Mediji su prepuni izvješća o konferencijama koje se bave informacijskom i integralnom sigurnošću, sve je više tvrtki koje se bave certifikacijom sustava upravljanja informacijskom sigurnošću i konzultanata koji potpomažu uvođenje tehničkih rješenja sustava informacijske zaštite.

Priča se o tome kako je informacijska sigurnost condition sine qua non modernog poslovanja a posebno se kao svijetao primjer ističe financijski sektor, unutar kojega je zahvaljujući formalnim i zakonskim zahtjevima regulatora ta tematika osobito striktno regulirana.

MeÄ‘utim, kada se siÄ‘e u “rovove” i pogleda kakvo je stanje na terenu, posve je moguće da direktno s ceste uÄ‘ete u backoffice na katu poslovne zgrade jedne od po aktivi najvećih hrvatske banaka bez ikakve provjere – iako u prizemlju postoji prijamni dio s prostorom za smjeÅ¡taj zaÅ¡titara, koji stoji prazan “zbog Å¡tednje i recesije”.

Nakon toga, može se dogoditi da vam osobni bankar isplati novac logiran na računalni sustav s korisničkim imenom i lozinkom svog kolege, “poÅ¡to je smjena upravo sada, kolega kasni par minuta, a on ne bi smio isplatiti novac pod svojim imenom iza 13.30h”.

U drugoj banci koja za razliku od ove prve ima uveden germansko-anglosaksonski sustav  “stand up” poslovanja gdje službenik dočekuje klijenta stojeći, uredski prostor organiziran je tako da u prizemlju jednostavno nema prostora za zaÅ¡titara, nego je on smjeÅ¡ten na prvi kat, gdje se nalazi backoffice, te uopće nema pregled ulaza, niti mogućnost blokade meÄ‘uprostora. Vjerojatni razlog je opet famozna uÅ¡teda, kojoj je bankovni sektor jako sklon ukoliko se ne radi o apsolutnoj nužnosti koju pod prijetnjom kazne propisuje regulator.

Nakon toga moguće je da odete u mjenjačnicu desetak kilometara dalje gdje će vas službenica, poÅ¡to radite transakciju koja uključuje neÅ¡to veću količinu novca, odmah prijateljski pozvati u Å¡tićeni dio prostora, gdje sjedi i ona, te ćete unutra i dovrÅ¡iti transakciju – poÅ¡to je zbog Å¡tednje i skučenosti dio s fizičkom zaÅ¡titom izveden neadekvatno i službenica nema mogućnost zaključati vrata električnim putem iza klijenta koji je uÅ¡ao u prostor.

Naravno, mjenjačnica se diči naljepnicom jedne od najvećih hrvatskih tvrtki koje pružaju uslugu fizičko-tehničke zaÅ¡tite i ima standardni alarm sa žutom rotacijom iznad ulaznih vrata, čak je i uredno stavljena naljepnica noćnog nadzora – no nitko se nije potrudio reći službenici da ne poziva klijente u prostor gdje se nalazi i ona sama i sef!

U nastavku priče, službenica će izvaditi pohabanu bilježnicu i u nju kemijskom olovkom zapisati vaše ime i prezime, adresu, broj telefona te broj osobne iskaznice i JMBG, čime će u biti nesvjesno prikupljati podatke svojih klijenata bez ikakve formalne privole. Naravno, to se čini ručnim putem, jer u programu za mjenjačnicu nije predviđena takva funkcionalnost, a i da je, osobnim podacima klijenata trebalo bi upravljati na sustavan način, od strane za to obučene i ovlaštene osobe, u skladu sa zakonskim propisima te međusobnim ugovorom sklopljenim između klijenta i mjenjačnice.

Sve navedeno može se dogoditi - i dogodilo se jučer – u roku od sat vremena.

Kao što se može zaključiti, informacijska i opća sigurnost procesi su koji samo dijelom ovise o velikim ulaganjima, investicijama i certificiranju, iako se upravo certificiranje često promiče kao rješenje za sve probleme informacijske sigurnosti unutar organizacije. Prava je istina kako certifikacijska revizija traje nekoliko dana a poslovni se proces često odvija i 365 dana u godini i obavljaju ga mahom ljudi, sa svim svojim subjektivnim karakteristikama koje donose u taj isti poslovni proces.

Kao Å¡to se vidi na povrÅ¡nom primjeru “naÅ¡e” (meÄ‘u najvećima) banke, certifikacija nije dovoljna, baÅ¡ kao Å¡to i u malom sustavu poput mjenjačnice, često nastaju proceduralne i organizacijske pogreÅ¡ke koje kompromitiraju integralnu sigurnost sustava.

Za ovo su djelomično krivi i tehnički konzultanti  i certifikacijski konzultanti koji često uljepÅ¡avaju istinu kako se ne bi zamjerili klijentu, umjesto da profesionalno odrade svoj dio posla i ukažu na nedostatke usvojenih modela i obrazaca ponaÅ¡anja, pa čak i po cijenu privremenog neslaganja s klijentom. Svaki profesionalni klijent u tom slučaju neće konzultantu zamjeriti iskrenost i istinu, nego će shvatiti da ima istinskog partnera uz sebe – a svaki profesionalac trebao bi biti u poziciji birati i klijenta za kojega će raditi te odbiti posao ako se kosi s pravilima i kodeksom pripadajuće struke.