Jakość bezpieczeństwa

0
39

Czyli dwa zdania o małżeństwie wcale nie z rozsądku.

Do napisania niniejszego artykułu skłaniają mnie pewne dyskusje w świecie bezpieczeństwa. Konkluzja jest dość smutna, ale konkluzja na koniec, na początku pewne przemyślenia.

Mity na temat jakości.

Wiele osób na pytanie – jaka ma być jakość, odpowiada NAJWYŻSZA.

OK, tyle, że nie do końca. Najwyższa POŻĄDANA i MOŻLIWA. I jako dodatek – zgodna z prawem. Nawet czytając mocno zawiłą definicję jakości z ISO serii 9000 – a więc norm (standardów międzynarodowych stosowanych na całym świecie), można dość do tych samych wniosków.

Jakość to stopień, w jakim zbiór inherentnych właściwości spełnia wymagania (za centrum.jakosci.pl)

Wymagania w jakości są grupowane w trzy obszary:

  • wymagania prawne – większość norm jakościowych (i nie tylko) mówi o konieczności spełnienia wymagań prawnych;
  • wymagania klienta – jako specyfikacja produktu lub usługi przekazana (wyrażona) przez klienta;
  • Wymagania organizacji – czyli specyfikacja sposobu dostarczenia produktu lub usługi (tak w wielkim uproszczeniu);

Wracając do tego jaka ta jakość ma być.

  • Najwyższa pożądana – to nic innego jak spełnione wymagania klienta. Najwyższa pożądana – czyli taka, jakiej klient żąda. Nie wyższa – bo droższa. Nie niższa, bo klient stawia pewien próg jakości, poniżej którego jeśli zejdziemy produkt czy usługa nie zostaną przyjęte.
  • Najwyższa – możliwa, to nic innego jak z kolei spełnienie wymagań organizacji. Nikt w firmie biznesowej nie będzie produkował super urządzeń i sprzedawał poniżej kosztów. Podobnie z usługami, jeśli się “nie zepną” firma nie podejmie dzałań.
  • Wymagania prawne – to niec inna historia, ale są na ogół na tak niskim poziomie w bezpieczeństwie, że nie ma problemu z ich spełnieniem.

W kontekście dyskusji w środowisku bezpieczeństwa absolutnie nie rozumiem pytań o to czy jakość, czy bezpieczeństwo, bo… to jest TO SAMO. Przykłady:

  • mamy wysoki poziom ryzyka dla informacji, wynikający z tak modnych ostatnio cyberataków. Kupujemy PORZĄDNY firewall. I co to oznacza ów “porządny”? A no nic innego, jak to, że na wyższym poziomie dokładności filtruje, odcina, blokuje. A co to znaczy na wyższym poziomie dokładności? Przypadkiem nie oferuje wyższej jakości w ochronie sieciowej?
  • mamy wysoki poziom zagrożenia kradzieżą. Stosujemy urządzenia wyższej klasy do wykrycia zdarzenia. Ale znowu – co to znaczy wyższej klasy? Czy przypadkiem nie lepiej wykonane, mniej zawodne, z lepszymi czujnikami? Znowu możemy mówić o wyżej jakości.

Mogę takich przykładów więcej. Tak samo jak w hali produkcyjnej lepiej wyszkolony i przygotowany pracownik zmontuje urządzenie, tak samo lepiej wyszkolony i przygotowany pracownik ochrony wykona swoje zadania. Znowu jakość wyrobu i jakość usługi.

Smutna konkluzja

Smutna konkluzja dotyczy po raz kolejny pewnej “niewiedzy” wśród bezpieczników. Czy może szerzej – braku pewnego otwarcia się na dokonania z innych obszarów organizacji. Pisałem ostatnio o jednej z konferencji, gdzie po raz kolejny specjaliści doszli do pewnego wniosku – dość oczywistego. Że większość zdarzeń i incydentów bezpieczeństwa informacji – celowych i niezamierzonych to wina człowieka. Ale nadal ani słowa o mechanizmach zwanych nadużyciami (a tym jest wykorzystanie możliwości admina, osób dopuszczonych do tajemnic etc).

Z jakością mamy kolejny przykład. Niestety, podobnie jest ze szkoleniem (wielu bezpieczników szkoli, niewielu zna choćby pojęcie andragogika). Podobnie z badaniami (ostatnio sobie testuję i pytałem czym jest skala Likerta i co to jest pytanie dychotomiczne).

Owa smutna konkluzja to to, że w zarządzaniu bezpieczeństwem, za mało jest zarządzania, a za dużo bezpieczeństwa. A to raczej specjalizacja, nie zarządzanie.

Z życzeniami noworocznymi – dla wszystkich bezpieczników, dużo pracy i dystansu.