Automatyzacja

Artur Sygnatowicz (Optimatis): Wyedukowani pracownicy to najlepsza ochrona organizacji

Wiele słyszymy o bezpieczeństwie w kontekście wycieków danych, konieczności wyrażania zgód na przetwarzanie naszych danych lub też spełnienia różnorakich norm i wytycznych. Na więc szczególnie zwrócić uwagę dbając o bezpieczeństwo w Smart Office? O tym opowie nasz dzisiejszy gość Artur Sygnatowicz ekspert Optimatis.

Robert Gontkiewicz: Wyciek danych i różne incydenty związane z   bezpieczeństwem. Czy to jest cena cyfrowej transformacji?

Artur Sygnatowicz: Może nie tyle cena, ile charakter cyfrowej transformacji. Coraz bardziej żyjemy w świecie cyfrowym, a nie tylko w otaczającym nas świecie przyrody.

W świecie cyfrowym obowiązują nas tak samo specyficzne, właściwe prawa, w związku z czym powinniśmy je znać i się do nich dostosować, a także umieć znaleźć się w tym świecie. Musimy znać zarówno te reguły, które są spisane i formalne, jak i te, które obowiązują w sposób niepisany.

R.G: No, tak pewnymi rzeczami się fascynujemy, ale zapominamy o tym, że jest ta druga strona medalu. Całe szczęście są organizacje, które dbają o to, żebyśmy zaczęli o tym pamiętać.

Są organy Unii Europejskiej, są sławetne teraz, szumie przez wszystkie przypadki odmieniane RODO, są instytucje bankowe, są rekomendacje krajowe itd. Teraz pojawia się pytanie. Czy one nadążają za tym, co się dzieje w świecie cyfrowych zmian?

A.S: Myślę, że w tej chwili jesteśmy w takiej sytuacji, gdzie następuje kolejna rewolucja w obszarze regulacji. Do tej pory mieliśmy do czynienia z regulacjami perspektywnymi — po prostu mogliśmy wziąć dokument i w nim było, napisane w kolejnych punktach co powinniśmy wykonać, aby uzyskać poczucie bezpieczeństwa. Od strony użytkowej było to bardzo wygodne, bardzo fajne, a ja jako audytor czułem się komfortowo, sprawdzając to.

Dzisiaj żyjemy w trochę innym świecie, te nowe regulacje a w szczególności RODO, o której wspomniałeś, idzie w innym kierunku, bo akceptuje, to, że świat się zmienił, że jest bardziej dynamiczny, elastyczny, że jest zmienny, że jest cyfrowy właśnie, że jest smart. Możemy użyć tego pojęcia, ponieważ ono znakomicie oddaje, to z czym mamy dzisiaj do czynienia. Powiedziałbym, że te nowe regulacje idą właśnie w kierunku elastyczności.

Mają one jasny przekaz: zastanów się, czego tak naprawdę potrzebujesz w tej szczególnej sytuacji. Rozejrzyj się wokół — my nie przyjdziemy i nie powiemy jak urządzić Twój świat, my ci powiemy, podpowiemy, jak powinieneś do tego podejść. Nie dajemy prostej listy, ale dajemy metodę. Co jest ważne, z jednej strony jesteśmy elastyczniejsi, ale z drugiej, to my ponosimy tę znaczną część odpowiedzialności za to, czy osiągniemy cel, który przed sobą postawiliśmy.

R.G: A to wcale nie jest takie proste, bo trzeba włączyć myślenie, a nie tylko sprawdzanie i czytanie czy jestem zgodny, czy niezgodny z regulacjami. Jednak mam nadzieję, że właśnie dzięki temu, że są regulacje, to nie zapomnimy o tych elementach bezpieczeństwa. Warto też zadać sobie pytanie, czym właściwie jest bezpieczeństwo?

A.S: Bezpieczeństwo to trzy obszary. Pierwszym jest poufność, czyli to, że informacja, która ja uważam za poufną, będzie udostępniona tylko tym, którzy zostaną upoważnieni do korzystania z niej. Drugi aspekt bezpieczeństwa to zapewnienie tego, aby ta informacja nie została zmanipulowana.

Wyobraźmy sobie taką sytuację: spółka giełdowa publikuje swoje wyniki, ale ktoś wychodzi na jej stronę i dokonuje manipulacji na wynikach i co się dzieje? Po najbliższych dwóch minutach na giełdzie już te wszystkie wykresy są zaznaczone na czerwono itp.

A więc nie chcielibyśmy dopuścić do takiej sytuacji. Inny przypadek to jest np. kwestia tego, kiedy nadchodzi powódź. W tej chwili co roku mamy do czynienia z takimi zjawiskami i możliwe, że jedna z naszych siedzib nagle ulega tejże powodzi. Wówczas chcielibyśmy, aby osoby, które do tej pory korzystały z naszych systemów cyfrowych, nadal mogły z tego korzystać. Inaczej mówiąc, chcemy zapewnić ciągłość dostępu.

R.G: Przejdźmy do Smart Office. Czy wystarczy, że komórki wewnętrzne w organizacji będą stosowały te trzy podstawowe zasady, o których wspomniałeś?

A.S: Nie, na pewno nie wystarczy. Pierwszą rzeczą, którą bym zalecał zrobić, to zastanowić się, co my tak naprawdę robimy. Na ile nasza działalność, jest działalnością ogólną i te reguły, o których wspominaliśmy są wystarczające a na ile potrzebujemy sięgnąć po dodatkowe jakieś elementy wspierające, budujące naszą wyobraźnię o potencjalnych zagrożeniach, które mogą występować specyficznie akurat dla naszej działalności czy też dla naszego środowiska.

R.G: Analiza zagrożeń przede wszystkim. Ale rozumiem, że regulacje także powinniśmy stosować?

A.S: Niewątpliwie, tak. Ja traktuję trochę regulację jak encyklopedię. Trudno spamiętać wszystkie reguły, mamy jedenaście domen w jednej normie, kilkadziesiąt obszarów w innej, więc, zamiast to spamiętać, po prostu sięgamy do tego jako do encyklopedii.

Ta encyklopedia nam podpowiada: zastanów się nad dostępem, zastanów się nad bezpieczeństwem fizycznym itd. Krótko mówiąc, te wszystkie standardy i normy traktuje jako takie pomocniki naszej działalności, mając na uwadze, że mamy pewien określony cel.

R.G: Nic nam nie zastąpi tego, że człowiek będzie wiedział, że pewne rzeczy są po prostu niebezpieczne, jednak jest jeszcze trzeci element. Wiele organizacji od niego zaczyna, czyli narzędzia informatyczne. Niektórzy sobie mówią: wdrożę rozwiązania, firewall i inne zabezpieczenia i to mi pomoże. Jakie jest Twoje zdanie na ten temat?

A.S: Pomoże, ale nie rozwiąże moich wszystkich problemów. Trzeba myśleć o tym, jak o cebulce. Czyli zróbmy tak, aby jeśli haker będzie się włamywał, to przy tym będzie też gorzko płakał.

Zanim dostaniemy się do środka, najpierw mamy przeszkodę w postaci firewall, ale już nie w podstawowej wersji, bo jesteśmy smart. Istnieją ciekawe rozwiązania takie, jak DLP, które weryfikują jakiego typu informacje mogą wyciekać z naszej firmy, a więc dbamy o to, żeby podzielić obszar logiczny na różne części związane z sieciami komputerowymi.

Dbamy także o to, by aktualizować nasze systemy operacyjne, czy też urządzenia, z których korzystamy i co najważniejsze, musimy pamiętać o zarządzaniu uprawnieniami, bo to naprawdę pięta achillesowa, nawet nie będę mówił jak wielu instytucji.

R.G Uprawnienia, narzędzia, systemy informatyczne, pojawiło się ich mnóstwo w tej chwili, więc trzeba naprawdę umiejętnie je dobrać. Oczywiście w zależności od tego, jaki jest poziom ryzyka i jaki poziom bezpieczeństwa akceptowalny przez nas. Podziel się z nami proszę pięcioma radami dla komórki smartofficowej?

A.S: Menadżerze, po pierwsze, twórz politykę i dokumentuj! Ta polityka musi być dostępna dla wszystkich. Druga ważna rzecz, o której warto pamiętać to edukowanie ludzi, dlatego, że ludzie to właśnie ta najważniejsza ochrona w Twojej instytucji. Trzecia rzecz — pamiętaj o zarządzaniu uprawnieniami i nie miej litości dla vipów. Czwarta rada: twórz, ale i weryfikuj konta bezpieczeństwa i obyś nie musiał ich używać. I piąta rada: weryfikuj czy to, co podjąłeś, tak naprawdę działa. Jeżeli nie działa, to trzeba coś z tym zrobić.

R.G: Dziękuję bardzo za rozmowę.

Gościem Roberta Gontkiewicza był Artur Sygnatowicz.

Zapraszamy na stronę: smartoffice.optimatis.pl

foto: Oskar Kujawa

Komentarze Facebook
Click to comment

Skomentuj

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Ostatnio

Pierwsza na świecie telewizja nadająca regularny program na Facebooku i YouTube, produkująca profesjonalne treści filmowe we współpracy z polskimi przedsiębiorcami, artystami, dziennikarzami, muzykami.

Copyright © 2016 - 2017 by: Compas Multimedia Tomasz Słodki

Do góry
Udostępnień
ś