My?l?, ?e wielu z Was zna zielony logotyp DEKRA i zazwyczaj kojarzy firm? z ogólnie poj?tym procesem certyfikacji, czy to organizacji, czy te? produktów. Zainteresowany zaproszeniem z Zachodniej Izby Gospodarczej postanowi?em uda? si? do wroc?awskiej siedziby DEKRA na ?niadanie biznesowe po?wi?cone aspektom cyberbezpiecze?stwa, które sta?o si? moim „konikiem” zawodowym kilka lat temu.
Nie od dzi? wiadomo, ?e dane osobowe, informacje o kontrahentach, o ofertach i umowach, pomys?y i strategia – obszary najbardziej kluczowe dla dzia?ania organizacji w dobie post?pu technologicznego i liczby mobilnych urz?dze? – wymagaj? zastosowania szczególnych ?rodków bezpiecze?stwa.
Grupa DEKRA od wielu lat pracuje nad rozwi?zaniami, które w skuteczny sposób pozwalaj? przedsi?biorcom zabezpieczy? dane finansowe, osobowe czy know-how przed niekontrolowanymi wyciekami. Pomaga klientom w trakcie audytów i szkole? m.in. w dziedzinie bezpiecze?stwa behawioralnego i organizacyjnego, zarz?dzania bezpiecze?stwem informacji oraz wdra?ania strategii zarz?dzania ryzykiem.
DEKRA od pewnego czasu oferuje certyfikacj? w zakresie normy ISO 27001 i 27002, która okre?la wymagania dla systemu zarz?dzania bezpiecze?stwem informacji. Norma ISO 27002 powsta?a jako merytoryczne rozwini?cie ISO 27001 i stanowi wytyczne implementacyjne oparte o rekomendowane „dobre praktyki”. Innymi s?owy, jest to zbiór minimalnych zabezpiecze? dla informacji w organizacji, który pozwala na ewaluacj? stanu zabezpiecze?. W zakresie dzia?alno?ci DEKRA nie mog?o oczywi?cie zabrakn?? audytu ochrony danych osobowych (czyli analizy zgodno?ci z rozporz?dzeniem RODO/GDPR). DEKRA zarówno w obszarze bezpiecze?stwa informacji (ISO 27001, 27002), ISO 22301 (zarz?dzanie ci?g?o?ci? dzia?ania) i RODO prowadzi szkolenia.
Spotkanie mia?o form? ?niadania biznesowego, którego g?ównym elementem by? wyk?ad prowadzony przez specjalistów DEKRA, tj. Piotra Ubycha i Tomasza Romanika, po?wi?cony dwóm g?ównym filarom, na których opiera si? cyberbezpiecze?stwo w organizacjach – technologii i cz?owiekowi. O ile nierzadko spotyka?em si? z omawianiem pierwszego filaru w sposób bardzo szczegó?owy, z informacj? o najnowszych funkcjonalno?ciach systemów z zakresu security IT, to z drugim elementem, wydaje mi si?, ?e jest spory problem. Organizacje potrafi? wdro?y? zaawansowane narz?dzia zapewniaj?ce bezpiecze?stwo, ale do problemu u?wiadomienia kadry niewiele firm i instytucji podchodzi w sposób rzetelny. Prowadz?cym zada?em pytanie „Co mo?emy zrobi?, ?eby zminimalizowa? ryzyko braku ochrony danych, a co za tym idzie straty finansowej, trudno policzalnej utraty konkurencyjno?ci i zaufania kontrahentów?” i uzyska?em nast?puj?ce odpowiedzi:
Pierwszym filarem bezpiecze?stwa s? rozwi?zania techniczne. W?a?ciwe zabezpieczenia stosowane np. w przypadku procesów realizowanych poza chronionymi strefami (praca zdalna, smartphony), bezpieczne post?powanie z no?nikami danych, bezpieczna wymiana danych pomi?dzy systemami, z wykorzystaniem silnych algorytmów szyfruj?cych oraz zaufanych certyfikatów – to przyk?adowe obszary dla których ka?da organizacja powinna przeprowadzi? analiz? ryzyka i uwzgl?dni? dost?pne technologie zabezpieczaj?ce. Istniej? dobre praktyki lub te? specyficzne wymagania OEM, które narzucaj? konkretne rozwi?zania technologiczne, takie jak stosowanie ochrony antywirusowej serwerów i stacji, stosowanie bezpiecznych algorytmów szyfrowania (np. AES-256), etc. – odpowiedzia? Piotr Ubych, Mened?er Produktu ds. Ochrony Danych, DEKRA Certification Sp. z o.o.
Nawet najbardziej zaawansowane rozwi?zania techniczne nie ochroni? nas przed ryzykiem utraty cennych informacji i danych je?li pominiemy drugi istotny filar bezpiecze?stwa jakim jest czynnik ludzki. Bardzo cz?sto brak wiedzy czy ?wiadomo?ci, nawyki naszych pracowników mog? doprowadzi? do sytuacji zagro?enia. Na pewno wi?kszo?? z nas otrzyma?a kiedy? email z nieznanym za??cznikiem, podejrzanym linkiem, który, je?li klikni?ty wprowadza osobiste lub poufne informacje do pozornie przyjaznego (i znajomego) konta. Na pewno s?yszeli?my te? historie o zgubionych firmowych laptopach i smartfonach, przez pomy?k? zostawionych w taksówce, na lotnisku. Jak si? zabezpieczy? przed ludzkim zm?czeniem, przeoczeniem, nie?wiadomo?ci?? Po pierwsze zdiagnozowa? bariery organizacji w zakresie po??danych postaw i zachowa? pracowników. Po drugie edukowa?, w sposób cykliczny, wielowymiarowy (wyk?ady, case studies, warsztaty). – stwierdzi? Tomasz Romanik, Mened?er Regionalny, Trener/Audytor, DEKRA Certification Sp. z o.o.
Nale?y pami?ta?, ?e najs?abszym ogniwem w „uk?adance” zwanej bezpiecze?stwem jest cz?owiek i bez ?wiadomo?ci zagro?e? i wiedzy, co powinno si? robi?, a czego nie, nawet najlepsze zabezpieczenia s? nieskuteczne. Dlatego cieszy mnie podej?cie DEKRA do zagadnienia bezpiecze?stwa informatycznego, ?e równie uwa?nie, a nawet z jeszcze wi?ksz? staranno?ci?, traktuje czynniki behawioralne zapewniaj?ce ci?g?o?? dzia?ania organizacjom.
