Czego pilnuje oficer bezpieczeństwa?

Z Aleksandrem P. Czarnowskim, prezesem firmy AVET Information and Network Security, rozmawia Robert Jesionek

Z Aleksandrem P. Czarnowskim, prezesem firmy AVET Information and Network Security, rozmawia Robert Jesionek

Czy wdrożenie polityki bezpieczeństwa nie powoduje uśpienia, osłabienia czujności firmy?

To zależy od jakości tej polityki. Dokument polityki bezpieczeństwa powinien zawierać rozdział dotyczący audytu bezpieczeństwa, który musi się odbywać np. co 6-12 miesięcy; jego zadaniem jest weryfikacja polityki w odniesieniu do zmiennej rzeczywistości. Dokument zawierający politykę bezpieczeństwa powinien uświadamiać zarządowi firmy, że bezpieczeństwo nie jest jednorazową usługą, lecz procesem.

W jakim miejscu firmy powinien znajdować się dział bezpieczeństwa czy też oficer bezpieczeństwa?

W dużych spółkach struktura wygląda często tak, że istnieje dział bezpieczeństwa, dział audytu wewnętrznego i osobno oficer bezpieczeństwa, który w jakimś stopniu nadzoruje pracę dwóch poprzednich działów, które jednocześnie nadzorują siebie nawzajem, jak również część obowiązków oficera bezpieczeństwa. Mamy tu do czynienia z zasadą ograniczonego zaufania i nie chodzi o to, że tego zaufania rzeczywiście brakuje, chodzi o wyeliminowanie przypadkowych błędów, które zdarzają się nawet najlepszym. Osobami odpowiedzialnymi za bezpieczeństwo są właściciele procesów biznesowych, oni powinni być wspierani przez dział bezpieczeństwa i oficera bezpieczeństwa. Oficer bezpieczeństwa nie powinien być jedyną osobą na swoim stanowisku. Wynika to z rzeczy oczywistych, takich jak możliwość zachorowania lub przebywania na urlopie. Rodzi się też pytanie, jak dużo zaufania może zarząd okazać jednej osobie. Jeśli mamy więcej niż jednego oficera bezpieczeństwa, to sytuacja taka umożliwia nam np. separację uprawnień, rozdział pewnej wiedzy. W wielu firmach system zabezpieczeń jest całkiem dobry, ale mają one tylko jednego oficera bezpieczeństwa i to jest wielkie niebezpieczeństwo. Zagrożeniem nie jest sama osoba, ale to, że może ona któregoś dnia odejść z firmy, zabierając całą wiedzę. To nawet nie chodzi o budzenie podejrzeń, że ta osoba może z zabraną wiedzą postępować nieetyczne, ale o to, iż nagle w organizacji wiedza ta przestaje funkcjonować.

Pełny tekst wywiadu znajduje się na stronie Klubu CIO,http://www.cxo.pl