|
Uvriježeno je razmišljanje kako je informacijska sigurnost
posao za IT odjel, i da tu priča završava. Međutim, realnost je takva da
ukoliko organizacija zaista želi zaštititi svoje informacije na pravi način,
onda se uprava dotične organizacije mora uključiti u taj proces.
Zašto je uprava potrebna? Zato što je u prvom redu zaštita
informacija organizacijsko pitanje – mora se odrediti tko je za što odgovoran,
koji se nivo sigurnosti želi postići, koliki je budžet, rokovi i sl. – sve ovo
su poslovna pitanja na koja može odgovoriti samo uprava.
Dakle, što se očekuje od uprave? Ako ste na poziciji člana
uprave nadležan za IT, informacijsku sigurnost ili operativne rizike, što su
vam prvi koraci?
Prvi je korak odrediti što se uopće želi postići sa
upravljanjem sigurnošću u organizaciji? Da li će informacijska sigurnost biti
samo jedan od procesa i neće imati neku bitniju ulogu u poslovanju, ili je obzirom
na zakonske zahtjeve ili nivoe rizika u poslovanju potrebno staviti strateški
značaj na ovakvu aktivnost. Nakon toga potrebno je odrediti konkretnije ciljeve
te strategiju kako će se postići dotični ciljevi, a koji onda ulaze u poslovne
planove dotične organizacije.
Drugi je korak postaviti osnovnu organizaciju i osigurati resurse
za informacijsku sigurnost – odrediti tko ima kakvu odgovornost, koje su
stručne službe potrebne, te koji budžet se odobrava.
Treći je korak početi planirati informacijsku sigurnost –
taj se korak može obaviti po metodologiji faze planiranja po ISO 27001 normi
(više pogledajte ovdje ). Uloga menadžmenta u ovom koraku jest odobriti
projektni plan, te nadgledati da li stručne službe provode dotični projektni
plan.
Četvrti je korak implementirati sve planirane mjere zaštite –
taj se korak također može obaviti po metodologiji ISO 27001 norme. Uloga
menadžmenta u ovom koraku jest kritički se osvrnuti na sve predložene mjere
zaštite, te ukoliko su iste smislene i provedive odobriti budžet (novac i
ljude) za provedbu istih. Naravno, tijekom provedbe vjerojatno će doći do
otpora unutar organizacije, pa je potrebno intervenirati kako bi se sve
promjene provele.
Peti je korak zapravo osigurati da sve te promjene „uhvate korijen“
– naime, vrlo često dolazi do situacija da se pokrenu razni projekti, da se izprinta
brdo dokumentacije, međutim da se nitko više toga ne pridržava. Lijek za to je
opet propisan u fazi nadgledanja u ISO 27001 normi, gdje uprava mora kroz razne
„instrumente“ mjeriti i provjeravati da li se ono što je propisano stvarno i
provodi. Na kraju, uprava treba pomoći stručnim službama da se svi ustanovljeni
nedostaci stvarno i isprave.
Koja je uloga menadžmenta tijekom tog cijelog procesa? Nakon
što se postave jasni ciljevi, najvažnija uloga je jasno komunicirati potrebu i
značaj sigurnosti u poslovanju organizacije – bez takve podrške s vrha, nijedna
inicijativa neće doživjeti uspjeh.
Što ako se uprava ne uključi aktivno u informacijsku
sigurnost? Doći će do situacije da nikoga nije briga za to „jer niti uprava ne
drži do tih procedura“, ili „opet nas oni iz IT-a nešto gnjave“. Kao i za svaku
drugu bitniju promjenu u firmi, uprava je ta koja mora potaknuti i objasniti
potrebnu promjenu ponašanja, ali i svojim primjerom pokazati da je to ono što
je potrebno dotičnoj organizaciji.
Trackback(0)
 |
TrackBack URI for this entry
