QualityAustria

NIE-bezpieczny biznes.

Baza wiedzy


NIE - bezpieczny biznes.

NIE - bezpieczny biznes.

BEZPIECZEŃSTWO INFORMACJI?

Pewnie wielu z nas jako czytelników, gdybyśmy zobaczyli artykuł zatytułowany: „Bezpieczeństwo informacji „ odwróciłoby głowy, przerzuciło stronę lub nie doczytało do końca pierwszej strony. Wynika to z ogromnego skrótu myślowego i ukierunkowania, skoro bezpieczeństwo informacji to od tego mamy informatyków w organizacji. Zresztą taką odpowiedź udzielił jeden z uczestników FORUM bezpieczeństwa informacji.

Dlatego też może powinienem sformułować tytuł bardziej przewrotnie, raczej jako :

NIE – BEZPIECZNY BIZNES

Myślę iż taki tytuł przynajmniej wzbudza refleksję nad jego znaczeniem.

 

Otóż artykuł wcale nie ma na celu opisanie biznesów wysoko rentownych obarczonych dużym ryzykiem, balansujących na granicy prawa, niebezpiecznych…itp. Wbrew pozorom każdy biznes jest niebezpieczny dla nas jako właścicieli, managerów, pracowników.

A dokładniej to powinienem powiedzieć „w pewnym stopniu niebezpieczny” – a jeżeli to „w pewnym stopniu” to nasz akceptowalny poziom ryzyka – to wtedy możemy spać spokojniej. I tej tezy będziemy się trzymać ;-), a dla uproszczenia zastosujemy termin „bezpieczeństwo” zdefiniowany jako stan pewności istnienia / funkcjonowania organizacji.

Gdybyśmy spojrzeli w rys historyczny ogólnie pojętego aspektu bezpieczeństwa sprowadza się on do uproszczonej tezy „myślenia przed….”. Tego typu działanie z jednej strony będące truizmem z drugiej jest często zapominanym aspektem w zarządzaniu. Współczesne organizacje funkcjonują, prowadzą działalność w warunkach niepewności, zmienności rynku, globalizacji, otoczenia politycznego i innych warunków.

Wpływ tych zmiennych na prowadzenie działalności w dużej mierze jest nieprzewidywalny, i trudno nam jest teraz dywagować nad bezpośrednim wpływem pojedynczych czynników w konspekcie konkretnej sytuacji biznesowej. Takie podejście wymusiłoby napisanie kilkudziesięciu książek w tym temacie – a i tak okazały by się one mało precyzyjne w odniesieniu do problemów. Moim celem w ramach tego artykułu jest zwrócenie uwagi na trendy uwidaczniające nam iż bezpieczeństwo to potrzeba biznesowa.

 

Bezpieczeństwo ma wiele definicji, lecz w tym artykule nie chciałbym zajmować się szczegółowymi rozważaniami w tym temacie, raczej chcę ukazać pragmatyczne podejście do zagadnienia.

Problematyka bezpieczeństwa ma tak samo długą historię, jak długa jest historia człowieka, który ma swoje potrzeby, postrzeganie otoczenia i miejsce w społeczności. Zderzenie różnych potrzeb ludzi i ich priorytetów w uzupełnieniu z siłami natury jak np. powodzie, trzęsienia ziemi, powoduje poczucie utraty lub naruszenia bezpieczeństwa. Również warto byśmy wzięli pod uwagę oprócz bezpieczeństwa fizycznego, czynniki religijne czy też psychologiczne lub nawet irracjonalne zachowania.

 

Jeżeli weźmiemy pod uwagę proces jakim jest „bezpieczeństwo” danej organizacji w sensie praktycznym to mówimy o obszarach działań zmierzających do:

  • zapewnienia funkcjonowania,

  • przetrwania,

  • rozwoju,

  • swobód realizacji zamierzeń

 poprzez:

  • wykorzystywanie sprzyjających szans,

  • podejmowania wyzwań,

  • przeciwdziałaniu wszelkim rodzajom zagrożeń dla organizacji i

  • minimalizacji ryzyka.

Dotykający nas na co dzień aspekt „bezpieczeństwa” znajduje również odzwierciedlenie w normalizacji, poczynając od norm ISO serii 27001 w dziedzinie bezpieczeństwa informacji, przez normy ISO 31000 w zakresie zarzadzania ryzykiem, ISO 22301 dotyczącej ciągłości działania, aż po projekt nowej wersji normy ISO 9001 „Zarządzanie jakością.

Trud które zadają sobie organizacje tworzące standardy próbując opisać najlepsze praktyki, odzwierciedla się w postaci publikacji norm, które mają nam pomóc w „ogarnięciu tego trudnego tematu”. To wiedza i narzędzia, które przy ich zastosowaniu stają się bronią dla naszej organizacji. Pozwalają się przygotować na wystąpienie sytuacji dla nas niepożądanych w funkcjonowaniu i prowadzeniu działań operacyjnych. 

I o ile przywołanie norm ISO 27001, ISO 31000, ISO 22301 dla wielu będzie jak najbardziej zasadne, to skąd w tym zestawieniu znalazła się norma ISO 9001?

Otóż jesteśmy świadkami dokonującej się nowelizacji tejże normy. Nowa edycja ISO 9001 zaplanowana do publikacji w roku 2015 wprowadza istotne zmiany podejścia. Jak określił jeden z trenerów Quality Austria – Polska to zmiana koncepcji zarządzania jakością w jakość zarządzania. W tej nowej koncepcji mieści się również podejście do zarządzania ryzykiem, a stąd już blisko do postawionej tezy na początku artykułu.

Odchodząc na parę chwil od pojęcia bezpieczeństwa informacji, chciałbym skupić się na kwestii zarządzania ryzykiem i ciągłością działania. W normach ISO znajdziemy dla tych dwóch obszarów wiele sformułowań, które kojarzą się już w sposób bezpośredni z działaniami organizacji, czy to podmiotów w sektorze prywatnym czy Państwowym.

Systemy zarządzania ryzykiem i ciągłością działania zakładają systematyczne podejście do przewidywania potencjalnych sytuacji zagrożenia i ich skutków. Dobrze ukierunkowane i systematyczne zapobieganie jest najlepszym działaniem, mającym na celu uniknięcia potencjalnych skutków wyrządzonych przez zagrożenia oraz zwiększenie szans na osiągnięcie wyższej efektywności czy też skuteczne realizowanie celów organizacji. Różnice społeczne w dużych obszarach gospodarczych, a także globalizacja przestępczości przyczyniają się do wzrostu zagrożeń dla każdej firmy. Z kolei ochrona własnej organizacji związana z incydentami i ich skutkami jest często zaniedbywana, a w związku z tym głównym wyzwaniem dla każdej organizacji jest zarządzanie polegające na znalezieniu odpowiedzi i rozwiązań dla tych zagrożeń.

 

BCM

W celu ograniczenia skutków i usprawnienia procesów zarządzania ryzykiem w 2009 utworzona została norma ISO 31000 dotycząca systemu zarządzania ryzykiem. Standard integruje zarządzanie ryzykiem we wszystkich działaniach, które rozciągają się od ustanowienia strategii organizacji aż do wdrożenia operacyjnego w poszczególnych etapach procesu. ISO 31000:2009 wprowadza perspektywę zagrożeń i szans zarówno w zarządzaniu strategicznym, jak i operacyjnym. Zarządzanie ryzykiem oznacza przewidywanie przypadkowych zagrożeń poprzez systematyczne podejście.

 

Zarządzanie ciągłością działania, czyli BCM (Business Continuity Management), to podejście do zarządzania organizacją w sposób pozwalający na utrzymanie wyznaczonego i akceptowanego poziomu dostarczania wyrobów lub usług w wypadku wystąpienia zakłóceń w jakiejkolwiek jej części. Zarządzanie ciągłością działania (BCM) jest procesem rozwoju i kierowania, ustanawiającym strategię dostosowawczą
i ramy operacyjne, które: 

 

  • proaktywnie ulepszają odporność organizacji na zakłócenia jej zdolności osiągania kluczowych celów;

  • zapewniają metody służące do weryfikowania i utrzymywania zdolności Organizacji do dostarczania jej kluczowych wyrobów i usług na uzgodnionym poziomie, w uzgodnionym czasie po wystąpieniu zdarzenia które zakłóciło normalną działalność Organizacji;

  • oraz dostarczają sprawdzonych metod, by sprostać zakłóceniom działalności oraz chronić reputację organizacji i jej markę.

Nieprzerwane działanie w przypadku jego zakłóceń, czy to wielkiej katastrofy, czy małego incydentu, jest fundamentalnym wymogiem dla każdej organizacji. Norma ISO 22301 powstała na bazie brytyjskiego standardu BS 25999, pierwszej na świecie normie zarządzania ciągłością działania (BCM), została opracowana w celu zminimalizowania ryzyka takich zakłóceń. Norma ta ma na celu poprzez zbudowanie i utrzymywanie systemu zarządzania zagwarantowanie działania firmy w najbardziej wymagających i niespodziewanych sytuacjach — w ten sposób ma chronić organizację oraz podtrzymywać zdolność do dalszego działania.

Po tym krótkim, naprawdę bardzo krótkim wprowadzeniu w tematykę jak się okazuje bliską każdej organizacji, możemy już zupełnie z innej perspektywy patrzeć na „bezpieczeństwo”. Pewnie każdy z nas znalazł w powyższych charakterystykach systemów zarządzania, elementy które bierze pod uwagę w własnej organizacji, lub nawet je realizuje. Podejście do tematyki „bezpieczeństwa” w oparciu o standardy ma niewątpliwie kilka zalet:

  • budujemy „system zarządzania” czyli podejście oparte na metodyce normy i systematyce działań;

  • mamy możliwość korzystania z najlepszych praktyk zawartych w normach;

  • możemy poddać się procesowi certyfikacji, a w związku z tym możliwość tworzenia wizerunku organizacji świadomej – a to dobry sygnał dla naszego otoczenia;

  • dla sektora administracji publicznej, często jest to ułatwienie spełnienia wymagań wynikających z przepisów prawa, gdzie standardy są przywoływane.

 

Wykorzystując powyższe cechy organizacje budują swoje „szyte na miarę” strategie, w budowaniu których nieodłącznym elementem jest śledzenie rynku, korzystanie z dostępnych rozwiązań, ale i podnoszenie kompetencji personelu organizacji, managerów. Gdy poruszamy obszar kompetencji i doświadczenia nie sposób nie odnieść tego do osób bezpośrednio odpowiedzialnych za strategię. Skoro termin strategia wywodzi się od greckiego słowa strategos, którym to terminem określano najwyższego, naczelnego dowódcę wojskowego odpowiedzialnego za przygotowanie i przeprowadzenie działań wojennych, to osobami odpowiedzialnymi w organizacjach są osoby zarządcze.

Otoczenie i kontekst funkcjonowania organizacji oraz niejednokrotnie bezpośrednio przepisy prawne są czynnikami, które w zasadzie nie pozostawiają wyboru i zmuszają zarządców organizacji do zmierzenia się z problematyką „bezpieczeństwa”. Obecnie w tej dziedzinie jest coraz więcej dostępnych wartościowych publikacji, powstają organizacje, stowarzyszenia, a na rynku pracy funkcjonują nowe stanowiska w organizacjach, jak manager ds. zarządzania ryzykiem, czy pełnomocnik systemu zarządzania bezpieczeństwem informacji. Natomiast największym wyzwaniem w dziedzinie bezpieczeństwa jest zapobieganie zagrożeniom i sprostanie dynamice rozwoju technologii informacyjnej oraz sytuacji geopolitycznej.

Managerowie stoją przed jednym pewnym faktem jakim jest „zmienność”, a to z kolei wymusza aktywność w działaniach.

Organizacje takie jak Quality Austria – Polska Sp. z o.o. oraz CIS Certification & Information Security Services Sp. z o.o. oprócz działań związanych z certyfikacją systemów zarządzania pełnią również funkcję edukacyjną. Bezpośredni udział w tworzeniu standardów daje nam możliwości przekazywania informacji między innymi o zmianach i trendach w „bezpieczeństwie”. 

“50 procent wszystkich firm, które utraciły ważne dane w wyniku katastrofy
nigdy nie potrafiło je odzyskać" 

"W związku z tym 90 procent z tych organizacji musiało zrezygnować z działalności biznesowej
w przeciągu dwóch lat.”

Centrum Badań nad Systemami Informacji, University of Texas

 

 

 

 

Zabezpiecz swoją organizację!



Quality Austria - Polska Sp. z o.o.

Quality Austria