Bezpieczeństwo informacji, jako priorytet każdej organizacji

Współczesne organizacje funkcjonując w warunkach niepewności i chaosu zobligowane są do modyfikacji swojego podejście do bezpieczeństwa. W obliczu wszelkich zagrożeń powyższe podmioty stoją przed koniecznością uwzględnienia zarówno lokalnych, jak i globalnych zdarzeń wpływających na ich działalność.

Potrzeba poczucia bezpieczeństwa jest jedną z najważniejszych potrzeb człowieka oraz podstawową wartością. Stąd też kategoria bezpieczeństwa agreguje wszystkie składniki najważniejszej dla wartości człowieka. W związku z tym, należy podkreślić, że bezpieczeństwo powinno być przedmiotem szczególnej uwagi w zarządzaniu organizacją, niezależnie od form organizacyjnych, poziomu hierarchicznego i poziomu rozwoju.

Jeśli chodzi o percepcję i poszukiwanie poczucia bezpieczeństwa, warto rozważyć model przedstawiony przez D. Frei, który zawiera cztery elementy:

• stan niepewności – w którym występuje rzeczywiste i znaczące zagrożenie zewnętrzne, którego percepcja jest odpowiednia,
• stan obsesji – w którym małe zagrożenie jest postrzegane jako duże,
• stan fałszywego bezpieczeństwa – w którym znaczące zagrożenie jest postrzegane jako małe,
• stan bezpieczeństwa – w którym zewnętrzne zagrożenie jest niewielkie, a jego percepcja jest prawidłowa.

Literatura przedmiotu omawia szeroko pojęcie i typologie bezpieczeństwa z różnych perspektyw. Przeglądając je, można zauważyć, że po pierwsze charakteryzują się wysokim poziomem ogólności i odmiennym poglądem na problem bezpieczeństwa, ponieważ reprezentują różne dyscypliny naukowe, takie jak lingwistyka, politologia, psychologia i zarządzanie. Po drugie, podstawowym zadaniem przedsiębiorstw jest stworzenie i doskonalenie systemów bezpieczeństwa, przy jednoczesnym budowaniu poczucia bezpieczeństwa dla pracowników przedsiębiorstw i ich otoczenia.

Najszersze rozumienie bezpieczeństwa wyraża się w stwierdzeniu, że „dany temat jest bezpieczny, jeśli jest w stanie osiągnąć swoje cele”. Wydaje się jednak, że definicja bezpieczeństwa W. Śmida jest odpowiednia w sytuacji, kiedy bezpieczeństwo to sytuacja charakteryzująca się brakiem ryzyka, np. w inwestowaniu, planach strategicznych, zasobach materiałowych i ludzkich.

Trywialnym jest już dzisiaj stwierdzenie, że bezpieczeństwo informacji jest jednym z najważniejszych obszarów, które powinny być zabezpieczane przez organy zarządzające organizacją. Bezpieczeństwo informacji to nic innego jak „obrona informacji, polegająca na zapobieganiu i utrudnianiu pozyskiwania danych o fizycznym charakterze obecnego i planowanego stanu rzeczy i zjawisk we własnej przestrzeni funkcjonowania oraz utrudniających doprowadzenie entropii informacji do wiadomości i fizyczne niszczenie nośników danych[1]”.

Na każdym poziomie zarządzania bezpieczeństwem informacji głównym celem jest zapobieganie ich ujawnianiu. Należy podkreślić, że zbyt szerokie rozumienie bezpieczeństwa może utrudnić przepływ informacji w państwie, przedsiębiorstwie itp.

W organizacjach występuje coraz to więcej przestępstw oraz patologii społecznych. Dlatego też, na powyższym rysunku zostały przedstawione obszary, które związane są w przetwarzaniem informacji i dlatego też, wymagają zastosowania szczególnych środków bezpieczeństwa.

Bardzo poważnym, potencjalnym zagrożeniem bezpieczeństwa organizacji jest naruszania przepisów funkcjonujących w tych organizacjach, które posiadają dostęp do informacji. Często też, pojawiają się problemy wynikające z wdrażania w życie ustawy o ochronie informacji niejawnych.

Na tym tle pojawia się ważny problem związany z kwestią bezpieczeństwa informacji, który dotyczy ochrony informacji stanowiących tajemnicę państwową lub tajemnicę przedsiębiorstwa.

Do podstawowych zagrożeń bezpieczeństwa informacji należy zaliczyć:

• udzielanie informacji nieuprawnionym podmiotom,
• szpiegostwo,
• działania wywrotowe lub sabotażowe[2].

Bezpieczeństwo informacji to także dowolna działalność, system lub metoda zabezpieczająca zasoby informacyjne gromadzone, przetwarzane, przesyłane i przechowywane w pamięci komputerów i sieci teleinformatycznych. Dlatego, bezpieczeństwo informacji należy rozumieć jako wypadkową bezpieczeństwa fizycznego, prawnego, osobistego i organizacyjnego.

Bezpieczeństwo to ciągły proces, w którym przedsiębiorstwa starają się usprawnić mechanizmy zapewniające poczucie bezpieczeństwa. Odzwierciedlając zrozumienie i traktowanie bezpieczeństwa jako kluczowego obszaru, organizacje starają się podejmować działania mające na celu uniknięcie zagrożeń. Czynności te są trudnymi i kosztownymi zadaniami, które w wielu przypadkach mogą być przyczyną ich niepowodzenia[3].

Zagrożenie jest sytuacją, kiedy coś komuś zagraża. W definicjach politycznych, zwłaszcza w tych dotyczących kwestii bezpieczeństwa, zagrożenia w szerszej grupie, definiowane są, jako wyzwania. Podobnie zagrożenia są również traktowane w innych naukach, takich jak na przykład zarządzanie lub socjologia. Prowadzenie firmy wiąże się z ryzykiem określonego zagrożenia. Ryzyko to przybiera wiele postaci i może się zmieniać z biegiem czasu.

Rozróżniamy liczne źródła zagrożeń (ryzyka):

• ryzyko egzystencjalne,
• ryzyko kulturowe,
• ryzyko informacyjne,
• ryzyko technologiczne,
• ryzyko gospodarcze,
• ryzyko ekologiczne,
• ryzyko polityczne.

W przedsiębiorstwach spotykamy się z rosnącą skalą przestępczości i patologiami gospodarczymi. Przestępstwa w biznesie tworzą określoną grupę, ponieważ zagrożone przedsiębiorstwa lub instytucje stanowią zagrożenie dla zasobów organizacji, na przykład dla istniejących baz informacyjnych, gotówki, wartości firmy, takich jak reputacja, nawiązane relacje lub przywileje handlowe danej firmy.[4]

Pojęcie bezpieczeństwa informacji można przybliżyć identyfikując następujące obszary ryzyka:

• losowe zagrożenia – wszelkiego rodzaju klęski żywiołowe, katastrofy, wypadki mające wpływ na bezpieczeństwo informacji w organizacji (np. pożar budynku, w którym przechowywane są nośniki informacji),
• tradycyjne zagrożenia informacyjne – szpiegostwo, działalność wywrotowa lub sabotażowa (mająca na celu zdobycie informacji, dezinformację ofensywną prowadzoną przez inne osoby, podmioty, organizacje),
• zagrożenia technologiczne – zagrożenia związane z gromadzeniem, przechowywaniem, przetwarzaniem i przekazywaniem informacji w sieciach teleinformatycznych (takich jak przestępstwa komputerowe, cyberterroryzm, walka informacyjna),
• zagrożenia wynikające z niewystarczających rozwiązań organizacyjnych i strukturalnych[5].

Zagrożenia można podzielić ze względu na lokalizację ich źródła na:

• wewnętrzne (powstające wewnątrz organizacji), które obejmują:
• ryzyko utraty, uszkodzenia danych lub niemożności serwisowania z powodu błędu lub przypadku,
• groźba utraty lub uszkodzenia przez celowe działania nieuczciwych użytkowników,
• zewnętrzne (powstające poza organizacją), które obejmują ryzyko utraty, uszkodzenia danych lub pozbawienia możliwości celowego lub przypadkowego działania stron trzecich w związku z siecią lub systemem,
• fizyczne, w których utrata, uszkodzenie danych lub niemożność obsługi następuje z powodu wypadku, awarii, katastrofy lub innego nieprzewidzianego zdarzenia wpływającego na system informacyjny lub urządzenie sieciowe[6].

Jednym z najważniejszych potencjalnych źródeł zagrożeń dla bezpieczeństwa przedsiębiorstw jest łamanie przepisów chroniących te organizacje przez osoby mające dostęp do informacji. Istnieją także bariery i trudności związane z wdrażaniem ustawy o ochronie informacji niejawnych.

Rozwój teleinformatyki i rynku globalnego automatyzuje procesy produkcyjne i finansowo-księgowe, umożliwia globalną i szybką komunikację, a nawet pozwala na zawieranie umów między kontrahentami na odległość. Nie należy jednak zapominać, że prowadzenie działalności gospodarczej w oparciu o teleinformacje, oprócz korzyści wiąże się z wieloma zagrożeniami. Systemy IT są zaprojektowane do zbierania, przetwarzania i szybkiego udostępniania danych. Ich wielkość i jakość, a zwłaszcza źródło pochodzenia, są interesujące nie tylko dla służb specjalnych i innych instytucji, które są potencjalnym przeciwnikiem, ale także dla organizacji terrorystycznych i osób. Systemy IT mogą być zagrożone przez każdego, kto ma wystarczającą wiedza i umiejętności[7].

Bezpieczeństwo systemów i sieci teleinformatycznych to zakres przedsięwzięć, których celem jest uniemożliwienie osobom nieuprawnionym dostępu do cennych informacji, które można uzyskać poprzez przechwytywanie emisji radiowych i analizowanie ruchu w sieciach radiowych lub wprowadzanie w błąd tych, którzy mogą przeprowadzić taką analizę. Obejmuje systemy transmisji, bezpieczeństwo utrudnień i środki mające na celu fizyczną ochronę systemów komunikacyjnych, materiały niejawne i informacje związane z systemami komunikacyjnymi[8].

Ataki na zbiory danych stanowiące tajemnice państwowe lub handlowe mają na celu przejęcie kontroli nad chronionymi systemami. Ataki na systemy komputerowe występują, gdy działania zmierzające do naruszenia ich bezpieczeństwa są celowe. Istnieją dwie grupy ataków:

• aktywne ataki – aktywny wpływ na system, bezpośredni lub pośredni, polegający na modyfikacji strumienia danych lub tworzeniu fałszywych danych,
• ataki pasywne – brak aktywnego wpływu na system (te ataki powinny być szeroko rozumiane, jako podsłuch lub podgląd, analiza ruchu w sieci w celu zlokalizowania takich elementów, jak serwer lub stacje robocze)[9].

Zagrożenia bezpieczeństwa informacji generowane są przede wszystkim przez czynniki otoczenia zewnętrznego, co często bywa trudne do wykrycia. Dlatego tak ważne jest, aby w każdej organizacji funkcjonały właściwe instrumenty oraz procesy, stanowiące zapory informacyjne, w taki sposób, aby dane były jak najbardziej chronione. Istnienie takich instrumentów, ukierunkowuje pracowników na przejawianie zachowań mających na celu ochronę informacji. Ważne jest, aby chroniąc posiadane dane nie doszło do odizolowania danego podmiotu od otoczenia. Takie zagrożenie może być charakterystyczne dla niewielkich przedsiębiorstw, które nie stosują skomplikowanych rozwiązań techniczno – organizacyjnych, a jedynie koncentrują się na rozwiązaniach spełniających oczekiwania stałych klientów. Ponadto, zarządzanie małymi organizacjami jest bardziej intuicyjne i odbywa się zgodnie z planem ustalonym przez danego właściciela, który często występuje w roli menedżera i swoim zachowaniem oraz działaniami wskazuje na sposoby ochrony informacji. W takiej sytuacji kluczowe jest wskazanie poprawnych zachowań organizacyjnych, bardziej niż zastosowanie środków organizacyjno – technicznych, które bardzo często są kosztowne i niedostępna dla małych i średnich przedsiębiorstw.

Zastosowanie właściwych zachowań organizacyjnych przyczynia się do:

• wzmacniania postaw pracowniczych, które stanowią gwarancję ochrony ważnych informacji;
• wyrabiania nawyku samokontroli wśród pracowników organizacji w bezpiecznym zarządzaniu informacjami;
• ukierunkowują pracowników na poszukiwanie istotnych informacji, nie tylko w organizacji, ale także poza nią;
• pozwalają na dostosowanie zachowań pracowników do zmian zachodzących w otoczeniu.

Ważnym działaniem każdej organizacji jest określenie, które informacje oraz w jakim stopniu są szczególnie narażone na utracenie, a tym bardziej mogą być w zainteresowaniu konkurencji. Celem tego działania jest wskazanie, które informacje należy chronić szczególnie. W związku z tym, nieustannie należy prowadzić proces analizy posiadanych informacji ze wskazaniem na ich wartość. Należy pamiętać, że nie można przy tym przyczyniać się do powstawania barier między daną organizacją a otoczeniem, gdyż wymiana informacji odbywa się na zasadzie sprężenia zwrotnego i dzięki temu, pomioty mają także możliwość rozwoju.

Należy także pamiętać, że bez względu na rozmiar i zakres działania danej organizacji, w każdej z niech powinna funkcjonować polityka bezpieczeństwa, która stanowi zbiór zasad związanych ze wszystkimi aspektami bezpieczeństwa. Polityka bezpieczeństwa, zwana także strategią bezpieczeństwa stanowi także ogół zasad, metod oraz narzędzi ochrony i nadzoru nad informacją. Powinna obejmować takie elementy, jak:

• politykę informacyjną,
• ochronę informacji niejawnych,
• zasady ochrony danych osobowych,
• politykę bezpieczeństwa systemu teleinformatycznego,
• zasady ochrony tajemnicy przedsiębiorstwa,
• zasady zapobiegania przestępstwom na szkodę organizacji.

Polska Norma PN-ISO/IEC 27001 wskazuje, że celem polityki bezpieczeństwa jest wsparcie kierownictwa dla bezpieczeństwa informacji oraz zapewnienie jej kierunków działań. Polityka bezpieczeństwa ma zawierać zbiór zasad i praktyk wraz z dokumentacją, w jaki sposób organizacja ma chronić przetwarzane dane osobowe. Taki dokument zatwierdzany jest przez kierownictwo firmy i przedstawiany wszystkim pracownikom. Jeśli polityka bezpieczeństwa ma być zgodna z powyższą normą ISO to dodatkowo powinny się znaleźć informacje tj. definicja bezpieczeństwa informacji, podkreślenie intencji kierownictwa, definicje ogólnych obowiązków w zakresie zarządzania bezpieczeństwem informacji itp.

Informacje stanowią współcześnie jeden z najważniejszych zasobów każdej organizacji. W związku z tym, oczywiste jest, iż stanowią one także przedmiot konkurencji pomiędzy przedsiębiorstwami. Stąd też wynika ich szczególna ochrona oraz zabezpieczenie przed wydostaniem się poza organizację. Niestety, często organizacje poza wdrożeniem polityki bezpieczeństwa i spełnieniem teoretycznych aspektów bezpieczeństwa informacji, nie przywiązują uwagi do działań praktycznych i poszczególnych zachowań pracowników mających na celu ochronę informacji, a przede wszystkim zabezpieczenie przed ich bezprawnym ujawnieniem. Dlatego też, niezwykle ważne jest zarówno spełnianie wymagań teoretycznych z zakresu ochrony informacji, jak i kształtowanie odpowiednich postaw wśród pracowników.

[1] M. Kwieciński, Bezpieczeństwo informacji i biznesu: zagadnienia wybrane, Kraków 2010, s. 78.

[2] Ibidem, s. 79.

[3] Ibidem, s. 82.

[4] A Biłaś, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Warszawa 2017, s. 52.

[5] Ibidem, s. 55.

[6] D. Pipkin, Bezpieczeństwo informacji: ochrona globalnego przedsiębiorstwa, Warszawa 2002, s. 92.

[7] Ibidem, s. 94.

[8] Ibidem, s. 96.

[9] Ibidem, s. 98.