Informacijska sigurnost... možemo li to kasnije?

Iako se taj „startup“ svijet stalno vrti po zidovima mojih Facebook prijatelja, sve donedavno nisam se smatrala dijelom tog svijeta. Bilo mi je zanimljivo promatrati s koliko žara se mladi ljudi (i oni malo stariji) upuštaju u diskusije o tome što je to zapravo „startup“, veseliti se projektima koji su dobili „investiciju“, slušati priče o startupima koji su otišli iz „inkubatora“ u „akcelerator“, čitati o uspješnim nastupima naših kolegica i kolega sa inovativnim proizvodima na međunarodnim sajmovima.

Zanimljiv jedan svijet u Hrvatskoj, pozitivan, vedar - no kao što rekoh, nekako „pored“ mene, nepovezan s onim što radim svaki dan. Sve donedavno, kad smo prepoznali jednu ideju i odlučili pokrenuti projekt za njenu realizaciju. Naš prvi „startup“ projekt. Ili prvi startup. Kako se kome sviđa. ;)

Od trenutka rađanja ideje i stavljanja poslovnog plana na papir, sve se odvilo prilično brzo. Definirali smo timove, pokrenuli razvoj, angažirali stručnjake za područje kojim se projekt bavi, marketinške stručnjake, identificirali influencere, dizajnera, smislili ime, kupili domene... odjednom, pokrenulo se jako puno paralelnih aktivnosti koje se jednostavno intenziviraju, granjaju, šire, (kontrolirano) razvijaju u raznim smjerovima.

Međutim, kako se „po defaultu“ bavim rizicima informacijske sigurnosti a ne startupima, naravno da me je odmah dopao taj dio posla. Kroz nekoliko zanimljivih klijenata koji su i sami nekad bili startup, imala sam priliku implementirati upravljanje informacijskom sigurnošću u takvim mladim, brzorastućim okruženjima, međutim nikad od samog početka razvoja startupa. Vjerujem da će ovo biti zanimljivo iskustvo.

Sustavi upravljanja informacijskom sigurnošću u kompleksnim, regulativom pritisnutim okruženjima uglavnom su vođeni strogim formalnim mehanizmima, regulatornim obvezama, unutarnjim i vanjskim revizijama, te obilato potkrijepljeni dokumentacijom, planovima, izvještajima, procedurama.

Proces donošenja odluka često traje i izvršava se u skladu s ustaljenim poslovnim praksama i pravilima odobravanja. S druge strane, u mladim, brzorastućim organizacijama, odluke se donose vrlo brzo i vrlo izravno, u cilju što bržeg suočavanja s potencijalnim rizicima koji mogu utjecati na izvršavanje ciljeva odnosno odgoditi njihovu realizaciju u odnosu na planirane rokove.

U startup svijetu, pravovremena implementacija mjera i mehanizama informacijske sigurnosti može pridonijeti većem „tractionu“ kod puštanja proizvoda u javnost, ili bar spriječiti potencijalno smanjenje „tractiona“ zbog nedostatka ovih mehanizama.

Zvuči nevjerojatno da bi startup investirao u sigurnost kako bi postigao veći „traction“? Ne, nije nevjerojatno. To je ono čemu treba stremiti, jer sigurnost je uvijek pametnije implementirati u početku razvoja proizvoda nego naknadno dodavati sigurnosne mjere i pokušavati se uskladiti s nekom regulativom kojoj ćete biti podložni, ili standardima koje će od vas očekivati  vaši kupci.

Implementirati mjere informacijske sigurnosti jednostavno znači poboljšati sigurnosne mehanizme kako bi sa svojim proizvodom mogli nastupiti brže, bolje, pouzdanije i kvalitetnije. Jednako kao što bez dobrih kočnica ne možete voziti auto onako brzo kako biste to željeli.

Pitanje je samo načina na koje ćete takvu inicijativu prezentirati svojim zaposlenicima, koji uglavnom jesu mladi, idejom zaokupljeni ljudi koji na sigurnost možda gledaju kao na nešto što ih samo nepotrebno ometa u dizajnu nekog „novog super cool featurea“, te kako ćete ih pridobiti da aktivno sudjeljuju u implementaciji sigurnosnih mjera u svom području rada.

Odgovor na ovo pitanje je - jednostavnije je odmah spriječiti moguće probleme, nego se problemima baviti onda kad već bude prekasno. Nekoliko konkretnih preporuka za jednostavnije prihvaćanje i implementaciju mjera informacijske sigurnosti u startup projektima:

• tražite potpisivanje NDA (sporazuma o povjerljivosti). Znam da je negdje netko od startup gurua rekao kako je to pokazatelj nezrelog startupa, međutim za mene je odbijanje potpisivanja NDA pokazatelj nezrelog suradnika.
• identificirajte rizike informacijske sigurnosti na početku i izravno se suočite s njima. Nemojte odgađati rješavanje „security featurea“ za kasnije. Kasnije će njihovo rješavanje koštati puno više.
• definirajte pravila igre. Neka se otpočetka zna tko je za što odgovoran, tko upravlja kojim dijelom projekta, tko je odgovoran za koju funkcionalnost. Definirajte način upravljanja ovlaštenjima i pravima pristupa.
• dokumentirajte. Moraju postojati funkcionalne specifikacije, projektni plan, zabilježeni dogovori. Ako ste outsourcali razvoj, jasno definirajte pravila pristupa kodu i vlasništvo nad kodom u vašoj nadležnosti.
• slijedite pravila sigurnog razvoja softvera. Postoje brojni standardi na ovu temu i držite se njih, ne morate izmišljati neke vlastite metodologije.
• pazite na backup. Backupirajte. Provjerite mogućnost povrata informacija iz backupa.
• provjerite jeste li sukladni sa zakonima i regulatornim zahtjevima u domeni informacijske sigurnosti, naročito zaštite osobnih podataka. Uvijek možete pitati ako niste sigurni, nemojte „podrazumijevati“ da ste sukladni ili odgađati s ispunjavanjem ovih zahtjeva.

Ovo su samo neke osnovne preporuke, izabrane iz čitavog niza sigurnosnih mjera koje ćete kao uspješan startup implementirati. Prihvatite ih kao sastavni dio vaših aktivnosti na putu prema uspjehu. Ne kasnije, već odmah.

Autor: Biljana Cerin, CISSP, CISA, CISM, CGEIT, PMP, Director, Risk Services @ Ostendo Consulting - http://www.linkedin.com/in/biljanacerin