Od polityki do strategii

0
49

Dzisiaj słów kilka o sposobie przejścia z założeń co do bezpieczeństwa, określonych w Polityce Bezpieczeństwa, do strategii, czyli sposobu realizacji.

Pierwszym etapem, który należy przeprowadzić, jest przydział praw i obowiązków. Czasem nazywa się przydziałem zadań i uprawnień. Ogólnie chodzi o to samo. Czyli o wskazanie komórek odpowiedzialnych za realizację konkretnych zakresów bezpieczeństwa, wskazanie tych które mają obowiązek im pomagać oraz tych, które przyjmują role koordynatora. Na etapie tworzenia takiego podziału rola koordynatora często sprowadza się do roli rozjemcy, ponieważ zakres bezpieczeństwa jest bardzo szeroki. Dodatkowo jest to działania bardziej pasywne, w ujęciu działalności operacyjnej firmy. Nie przynosi dochodu jako takiego, a raczej blokuje powstawanie strat. Dlatego wielokrotnie spotykałem się z bardzo dużym oporem ze strony ludzi, przed przyjmowaniem nowych obowiązków, ponieważ nie wpływają one od razu na bezpośredni wynik finansowy, a czasem w pierwszym etapie wdrażania zasad są wręcz hamujące.

Przykładem jest działanie przedstawicieli handlowych w firmie vs zabezpieczenie przed utratą reputacji, ochrona marki i kilka innych zakresów. Wprowadzenie tego typu zabezpieczeń wynika wprost s ustawy o zwalczaniu nieuczciwej konkurencji, oraz dotyczy kilku czynów określonych w tej ustawie, których bardzo często dopuszczają się przedstawiciele handlowi, zwykle w sposób nieświadomy.

Wprowadzenie ograniczeń, wynikających z tego zakresu, a chroniących dobre imię firmy, ogranicza jednocześnie wachlarz metod jakimi posługują się przedstawiciele. A to ma bezpośrednie przełożenie na realizację planów sprzedażowych, czyli wprost na ich premię. Opór jest jak najbardziej naturalny, ale jak sobie z tym poradzić, to już na inny wpis.

Wróćmy do tego, w jaki sposób przełożyć deklaracje, przekonania, na działanie. Napisałem już o podziale obowiązków. Teraz jak to najprościej zrobić? Zgodnie z zasadą, że dobry wykres grafika potrafi zastąpić nawet do 1000 słów, proponuję rozwiązanie oparte o siatkę bezpieczeństwa, która czasem nazywana jest macierzą bezpieczeństwa.  Tworzy się ją bardzo prosto kolumny przyporządkowane są konkretnym działom, departamentom, stanowiskom występującym w firmie.

Uwaga do tego zakresu – w siatce muszą widnieć wszystkie, istniejące komórki. W przypadku zmiany struktury organizacyjnej, zmiana dotyczy również siatki.

Wiersze przyporządkowane są konkretnym zakresom bezpieczeństwa. O tym, jak je określić, innym razem, bo jest kilka metod na to.

Na przecięciu komórek i zakresów, należy określić role, jaką dział odgrywa w zakresie bezpieczeństwa.

Przykład bezpieczeństwa informacji wybrany specjalnie, ponieważ każdy dział, departament, stanowisko samodzielne w tym zakresie mają coś do zrobienia. W niniejszym przykładzie specjalnie bezpieczeństwo informacji nie zostało rozmienione na konkretne zakresowe polityki, takie jak dane osobowe, tajemnica przedsiębiorstwa, przemysłowa i inne. Bo to już jest zależne od konkretnej organizacji – co występuje i jak.

Jednak w omówieniu odniosę się do tych zakresów już konkretnie.

W przedstawionym przykładzie CSO ma rolę koordynacyjną. Czyli na tym etapie rozjemcy lub jak ładniej brzmi – moderatora. Małą dygresja – ostatnio w czasie dyskusji z jednym z szefów bezpieczeństwa w dość dużej firmie, poruszona została kwestia – co jak firma jest samodzielna, w jednym miejscu, czy wtedy CSO nie jest tym samym co SM (security manager)?

Odpowiem ulubionym stwierdzeniem konsultantów – to zależy. Zależy od modelu bezpieczeństwa jaki przyjmie firma. Najlepiej byłoby, gdyby rolę CSO określoną w siatce pełnił członek zarządu. Ale w przypadku jak firma mocno oparta jest o informacje, to najbardziej wiodącym zakresem będzie bezpieczeństwo informacji. Wtedy część roli CSO można przekazać na ABI, ale rozumianego jako całościowy ABI, a nie zakresowy (np. do danych osobowych). Zgodnie z wszelkimi zaleceniami i tak powinien podlegać pod najwyższe kierownictwo – czy to kolegialne, czy jednoosobowe.

Wracając do przykładu. Wiadomo, że CSO jest koordynatorem, rozjemcą, moderatorem. Powinien być osobą która zatwierdza tego typu rozwiązania, prezentuje je najwyższemu kierownictwu.

Czym się w takim razie różni to od roli wiodącej?

Otóż zakresem. Wiodąca to już działanie. Koordynująca to przyjęte koncepcje, według których następuje działanie. W omawianym przypadku ABI określa, jakie informacje występują w firmie, jaką ochroną je objąć, kto ma mu w tym pomóc – czyli gdzie te informacje występują. Oraz odpowiedzialność za wdrożenie rozwiązań bezpieczeństwa, konsultacje w tym zakresie, udzielane innym komórkom, dla których nie jest to działanie główne i wiele innych.

Rola pomocnicza, to tak naprawdę odpowiedzialność z ochronę informacji powierzonych konkretnemu działowi. Razem z realizacją szkoleń, przestrzeganiem zasad itp.

Teraz trochę przykładów.

  • HR – i bezpieczeństwo informacji. HR w zakresie zatrudnienia ma cel – zrekrutować osoby na stanowiska wakujące. Każdy chciałby szybko to zrobić. Ale jest pewien problem, bo w tym momencie osoby z rdzenia (obejrzyj klasyfikację zasobów ludzkich) powinny być sprawdzone. Firmy robią sprawdzenia kandydata do pracy, ale tylko w określonym zakresie. Pytanie, kto w tym zakresie jest odpowiedzialny?
  • PR/Marketing a tajemnica przedsiębiorstwa. Tajemnica przedsiębiorstwa to są wszelkie nieujawnione do publicznej wiadomości informacje (to jeden z dwóch warunków). Ale z drugiej strony całkowite schowanie informacji o działaniu firmy powoduje, ze marketing czy PR nie bardzo ma co sprzedawać. Bo to już nie ta era, gdzie sie wyprodukuje i się „samo sprzeda”. No to warto niektóre informacje ujawniać. Ale raczej nie wszystkie, bo nagle powstanie konkurencja, która po prostu będzie miała na tacy wyłożone to jak w danym biznesie działać. Pytanie, gdzie jest granica?

Na te pytania nie odpowiem, ponieważ każda firma jest inna. A niestety, zdarzyło się w historii mojej pracy, że ludzie bezmyślnie kopiowali rozwiązania podane jako przykładowe i robił się problem.

Po to jest specjalista, szef bezpieczeństwa, czy jakkolwiek nazwać to stanowisko, żeby potrafił wybrać złoty środek. Tak ustawić bezpieczeństwo – nie tylko informacji, ale całej firmy, żeby przy zachowaniu wymaganej elastyczności, sprawności i efektywności, była na tyle bezpieczna, że nikt jej nie zagrozić w prosty sposób.Bo skomplikowany, to już swoista wojna… Ale to tez na inny raz.