Izazovi informacijske sigurnosti (ili informatičke ili računalne ili internetske) imaju, kao i svi ostali izazovi u današnjem svijetu, tri aspekta koje je potrebno adresirati: procese, ljude i tehnologiju.
Tehnologija je aspekt koji je istodobno i glavni uzrok i sama srž security izazova. Zašto? Zato što radimo na internetu koji počiva na osnovama koje su postavljene još 70-tih godina prošlog stoljeća (prije 50 godina) i računalima koja se korjenito nisu mijenjala od početka 90-tih godina prošlog stoljeća (prije 30 godina). Računalo koje nije na mreži je znatno teže hakirati, samo je pitanje: koliko je računalo bez mreže danas uopće upotrebljivo?
Ako pričamo o procesima, valja se upitati tko uči raditi novog zaposlenika u tvrtki? Vjerojatno stari/iskusni zaposlenik. No, zna li iskusni zaposlenik da ne smije bacati kopije računa, verzije ugovora, odreske od plaće u smeće? Zna li iskusni zaposlenik da ne smije stari kompjuter dati sakupljačima otpada kada prolaze ulicom (a svi znamo kada oni prolaze ulicom)? Zna li iskusni zaposlenik koje mailove smije čitati, koje privitke pokretati? Zna li iskusni zaposlenik koje internet stranice smije posjećivati? Ako i zna sve ovo, je li zaboravio nešto prenijeti novom kolegi? Kada je zadnji puta provjerio, pridržava li se novi kolega ovih pravila? Zvuči li iskreno kada ga pitate? Možda ovo posljednje pitanje djeluje pretjerano, no valja imati na umu da laži postoje odkad je čovjeka, i kolege ponekad lažu jedni drugima, to je jednostavno tako. I na kraju, najvažnije pitanje: Tko je odgovoran da se uhodavanje novog zaposlenika (ali i sve ostalo) odvija na korist svih zaposlenika tvrtke i prema zakonu? Iskusan radnik? Samo ako je član Uprave i tada samo za svoje područje, ako je Uprava sastavljena od više članova. Čije područje je zbrinjavanje starih računala, a osobito prije toga brisanje/uništavanje diskova s podacima tvrtke i/ili osobnim podacima njenih bivših, sadašnjih, potencijalnih zaposlenika, poslovnih partnera i suradnika? Vrtimo se u krug i zakapamo sve dublje. Nadam se da vas nisam izgubio po putu u ambis.
Uobičajeno je da se novi problemi, nakon što se prvi puta pojave, podignu (eskaliraju) do najvišeg rukovodstva koje već nekako odlučuje tko će taj problem rješavati. Bolje bi bilo da problem nije došao iz vlastitog iskustva, već da ste o njemu negdje čuli (možda se nekome drugom dogodio), pročitali (u ovom članku nadam se), pa da učite na tuđim greškama. Onda ste proaktvni i reagirate unaprijed. Na žalost, oni koji još nisu na vlastitoj koži osjetili čari ransomwarea, platili neispravan račun, nasjeli na lažnu reklamu, kupili ciglu umjesto mobitela na lažnom oglasu i sl. su rijetki i svakim danom ih je sve manje. Ako ste sretni i imate priliku biti proaktivni, iskoristite ju odmah. Nije vam ostalo puno vremena.
Znači menadžment mora donijeti odluku da njihova tvrtka više neće biti laka meta, prihvatiti činjenicu da je to samo još jedan od ozbiljnih problema koje su navikli rješavati svakodnevno i uhvatiti se u koštac s problemom. Kako? Tko uopće zna razlikovati dobre od loših mailova? Tko zna kako se uništavaju diskovi? Valjda informatičar?! A što ćemo s kopijama računa i verzijama ugovora i odrescima od plaće? Pa informatičar ionako svemu ima pristup i sve vidi da bi mogao raditi svoj posao. Treba se samo pobrinuti za papire, a ionako se brine da ih ima u printeru. Nije šala, anegdota je, znači stvarno se događa.
Ako podijelimo izazov u dvije role to izgleda ovako: informatičar u kompaniji treba omogućiti da računala rade, da zaposlenici pristupaju podacima, da mogu printati i sl., a sigurnjak (CISO) to isto treba zabraniti (naravno, ne svima i uvijek, ali to je u stvari najbolji početak za sigurnost). Teško je očekivati od iste osobe da omogućava i da brani. Dileme oko sloboda i sigurnosti ide puno dublje, recimo, na što potrošiti dodijeljeni proračun, na nove aplikacije koje omogućavaju brži i lakši dolazak do podataka kompanije mobitelom ili nešto što će hakerima onemogućiti da dođu do istih tih podataka? Novca nikad nema za sve.
Nadam se da je očito da, iako su danas svi naši podaci na mobitelima i računalima, informatičari koji se brinu o funkcioniranju istih, nisu najbolji izbor da zabranjuju njihovo korištenje.
Sigurnjak u slengu, CISO (Chief Information Security Officer) je netko tko se ozbiljno treba brinuti o sigurnosti svih informacija u tvrtki. Analizirati situaciju, analizirati i unaprijediti procese, predložiti promjene koje će urediti sustav zaštite informacija na bazičnim principima kao što je „need-to-know“. To znači locirati važne informacije i klasificirati ih. Izraditi politike i pretočiti ih u procedure. Nakon toga provesti programe upoznavanja i edukacije zaposlenika. Sve to ne može učiniti bez svesrdne potpore i podrške najvišeg menadžmenta kompanije. I to je najčešće opsežan i zahtjevan posao jer obuhvaća procese i procedure u nabavi, računovodstvu, ljudskim potencijalima, pravnoj službi itd. pa sve do najšire upotrebe računala i mobitela na kojima su informacije samo djelomično spremljene. Uz to, ne zaboravite informacije spremljene na papirima i u glavama vaših zaposlenika. CISO je radno mjesto koje je direktno odgovorno upravi, ali ujedno djeluje i kao savjetnik za pitanja koja se tiču informacijske, ali možda i ostale sigurnosti.
Je li on pred zakonom odgovoran za recimo, curenje osobnih podataka iz tvrtke? Nije, osim u slučaju da se dokaže da je on to osobno učinio ili u tom kaznenom djelu na neki način aktivno sudjelovao. Naravno, ovisno o kojem se prekršaju ili kaznenom djelu radi, svaki zakon propisuje odgovornost. Često rukovodstva pokušavaju postavljanjem CISO funkcije sa sebe skinuti odgovornost za zaštitu vlastitih ili tuđih informacija koje se nalaze u imovini tvrtke. No, odgovornost se ne može eksternalizirati. Pitanje odgovornosti važno je pitanje, a ujedno i sastavni dio slagalice sustava sigurnosti u kompaniji.
