Iako su teoretski i praktični temelji upravljanja informacijskom sigurnošću postavljeni još tijekom Drugog svjetskog rata, pogreške koje se danas događaju u korporativnom upravljanju informacijskom sigurnošću gotovo da se mogu unificirano prepoznati i zatim sistematizirati u mnogim poslovnim subjektima. Generalno, ako govorimo o Republici Hrvatskoj, upravljanje informacijskom sigurnošću najbolje je organizirano u onim sektorima koji su pod direktnim utjecajem regulatora (HNB, Hanfa) ili predmetne regulative, dok je najlošije organizirano ukoliko ne postoji eksterna regulacija, nego je proces informacijske zaštite prepušten voluntarizmu Uprave. No, nemojmo misliti kako su te pogreške nešto inherentno “hrvatsko” – u svijetu se svakodnevno događaju sigurnosni propusti i problemi u korporacijama i organizacijama koje imaju ogroman promet i značaj u svojim branšama. Jednostavno, upravljanje informacijskom sigurnošću proces je koji ima značajnu stohastičku komponentu jer ovisi o angažmanu čovjeka koji počesto ima subjektivnu kvalitativnu karakteristiku, a takvi su sustavi inherentno visoko nestabilni.
Uočit ćete da se informacijskoj sigurnosti veća pažnja poklanja u onim privrednim granama u kojima su profitne marže izrazito visoke a vašoj mašti prepuštam razmišljanje zašto je to tako i da li je jedini uzrok činjenica da izdašnije reinvestiranje dobiti u sigurnost takvim organizacijama omogućuje postizanje viših stupnjeva organizacijske sigurnosti.
Recimo to jasno – apsolutno sigurni informacijski sustavi nisu postojali, ne postoje i nikada neće postojati. No, moguće je izraditi sustav koji u sebi ima ugrađene sve teorijske sastavnice informacijske sigurnosti, koji informacijsku sigurnost promatra kao proces a ne projekt koji ima svoj kraj te koji je sposoban učiti iz vlastitih propusta. Upravljanje sigurnošću informacijskog sustava naslanja se na upravljanje rizicima po taj isti sustav – samim time, ako se neke rizike po sustav mora prihvatiti, zato što je vjerojatnost njihove pojave mala i/ili trošak uklanjanja prevelik – rukovodstvo organizacije mora biti svjesno da je i sigurnost tako postavljenog sustava nužno korelirana s prihvaćenim rizicima i odabranim metodama za njihovo smanjenje.
Izložimo deset najčešćih pogrešaka koje se događaju pri upravljanju informacijskom sigurnošću u velikim korporacijama, s komentarom situacije u Republici Hrvatskoj.
- Upravljanje informacijskom sigurnošću povjereno je “bilo kome samo da u organigramu postoji ta funkcija”. Još je gore ako je se upravljanje korporativnom informacijskom sigurnošću povjeri odgovornome za informacijsko-telekomunikacijski sustav, jer je u tom slučaju ta osoba u poziciji vršiti kao CISO reviziju vlastitog posla kao CIO, što se ne bi trebalo dozvoliti i što nije u sukladnosti sa standardima koji se odnose na sustav upravljanja informacijskom sigurnošću
- Neke uprave nemaju apsolutno nikakav interes za postizanjem ciljeva informacijske sigurnosti, što minimalo otežava njihovo provođenje a u krajnjoj liniji dovodi do onoga nezamislivog, a to je da upravljanje informacijskom sigurnošću u korporaciji uopće ne postoji – u Hrvatskoj danas postoji poveći broj velikih organizacija i dioničkih društava koje uopće nemaju sustav upravljanja informacijskom sigurnošću. Posljedica takvog stava diseminira se hijerarhijski i na niže razine upravljanje, te samim time nema suradnje organizacijskih cjelina korporacije u postizanju ciljeva informacijske sigurnosti. Osnovni razlog ovakvog stava je u biti neobrazovanost i nesenzibiliziranost uprava za moderne poslovne funkcije ili tehnološka različitost temeljnog procesa korporacije u odnosu na informacijsku znanost. Iz tog razloga, MBA poslovni studiji trebali bi biti temeljni poslijediplomski edukacijski arsenal svim vršnim rukovoditeljima koji nemaju formalno obrazovanje iz ekonomije, metoda upravljanja, financija i informatike.
- Informacijska sigurnost percipira se isključivo kao trošak. Još je gore kada se čitava informatika i telekomunikacije doživljavaju troškom koji ne dodaje vrijednost temeljnoj proizvodnoj djelatnosti poduzeća. Ovome nimalo ne doprinose oni stručnjaci za informacijsku sigurnost koji ne znaju jasno artikulirati svoje proizvode kada ih pokušavaju plasirati unutar poduzeća i organizacija.
- Certifikacija po nekom od standarda koji se odnosi na informacijsku sigurnost. Iako je certificiranje vrhunsku dokaz da je neka organizacija praktično implementirala sustav upravljanja informacijskom sigurnošću, ukoliko uprava nije iskreno obvezala sebe politikom i svakodnevnom praksom za postizanjem ciljeva izloženih u politici informacijske sigurnosti, certifikacija će predstavljati paralelni sustav koji nema veze sa situacijskim stanjem u organizaciji i samim time, bit će percipirana kao trošak, čime u potpunosti ispunjava sve uvjete za “samoispunjavajuće proročanstvo”.
- Izostanak suradnje između instance odgovorne za provođenje informacijske sigurnosti i ostalih odjela ili organizacijskih cjelina ili troškovnih centara unutar poduzeća, najčešće zbog psiholoških otpora i percepcije funkcije CISO kao interne policije
- Neprovođenje sustava edukacije zaposlenika, od prvog dana zapošljavanje nadalje, u praktičnom provođenju informacijske sigurnosti. U mnogim poduzećima jedini dodir zaposlenika s informacijskom sigurnošću – prije nego počine neki propust, namjerno ili zbog neznanja – nemušta je i godinama prepisivana stavka u ugovoru o radu koja se odnosi na odavanje poslovne tajne. Druga česta pogreška je stav kako je jedan razgovor ili interno predavanje dovoljno – sustav upravljanja informacijskom sigurnošću konstantno se mijenja i stoga postoji stalna potreba za ponovljenim obrazovanjem i internim tečajevima. Uz ovo se usko vežu i temeljna pravila i politike korištenja korporativnog informacijskog i telekomunikacijskog sustava
- Uprave često ne shvaćaju kako je upravljanje informacijskom sigurnošću samo mali kotačić u upravljanju integralnom korporativnom sigurnošću. Naravno, rijetka su poduzeća u kojima je jedno uspješno postavljeno ukoliko drugo ne postoji, ili je neadekvatno postavljeno.
- Nažalost, prema dostupnim informacijama i razgovorima s voditeljima odjela informatike, CIO-ima i osobama odgovornim za informatiku i/ili informacijsku sigurnost, većina nefinancijskog i neinženjerskog sektora u Hrvatskoj, uključujući dobar dio državnih institucija, svoju aktivnost ne odvija u skladu s ciljevima oporavka od katastrofe i modernog upravljanja kontinuitetom poslovanja (Business Continuity and Disaster Planning). Uprave su neobrazovane po pitanju temeljne metodologije poslovnog kontinuiteta, smatraju da je to nepotreban trošak i oslanjaju se na statistički uzorak iz prošlosti koji govori o izostanku takvih događaja. Vezano uz ovo ide neadekvatna politika upravljanja rizicima po imovinu poduzeća – materijalnu i nematerijalnu. Tragično je što je situacija upravo obrnuta – naglasak na oporavak od katastrofe i temeljne odrednice upravljanja kontinuitetom poslovanja mogu se efikasno postaviti i bez velikih ulaganja, dok se preraspodjelom resursa unutar poduzeća mogu u značajnom opsegu postići njihovi ciljevi bez dodatnih ulaganja.
- Pri definiranju zadataka i dužnosti funkcije zadužene za upravljanje informacijskom sigurnošću ne postoji referentna lista traženih kompetencija jer je ta funkcija srazmjerno nova u našem realitetu. Nije jasno koje obrazovanje bi trebala imati ta osoba, koje certifikacije, kakvo je traženo iskustvo, koji su očekivani kompenzacijski paketi i prema kojim kriterijima se odlučuje da li se kadar za upravljanje informacijskom sigurnošću regrutira unutar organizacije ili se angažiraju vanjski konzultanti, iako oba principa imaju svoje mane i prednosti. Štoviše, kod formiranja nove poslovne funkcije, ne pazi se na to da bi informacijska sigurnost trebala biti visoko u korporativnoj stratifikaciji, već se vrlo često “gura” nisko, odakle niti po položaju niti po utjecaju, ne može previše utjecati na poslovne procese. To informacijsku sigurnost gura na margine poslovnih procesa u korporativnom okruženju.
- Vrlo često pažnja se poklanja isključivo tehničkom kontekstu. Tako se informacijska sigurnost poistovjećuje s mjerama tehničke zaštite informacijskih i telekomunikacijskih procesa unutar korporacija, koje po automatizmu uvode voditelji informatičkih odjela jer predstavljaju zdravorazumske mjere i svojevresni “best practice”, Informacijska sigurnost daleko je kompleksniji proces koji obuhvaća gotovo sve druge poslovne procese i mnoge ostale funkcije van strogog tehničkog konteksta.