Temat: Dlaczego warto robić bezpieczeństwo informacji?

Tak dyskutując obok, w temacie o zarządzaniu czy kierowaniu, dodatkowy wątek. Jak w tytule.

Na razie ABI głównie "stosowany jest" w celu uniknięcia jakichś dość mitycznych odpowiedzialności. Fakty z 2011 - wykrywalność sprawców 40%. Na wszczętych 106 postępowań.

Więcej tutaj:
http://statystyka.policja.pl/st/wybrane-statystyki/och...

To argumenty nieco słabawe. Choć wiem, że w bezpieczeństwie strach jest najlepszym "handlowcem" o tyle jako świadomy bezpiecznik nie zgadzam się z tą filozofią.

Więc dlaczego warto?

Temat: Dlaczego warto robić bezpieczeństwo informacji?

Warto chociażby dlatego, że wpadka z bezpieczeństwem danych może się odbić wizerunkowo, co w konsekwencji wpłynie na kasę. A wszystkim chodzi o kasę :) Jako przykład zawsze podaję LG Petrobank i jego połączenie z Nordea.

Głośna wpadka LG z danymi osobowymi z 2002 r. (dla przypomnienia, bo to dla niektórych pewnie zamierzchła historia http://wiadomosci.wp.pl/kat,1342,title,LG-Petrobank-na... była mocnym argumentem w sprawie ceny podczas przejmowania LG przez Nordeę w 2003 r.

Temat: Dlaczego warto robić bezpieczeństwo informacji?

A coś więcej? Bo to nadal reputacyjne, w związku z naruszeniem przepisów. Tak formalnie.

Oczywiście można mówić o tym, że sa to duże kryzysy. Sorry znowu za kryptoreklamę, ale myślę, ze jak raz napisałem, to nie ma się co powtarzać. Siła rażenia (impact) takiego zdarzenia wynika z "identyfikacji" z poszkodowanymi. Pisałem na podstawie case VW - w danych osobowych w przypadku banku jest to jeszcze większe przełożenie. Bo nie każdego na VW stać, ale każdy może być klientem detalicznym banku:
https://www.linkedin.com/pulse/komunikacja-kryzysowa-pr...

Tylko znowu, naruszony atrybut poufności (jak zwykle) plus audytorium dość ograne (po całości).

A co jeszcze? W sensie inne atrybuty może?

Temat: Dlaczego warto robić bezpieczeństwo informacji?

Ostatnio, w urzędach używam takiego argumentu: https://zaufanatrzeciastrona.pl/post/urzad-miejski-w-ja...
Chcę im pokazać, że to nie jest tak, że takie rzeczy zdarzają tylko gdzieś daleko.

Temat: Dlaczego warto robić bezpieczeństwo informacji?

Grzegorz, gdybym Cie nie znał, to naprawdę zastanawiałbym się kto i dlaczego zadaje tak prowokacyjne pytanie...
Ja, gdy słyszę takie pytanie odsyłam do mojej ulubionej lektury z tej tematyki, a mianowicie Marti Y. M., Martinet B.: Wywiad gospodarczy. Pozyskiwanie i ochrona informacji - polskie wydanie już dość stare bo z 1999 roku, ale fajnie napisane i dużą ilością konkretnych przykładów.

A polskie przykłady - jest ich mnóstwo. Nie jeden biznes w Polsce rozbudował się lub padł na skutek braku lub niewłaściwej ochrony informacji. Jeden z nowych polskich banków w momencie tworzenia, na szefów oddziałów przyjmował ludzi na zasadzie niepisanego i cichego konkursu - dyrektorem zostawał ten, kto ściągnął ze sobą najwartościowszy i największy pakiet klientów. Trzeba bowiem pamiętać, że sam pakiet potencjalnych klientów to za mało do rozwoju takiego biznesu (przykład Alianz Banku jet tu najbardziej wymowny). Podobną sytuację widzę w chwili obecnej w firmach pożyczkowych. Rotacja pracowników powoduje, że za nimi idą klienci. Przejmowanie klientów, rozwiązań organizacyjnych, technologicznych to w chwili obecnej w Polsce chleb powszedni i to w niemal wszystkich dziedzinach gospodarki.

Może to nie polityczne, ale znowu przypomnę tu polską prywatyzację i sprzedaż polskich zakładów. Potencjalni nabywcy posiadali wówczas większy zasób informacji o sprzedawanych zakładach niż sprzedający, co w efekcie spowodowało to, że - jak się to popularnie nazywa - perełki w koronie zostały sprzedane za grosze. A w biznesie sentymentów nie ma - przykład Malmy - jest tu najbardziej wymowny. Błędem natomiast właściciela tej firmy było to, że nie zwrócił uwagi na to, że zamiast wycofać się ze współpracy z bankiem, który biznesowo, rodzinnie i mentalnie jest powiązany z jego największym konkurentem, liczył na czystość "gry".

Przyczyn braku bezpieczeństwa informacji jest dużo, środków zapobiegania jeszcze więcej. Brakuje natomiast jednego - świadomości zagrożenia i braku umiejętności wyceny informacji. Dla wielu menadżerów najwyższego szczebla do dnia dzisiejszego informacja nie jest wartością materialną a wycena własnych zasobów informacyjnych to poważny problem, Nie zdają sobie sprawy, że nawet drobne informacje czasami mogą być bardzo cenne dla konkurenta, nie wspominając już o tym, że ich ujawnienie może zniszczyć własny biznes.
Do tego dochodzi nieumiejętność sporządzania umów i klauzul ochronnych w nich zawartych, co powoduje, że ilość postępowań sądowych (zarówno karnych jak i cywilnych) z tego zakresu jest tak niewiele.Ten post został edytowany przez Autora dnia 16.10.15 o godzinie 00:51

Temat: Dlaczego warto robić bezpieczeństwo informacji?

Krzysztof ;-) Cóż. Owo pytanie ma pewien cel. Każda dyskusja "ubogaca" (takie słowo, co mi ostatnio bardzo się podoba).

Otóż uważam, że częściowo za średnią świadomość, czy pewne dość niskie cenniki sami sobie jesteśmy winni. Bo... nie potrafimy o tym z klientem dyskutowac. Więc tu, na forum specjalistycznym, myślę, że powinniśmy się nieco powymieniać wiedzą.

Nie boję się dyskusji i pokazywania mojego podejścia, bo wiem, że w szerszym ujęciu to mi pomoże. Jak środowisko będzie wiedziało jak dyskutować, to i świadomość wzrośnie. A jak świadomość wzrośnie, to i rynek wzrośnie. A jak rynek wzrośnie to i moja firma i działalność tez ;-)

To tyle jeśli chodzi o motywy, inspracje etc.

Temat: Dlaczego warto robić bezpieczeństwo informacji?

A teraz nieco żeby uporządkować.

Krzysztof podał przypadki z dużego biznesu, aliansów, przejęć. Ogólnie dużych korpo.
OK - przyjmuję, te w ujęciu strategicznym jak najbardziej są bardzo ważne. Skutki nieco później sie objawiają, ale jak już są to tak dotkliwe, że składają firmy. Tu głównie atrybut poufności.

Jarek - mam wrażenie, że rozliczalność. W tym w administracji publicznej, a więc ryzyko rzecznika dyscypliny finansów. Ryzyko jak najbardziej kluczowe - bo jednak o ile w przypadku korpo często mysli się nieco bardziej globalnie, o tyle w administracji moje spostrzeżenie jest takie, że jednak często kluczowym punktem widzenia jest odpowiedzialność urzędnika. Oczywiście nie wszędzie i nie zawsze.

Daniel - wizerunek. To trudny wątek. Spece od ryzyka z tym się borykają, nie potrafią wytłumaczyć i jak wszędzie szukają szabloników. Ale sam skutek wizerunkowy mieści się również w kategoriach strategicznych.

A mozę w tych trzech przykładach, rozwiniemy dalej? Spróbujemy ubrać w konkrety ryzyko utraty poufności - w zakresie strategicznym (przejęć, fuzji etc), Utraty rozliczalności- i wpływu na możliwości funkcjonowania urzędu oraz odpowiedzialność urzędnika i wizerunek, czyli jak oszacować owe straty?

Temat: Dlaczego warto robić bezpieczeństwo informacji?

Nie wiem czy na temat i czy ładnie to zabrzmi bo trochę represyjnie, ale...

Jeśli ktoś pyta się mnie po co jest ABI to odpowiadam, że ABI to m.in. taki informacyjny nadzorca i wewnętrzny kontrolny zasad bezpieczeństwa. Szef czasu i wiedzy najczęściej nie ma do osobistego nadzorowania pracowników, więc potrzebuje kogoś do pomocy. Niestety natura użytkownika / pracownika jest taka, że jeśli tylko ma zbyt wiele swobody to zaczyna kombinować. To natomiast małymi krokami prowadzi do bałaganu. Na swoim przykładzie i firmy, w której pracuję widzę, że przede mną był chaos ;) W chwili obecnej idealnie nie jest, ale każdy wie, że jeśli coś przeskrobie to na 90% o tym się dowiem. Znów niefajnie, ale to jest tak jak z przestępcami. Jeśli jest świadomość, że można wpaść to prawdopodobieństwo czynu zabronionego spada.

Temat: Dlaczego warto robić bezpieczeństwo informacji?

Jeżeli natomiast ciężko uświadomić, to trzeba ograniczyć dostęp. Wprowadzić bardziej restrykcyjne procedury niż wskazane oraz większe zabezpieczenia. Niestety wiadomo, że to nie wystarczy szczególnie w związku z tym, że coraz więcej informacji przechowywanych jest w postaci elektronicznej w bazach danych, często zdublowanych podpiętych do tej samej sieci (automatyczna kopia zapasowa), co umożliwia przeprowadzenie ataku na dwa serwery jednocześnie i skopiowanie danych z tego, który pierwszy 'ulegnie'.

Szkoda tylko, że przy konkursach na każde stanowisko nie można wpisać znajomości zabezpieczeń it, bhp, ppoż, ratownictwa na wszelki jakby ABI zawału miał dostać (tak nawiązując do twoich wypowiedzi w innych tematach Grzegorzu ;)...