Iako su teoretski i praktiÄni temelji upravljanja informacijskom sigurnošću postavljeni joÅ¡ tijekom Drugog svjetskog rata, pogreÅ¡ke koje se danas dogaÄ‘aju u korporativnom upravljanju informacijskom sigurnošću gotovo da se mogu unificirano prepoznati i zatim sistematizirati u mnogim poslovnim subjektima. Generalno, ako govorimo o Republici Hrvatskoj, upravljanje informacijskom sigurnošću najbolje je organizirano u onim sektorima koji su pod direktnim utjecajem regulatora (HNB, Hanfa) ili predmetne regulative, dok je najloÅ¡ije organizirano ukoliko ne postoji eksterna regulacija, nego je proces informacijske zaÅ¡tite prepuÅ¡ten voluntarizmu Uprave. No, nemojmo misliti kako su te pogreÅ¡ke neÅ¡to inherentno “hrvatsko” – u svijetu se svakodnevno dogaÄ‘aju sigurnosni propusti i problemi u korporacijama i organizacijama koje imaju ogroman promet i znaÄaj u svojim branÅ¡ama. Jednostavno, upravljanje informacijskom sigurnošću proces je koji ima znaÄajnu stohastiÄku komponentu jer ovisi o angažmanu Äovjeka koji poÄesto ima subjektivnu kvalitativnu karakteristiku, a takvi su sustavi inherentno visoko nestabilni.
UoÄit ćete da se informacijskoj sigurnosti veća pažnja poklanja u onim privrednim granama u kojima su profitne marže izrazito visoke a vaÅ¡oj maÅ¡ti prepuÅ¡tam razmiÅ¡ljanje zaÅ¡to je to tako i da li je jedini uzrok Äinjenica da izdaÅ¡nije reinvestiranje dobiti u sigurnost takvim organizacijama omogućuje postizanje viÅ¡ih stupnjeva organizacijske sigurnosti.
Recimo to jasno – apsolutno sigurni informacijski sustavi nisu postojali, ne postoje i nikada neće postojati. No, moguće je izraditi sustav koji u sebi ima ugraÄ‘ene sve teorijske sastavnice informacijske sigurnosti, koji informacijsku sigurnost promatra kao proces a ne projekt koji ima svoj kraj te koji je sposoban uÄiti iz vlastitih propusta. Upravljanje sigurnošću informacijskog sustava naslanja se na upravljanje rizicima po taj isti sustav – samim time, ako se neke rizike po sustav mora prihvatiti, zato Å¡to je vjerojatnost njihove pojave mala i/ili troÅ¡ak uklanjanja prevelik – rukovodstvo organizacije mora biti svjesno da je i sigurnost tako postavljenog sustava nužno korelirana s prihvaćenim rizicima i odabranim metodama za njihovo smanjenje.
Izložimo deset najÄešćih pogreÅ¡aka koje se dogaÄ‘aju pri upravljanju informacijskom sigurnošću u velikim korporacijama, s komentarom situacije u Republici Hrvatskoj.
- Upravljanje informacijskom sigurnošću povjereno je “bilo kome samo da u organigramu postoji ta funkcija”. JoÅ¡ je gore ako je se upravljanje korporativnom informacijskom sigurnošću povjeri odgovornome za informacijsko-telekomunikacijski sustav, jer je u tom sluÄaju ta osoba u poziciji vrÅ¡iti kao CISO reviziju vlastitog posla kao CIO, Å¡to se ne bi trebalo dozvoliti i Å¡to nije u sukladnosti sa standardima koji se odnose na sustav upravljanja informacijskom sigurnošću
- Neke uprave nemaju apsolutno nikakav interes za postizanjem ciljeva informacijske sigurnosti, Å¡to minimalo otežava njihovo provoÄ‘enje a u krajnjoj liniji dovodi do onoga nezamislivog, a to je da upravljanje informacijskom sigurnošću u korporaciji uopće ne postoji – u Hrvatskoj danas postoji poveći broj velikih organizacija i dioniÄkih druÅ¡tava koje uopće nemaju sustav upravljanja informacijskom sigurnošću. Posljedica takvog stava diseminira se hijerarhijski i na niže razine upravljanje, te samim time nema suradnje organizacijskih cjelina korporacije u postizanju ciljeva informacijske sigurnosti. Osnovni razlog ovakvog stava je u biti neobrazovanost i nesenzibiliziranost uprava za moderne poslovne funkcije ili tehnoloÅ¡ka razliÄitost temeljnog procesa korporacije u odnosu na informacijsku znanost. Iz tog razloga, MBA poslovni studiji trebali bi biti temeljni poslijediplomski edukacijski arsenal svim vrÅ¡nim rukovoditeljima koji nemaju formalno obrazovanje iz ekonomije, metoda upravljanja, financija i informatike.
- Informacijska sigurnost percipira se iskljuÄivo kao troÅ¡ak. JoÅ¡ je gore kada se Äitava informatika i telekomunikacije doživljavaju troÅ¡kom koji ne dodaje vrijednost temeljnoj proizvodnoj djelatnosti poduzeća. Ovome nimalo ne doprinose oni struÄnjaci za informacijsku sigurnost koji ne znaju jasno artikulirati svoje proizvode kada ih pokuÅ¡avaju plasirati unutar poduzeća i organizacija.
- Certifikacija po nekom od standarda koji se odnosi na informacijsku sigurnost. Iako je certificiranje vrhunsku dokaz da je neka organizacija praktiÄno implementirala sustav upravljanja informacijskom sigurnošću, ukoliko uprava nije iskreno obvezala sebe politikom i svakodnevnom praksom za postizanjem ciljeva izloženih u politici informacijske sigurnosti, certifikacija će predstavljati paralelni sustav koji nema veze sa situacijskim stanjem u organizaciji i samim time, bit će percipirana kao troÅ¡ak, Äime u potpunosti ispunjava sve uvjete za “samoispunjavajuće proroÄanstvo”.
- Izostanak suradnje izmeÄ‘u instance odgovorne za provoÄ‘enje informacijske sigurnosti i ostalih odjela ili organizacijskih cjelina ili troÅ¡kovnih centara unutar poduzeća, najÄešće zbog psiholoÅ¡kih otpora i percepcije funkcije CISO kao interne policije
- NeprovoÄ‘enje sustava edukacije zaposlenika, od prvog dana zapoÅ¡ljavanje nadalje, u praktiÄnom provoÄ‘enju informacijske sigurnosti. U mnogim poduzećima jedini dodir zaposlenika s informacijskom sigurnošću – prije nego poÄine neki propust, namjerno ili zbog neznanja – nemuÅ¡ta je i godinama prepisivana stavka u ugovoru o radu koja se odnosi na odavanje poslovne tajne. Druga Äesta pogreÅ¡ka je stav kako je jedan razgovor ili interno predavanje dovoljno – sustav upravljanja informacijskom sigurnošću konstantno se mijenja i stoga postoji stalna potreba za ponovljenim obrazovanjem i internim teÄajevima. Uz ovo se usko vežu i temeljna pravila i politike koriÅ¡tenja korporativnog informacijskog i telekomunikacijskog sustava
- Uprave Äesto ne shvaćaju kako je upravljanje informacijskom sigurnošću samo mali kotaÄić u upravljanju integralnom korporativnom sigurnošću. Naravno, rijetka su poduzeća u kojima je jedno uspjeÅ¡no postavljeno ukoliko drugo ne postoji, ili je neadekvatno postavljeno.
- Nažalost, prema dostupnim informacijama i razgovorima s voditeljima odjela informatike, CIO-ima i osobama odgovornim za informatiku i/ili informacijsku sigurnost, većina nefinancijskog i neinženjerskog sektora u Hrvatskoj, ukljuÄujući dobar dio državnih institucija, svoju aktivnost ne odvija u skladu s ciljevima oporavka od katastrofe i modernog upravljanja kontinuitetom poslovanja (Business Continuity and Disaster Planning). Uprave su neobrazovane po pitanju temeljne metodologije poslovnog kontinuiteta, smatraju da je to nepotreban troÅ¡ak i oslanjaju se na statistiÄki uzorak iz proÅ¡losti koji govori o izostanku takvih dogaÄ‘aja. Vezano uz ovo ide neadekvatna politika upravljanja rizicima po imovinu poduzeća – materijalnu i nematerijalnu. TragiÄno je Å¡to je situacija upravo obrnuta – naglasak na oporavak od katastrofe i temeljne odrednice upravljanja kontinuitetom poslovanja mogu se efikasno postaviti i bez velikih ulaganja, dok se preraspodjelom resursa unutar poduzeća mogu u znaÄajnom opsegu postići njihovi ciljevi bez dodatnih ulaganja.
- Pri definiranju zadataka i dužnosti funkcije zadužene za upravljanje informacijskom sigurnošću ne postoji referentna lista traženih kompetencija jer je ta funkcija srazmjerno nova u naÅ¡em realitetu. Nije jasno koje obrazovanje bi trebala imati ta osoba, koje certifikacije, kakvo je traženo iskustvo, koji su oÄekivani kompenzacijski paketi i prema kojim kriterijima se odluÄuje da li se kadar za upravljanje informacijskom sigurnošću regrutira unutar organizacije ili se angažiraju vanjski konzultanti, iako oba principa imaju svoje mane i prednosti. Å toviÅ¡e, kod formiranja nove poslovne funkcije, ne pazi se na to da bi informacijska sigurnost trebala biti visoko u korporativnoj stratifikaciji, već se vrlo Äesto “gura” nisko, odakle niti po položaju niti po utjecaju, ne može previÅ¡e utjecati na poslovne procese. To informacijsku sigurnost gura na margine poslovnih procesa u korporativnom okruženju.
- Vrlo Äesto pažnja se poklanja iskljuÄivo tehniÄkom kontekstu. Tako se informacijska sigurnost poistovjećuje s mjerama tehniÄke zaÅ¡tite informacijskih i telekomunikacijskih procesa unutar korporacija, koje po automatizmu uvode voditelji informatiÄkih odjela jer predstavljaju zdravorazumske mjere i svojevresni “best practice”, Informacijska sigurnost daleko je kompleksniji proces koji obuhvaća gotovo sve druge poslovne procese i mnoge ostale funkcije van strogog tehniÄkog konteksta.