego je on smješten na prvi kat, gdje se nalazi backoffice, te uopće nema pregled ulaza, niti mogućnost blokade međuprostora. Vjerojatni razlog je opet famozna ušteda, kojoj je bankovni sektor jako sklon ukoliko se ne radi o apsolutnoj nužnosti koju pod prijetnjom kazne propisuje regulator.

Nakon toga moguće je da odete u mjenjačnicu desetak kilometara dalje gdje će vas službenica, pošto radite transakciju koja uključuje nešto veću količinu novca, odmah prijateljski pozvati u štićeni dio prostora, gdje sjedi i ona, te ćete unutra i dovršiti transakciju - pošto je zbog štednje i skučenosti dio s fizičkom zaštitom izveden neadekvatno i službenica nema mogućnost zaključati vrata električnim putem iza klijenta koji je ušao u prostor.

Naravno, mjenjačnica se diči naljepnicom jedne od najvećih hrvatskih tvrtki koje pružaju uslugu fizičko-tehničke zaštite i ima standardni alarm sa žutom rotacijom iznad ulaznih vrata, čak je i uredno stavljena naljepnica noćnog nadzora - no nitko se nije potrudio reći službenici da ne poziva klijente u prostor gdje se nalazi i ona sama i sef!

U nastavku priče, službenica će izvaditi pohabanu bilježnicu i u nju kemijskom olovkom zapisati vaše ime i prezime, adresu, broj telefona te broj osobne iskaznice i JMBG, čime će u biti nesvjesno prikupljati podatke svojih klijenata bez ikakve formalne privole. Naravno, to se čini ručnim putem, jer u programu za mjenjačnicu nije predviđena takva funkcionalnost, a i da je, osobnim podacima klijenata trebalo bi upravljati na sustavan način, od strane za to obučene i ovlaštene osobe, u skladu sa zakonskim propisima te međusobnim ugovorom sklopljenim između klijenta i mjenjačnice.

Sve navedeno može se dogoditi - i dogodilo se jučer - u roku od sat vremena.

Kao što se može zaključiti, informacijska i opća sigurnost procesi su koji samo dijelom ovise o velikim ulaganjima, investicijama i certificiranju, iako se upravo certificiranje često promiče kao rješenje za sve probleme informacijske sigurnosti unutar organizacije. Prava je istina kako certifikacijska revizija traje nekoliko dana a poslovni se proces često odvija i 365 dana u godini i obavljaju ga mahom ljudi, sa svim svojim subjektivnim karakteristikama koje donose u taj isti poslovni proces.

Kao što se vidi na površnom primjeru “naše” (među najvećima) banke, certifikacija nije dovoljna, baš kao što i u malom sustavu poput mjenjačnice, često nastaju proceduralne i organizacijske pogreške koje kompromitiraju integralnu sigurnost sustava.

Za ovo su djelomično krivi i tehnički konzultanti  i certifikacijski konzultanti koji često uljepšavaju istinu kako se ne bi zamjerili klijentu, umjesto da profesionalno odrade svoj dio posla i ukažu na nedostatke usvojenih modela i obrazaca ponašanja, pa čak i po cijenu privremenog neslaganja s klijentom. Svaki profesionalni klijent u tom slučaju neće konzultantu zamjeriti iskrenost i istinu, nego će shvatiti da ima istinskog partnera uz sebe - a svaki profesionalac trebao bi biti u poziciji birati i klijenta za kojega će raditi te odbiti posao ako se kosi s pravilima i kodeksom pripadajuće struke.

This entry was posted on April 18, 2009 at 11:44 am and is filed under ICT sigurnost. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply (name & email required)

You must be logged in to post a comment.