Upravljanje sigurnošću informacijskog sustava - motivi, trenutno stanje i
razvoj
O bilo kojoj ljudskoj djelatnosti da je riječ, rizik je više ili manje njen sastavni dio. U
vezi je sa svakom aktivnošću za koju postoji vjerojatnost nastupanja, odnosno vjerojatnost
nastupanja određenog slučaja prema svim mogućim slučajevima. Treba znati da sam po sebi
rizik nije stanje ili čin djelovanja već stanje neizvjesnosti. Razlog što su sigurnosni rizici za
informacijski sustav (IS) poduzeća sve zanimljiviji je u tome što se njihova pojava povezuje s
gubicima. Odnosno, rizik je mogućnost nastanka gubitka. Zato pojava rizika kod pojedinaca
ili poslovnih subjekata izaziva strah od budućih događaja. Pojavu rizika za IS poslovodstvo
danas izražava kao jednu od najvećih prijetnja poslovnom procesu. To stoga što postaje
svjesno da takav gubitak može paralizirati poduzeće.
prijetnje
vanjski i
unutarnji
utjecaji
manjkavost
zaštite
slučajnosti
vanjski i
unutarnji
utjecaji
manjkavost
zaštite
incidenti
manjkavost
zaštite
posljedice
manjkavost
zaštite
gubici
manjkavost
zaštite
Slika 1. Kako nastaje sigurnosni rizik
RAZLOG PORASTA INTERESA I POTREBE ZA UPRAVLJANJEM SIGURNOSNIM RIZICIMA
porast ranjivosti imovine IS-a
porast troškova zaštite i neučinkovita zaštita
porast broja prijetnji i nastanak novih oblika prijetnji
teško uočavanje prijetnji
postojanje stalnog (prikrivenog) rizika
PREPREKE NA KOJE SE NAILAZI PRI PLANIRANJU UNAPREĐENJA SIGURNSOTI
nedostatak vremena i složenost tehnoloogije
slaba podrška meneđmenta
troškovi
ljudski potencijali
nedostatak alata i rješenja
U takvim neizvjesnim uvjetima poslovanja treba se zapitati kolika je ugroženost
vlastitog IS-a i njegovih elemenata, kakav to ima utjecaj na poslovanje te kako sigurnosne
rizike umanjiti ili ukloniti. Osim ugroženosti IS-a sigurnosnim rizicima na porast zanimanja
za sigurnošću IS-a utječu i promjene u načinu poslovanja:
potreba minimiziranja zastoja tj. prekida u poslovnom procesu radi dinamične i
konkurentne sredine
informacija ima stratešku važnost u poslovanju
nastanak novih grana privređivanja što uzrokuje i nastanak novih izvora prijetnja i
ugrožavanja informacija
razvoj novih poslovnih aktivnosti čija uspješnost neposredno ovisi o stupnju sigurnosti
globalizacija tržišta i korištenje otvorenih računalnih mreža (Internet)
Uz nabrojano, kao sve češći motiv za osiguravanje IS-a od nedavno se pojavljuju i
različite formalne obaveze i zakoni koje određuje država i/ili propisi i kriteriji poslovnih
subjekata na nacionalnoj ili međunarodnoj razini kao uvjet djelovanja na tržištu.
RAZLOZI (NE)BRIGE ZA SIGURNOSNI RIZIK
otežano uočavanje rizika
veličina problema (veliki broj različitih tipova rizika, velik broj mjesta na koja
rizici utječu)
rizik je često opisne naravi, a takav se teže razumije (još teže kvantificira)
prikriveni rizik je slabo uočljiv
bijeg od stvarnosti ("pa neće se baš nama ili sada dogoditi, konzervativni pogled
na sustav)
opterećenost drugim problemima
rizik je apstraktni pojam
top mendžment
nedostatak
znanja i novca
voditelji odjela, djelatnici
poznati
problem
i
tajnosti
meni
povre radu
iu
prekid
pov
rem
e
nepredviđene
greške opreme
i do
n js k
a
v
ajni
sluč
manji
gubic
i
imovin
e
e
en
em e
r
v
po sreć
ne
osti
slab esa
oc
ne l
juds pr
ke g
rešk
e
gađ
a ji
slab
osti
up
sus ravlja
čko
tav
a
g
Slika 2. Razlozi otežanom uočavanju sigurnosnog rizika
potencijalni
gubici
Trenutno stanje (ne)sigurnosti
Sigurnosni rizici nastaju radi izloženosti nizu razornih utjecaja koje nazivamo
sigurnosnim prijetnjama. Prijetnje iskorištavaju ranjivost elemenata IS-a i dovode do
incidenata sigurnosti ili nesreća. Po izvještajima CERT centra za praćenje sigurnosnih
incidenta <www.cert.org> broj ranjivosti IS-a iz godine u godinu sve je veći. Pogreške
hardvera većinom su uzrok sigurnosnih incidenta ali tu su i ostali uzroci incidenta
(zaposlenici, softver, računalni virusi, prirodne nesreće itd.).
Postoje mnoga izvješća koja ističu povećanu ugroženost i povećanje broja sigurnosnih
prijetnja za IS-a. Kao najčešće posljedice djelovanja prijetnja navode se:
- nedostupnost informacijskih servisa
- otkrivanje tajnih informacija, korupcija važnih informacija, krađa informacija
- prestanka rada poslovnog WEB-a, gubitak mrežnog pristupa
- javne neugodnosti
- loša reklama i pobjeda suparnika na tržišnoj utrci
Prijavljuju se i mnogobrojni novi oblici prijetnja (često vezani za informacijsku
tehnologiju) a u zadnje vrijeme nastaju i nove prijetnje koje se nazivaju "informacijski
warefare". To su prijetnje intelektualnom vlasništvu, znanju i informacijama a među brojnim
oblicima djelovanja posebno su izražene kao ekonomska špijunaža i krađa informacija.
Njihov je izvor u zanimljivosti poslovnih informacija na temelju kojeg pojedinci ili grupe
mogu ostvariti korist.
Tablica 1. Popis najučestalijih oblika unutarnjih i vanjskih sigurnosnih prijetnji
unutarnje prijetnje
neautorizirana instalacija
infekcija virusima
korištenje računalnih izvora u privatne svrhe
neprikladno korištenje kontrola pristupa
neautorizirana instalacija i korištenje sklopovlja
korištenje računalnih izvora poduzeća za osobni profit
fizička krađa, sabotaža uređaja ili namjerno uništenje računalne opreme
elektronička krađa, sabotaža ili namjerno uništenje podataka ili informacija
vanjske prijetnje
računalni virusi
napadi povezani s programskim skriptama
napadi povezani sa slabošću protokola
napadi povezani s nesigurnim lozinkama
U situaciji neizvjesnosti odnosno mogućnosti nastanka velikih gubitaka poslovodstva
danas izražavaju strah od sigurnosnih nesreća kao jedan od najvećih problema, ozbiljnu
prijetnju opstanku poslovanja i važno pitanje u radu poslovnih organizacija. Da je strah
opravdan pokazuju podaci proizašli iz istraživanja provedenog u SAD-u prema kojima
propada 50% poslovnih organizacija koje u manje od 10 dana ne obnove izgubljene kritične
informacije.
U svakom slučaju djelovanje prijetnja na sredstva i imovinu IS-a izaziva gubitke. Oni
mogu biti (1.) neposredni ili financijski gubitci - u slučaju da imovina IS-a ima i tržišnu
vrijednost (oprema, patenti, licence) ili je njihov gubitak imao financijske posljedice za
poslovnu organizaciju i (2.) posredni (ometanje ključnih poslovnih procesa, gubitak poslovnih
informacija, znanja ili potencijala ljudi, otkrivanje informacija) - kad se gubici očituju u
nemogućnosti nastavka ili usporenog nastavka procesa, lošijim odlukama i sličnom.
Slika 5 pokazuje da gubici nastali djelovanjem prijetnja i ugrožavanjem IS-a u
poslovnim organizacijama rastu iz godine u godinu a trend se ne smanjuje unatoč razvoju
misli, tehnologije, metoda, postupaka i prakse na području sigurnosti IS-a.
Kao rezultat potreba i zahtjeva za sigurnošći neprekidno rastu ulaganja u: sigurnost
informacija, projekte iz područja sigurnosti poslovanja te se razvijaju različite metode
unapređenja sigurnosti. Postavlja se pitanje da li poduzeća posvećuju dovoljnu brigu
sigurnsoti IS-a te što treba učiniti da se sigurnost poveća, koje tehnologije i metode koristiti,
koliko treba uložiti financijskih sredstava i slično. Kao rezultat potrebe unapređenja sigurnosti
IS-a u neprekidno rastu ulaganja u: sigurnost informacija, projekte iz područja sigurnosti
poslovanja te se razvijaju različite metode unapređenja sigurnosti.
Razvoj na području unapređenja sigurnsoti IS-a
Unaprijediti sigurnost odnosi se na primjenu mjera zaštite, mnogobrojnih tehnologija,
postupaka i strategije kojima se s manje ili više uspjeha povećava sigurnost IS-a. Cilj je
ostvarivanje razine sigurnosti koja iskazuje sposobnost IS-a da zadovolji potrebe organizacije
za informacijama, odnosno zaštiti IS organizacije od različitih prijetnja.
U prvoj etapi nastanka i razvoja IS-a kao organizacijske jedinice i poslovne funkcije,
zaštitu IS-a karakteriziraju fizičke i tehničke mjere. Obrada je podataka centralizirana u
velikim računarskim centrima. Računarski centri ulažu u zaštitu materijalne imovine. U toj se
etapi pojačano razvija računalna podrška poslovanju, a hardver čini pretežiti dio u strukturi
IS-a.
Tablica 2. Usporedba faza razvoja IS-a i oblika njegove zaštite
Faza razvoja
"ComputerCentric
Environment"
"Information
TechnologyCentric
Environment"
"InformationCentric
Environment"
Osnovne značajke
procesiranja podataka
u središtu je tehnička
infrastruktura, karakteristična
je centralizirana i slijedna
obrada podataka
u središtu je IT, karakteristični
je višezadaćni rad te
distribuirano obrada u realnom
vremenu
u središtu su informacije,
karakteristični su
decentralizirani i
automatizirani procesi, radne
stanice i PC
Osobine rada IS-a
Prevladavajući
oblik zaštite
funkcije ne zavise o radu
računala, pogreške u računalnom
sustavu imaju slab utjecaj na
poslovanje
fizičke kontrole
zaštite
poslovanje počinje lagano ovisiti
o IS-u jer se sve više funkcija
izvodi primjenom IT
fizičko-tehničke
mjere zaštite
IT se primjenjuje i povezuje sve
funkcije koje zavise o
informacijama, odlučuje se na
temelju informacija koje IS
dostavlja
fizičke, tehničke i
operacijske mjere
zaštite
S padom cijena računalne tehnologije, razvojem novih tehnologija, decentralizacijom
sustava i porastom važnosti informacija u poslovanju mijenjaju se i interesi za zaštitom.
Tehnologija gubi ulogu pokretača poslovanja a u središte zanimanja dolazi izvor koji se
nameće kao kritičan za poslovnu uspješnost - informacija. Osim fizičkih i tehničkih mjera sve
se češće primjenjuju operacijske mjere zaštite (softver, različiti alati itd.).
Informacija u središtu interesa
IT u središtu interesa
Hardver u središtu interesa :
fizičke kontrole
Kontrole :
fizičke, tehničke
Kontrole :
fizičke, tehničke, operacijske
Slika 3.: Zavisnost zaštite IS-a o primijenjenoj tehnologiji
Zbog povećanog broja čimbenika koji uzrokuju opasnosti i povećanog broja prijetnja,
porasta složenosti i veličine sustava, češćeg korištenja sustava i potrebne brzine i
raspoloživosti sustava, uvođenje novih tehnologija i nastanak novih grana privređivanja te
poslovi vezani za sigurnosti IS-a sve se teže učinkovito sprovode. Klasične kontrole zaštite
postaju neprimjerene potrebama. Stoga se krajem 70-tih godina prošlog stoljeća počinju
primjenjivati metode procjene čimbenika sigurnosti kao preduvjet optimalnih mjera zaštite ISa. Nastaju metode procjena rizika koje se smatraju temeljem za odlučivanje i izbor načina
zaštite, odnosno upravljanjem sigurnosnim rizikom.
Procjena i upravljanje sigurnosnim rizikom
Općenito procjena sigurnosnog rizika predstavlja proces identifikacije i uspostave
kontrola sigurnosti u organizaciji i njenim sustavima, aplikacijama i servisima prema
izmjerenim i procijenjenim rizicima, a dijeli se na (1.) proces prikupljanja činjenica, sumnja i
pretpostavka i (2.) odlučivanja o prihvatljivosti rizika.
Slika 4.: Čimbenici razumijevanja sigunosnog rizika
Prema tome, procjena sigurnosnog rizika uključuje razmatranje:
- poslovne štete koja može nastati kao rezultat sigurnosnih nesreća, uzimajući u obzir
potencijalne posljedice gubitka povjerljivosti, cjelovitosti ili dostupnosti informacija ili
imovine
- realnih vjerojatnosti da će do tih ispada doći, u kontekstu prevladavajućih prijetnja i
ranjivosti, te trenutačno implementiranih kontrolnih mehanizama
Rezultat procjene rizika sigurnosti jasno je definirana vrijednost imovine (eng. Asset)
IS-a i njihova ranjivost, jakost sigurnosnih prijetnja i vjerojatnost da će prijetnja iskoristiti
ranjivost imovine. Popis zadataka koje u svrhu procjene rizika treba provesti su:
1. planiranje i pripreme (razjasniti način na koji će se sprovesti metode rada)
2. određivanje timova i njihovih zadataka (odgovornost za pojedine zadatke, odabir i
broj sudionika procesa izbor-a)
3. prikupljanje podataka
3.1. utvrđivanje poslovne imovine i procjene njihove vrijednosti
3.2. utvrđivanje mogućih prijetnja za poslovnu imovinu
3.3. utvrđivanje vjerojatnosti da prijetnje djeluju na imovinu
4. procjena prikupljenih podataka
4.1. procjena imovine
4.2. procjena ranjivosti, prijetnja i njihova utjecaj na imovinu
4.3. utvrđivanje vjerojatnosti nastanka i djelovanja prijetnja
5. mjerenje i određivanje rizika
6. izrada izvješća
7. određivanje potrebnih protumjera
8. određivanje preostalog rizika
Kao dio procesa upravljanja sigurnošću IS-a procjena rizika spominje se još 1974.
kad je Federal Information Processing Standard (FIPS) objavio publikaciju Automated Data
Processing Physical Security and Risk Management. Od tada se procjena rizika sve učestalije
primjenjuje i razvija, osnova je unapređenju sigurnosti IS-a, a u skladu s tehnološkim,
društvenim i gospodarskim razvojem mijenja se i način na koji se sprovodi. No, unatoč
promjenama, procjena sigurnosnog rizika sadržana je u svim etapama razvoja procesa
upravljanja sigurnošću IS-a. Općenito, procjenu rizika mnogi autori smatraju preduvjetom i
sastavnim dijelom procesa upravljanja rizikom i odlučujućom pri izboru učinkovitih mjera
zaštite. Nadalje, ona je prva etapa etapu pri utvrđivanju potrebne zaštite na temelju koje se u
drugoj se fazi umanjivanja rizika, pokušava na utvrđeni rizik djelovati nekom od strategija
zaštite.
Sustav upravljanja sigurnosnim
rizikom
Slika 5.: Funkcijski elementi sustava upravljanja sigurnosnim rizikom
U proteklih se 20 godina sigurnosni rizik mjerit i procjenjuje, a menadžment usvaja
strategije upravljanja sigurnošću potrebne za osiguranje stalnosti poslovanja. Osnovno pitanje
koje se postavlja pri donošenju odluke o procjeni sigurnosnog rizika je na koji način to
provesti, koji oblici podrške tom procesu postoje te primjerenost pojedine metode osobinama
vlastite organizacije. Kod tog izbora najčešće poteškoće uzrokuje nepoznavanje pojedinih
metoda procjene te načina na koji se koriste. Često su u pitanju i ograničeni vremenski i
financijski izvori pa izbor metode procjene postaje zamršeni posao koji može loše završiti.
Primjerenost metoda i tehnika određena je u prvom redu osobinama metodologije
procjene sigurnosnog rizika i njenom primjerenošću problemu. Osim toga na izbor utječu i
zahtjevi metrike rizika sigurnosti, motivi provedbe, preciznost i objektivnost, itd. Izbor je
posebno uvjetovan i znanjem procjenitelja i raspoloživim informacijama o metodama i
tehnikama. Danas postoji veći broj metoda za procjenu sigurnosnog rizika IS-a : BS,
CRAMM, COBRA, OCTAVE, NIST, NASA, FMEA, GAO, RuSecure, ALE, FIPS, CORA,
FRAP, COBIT i dr. od kojih neke predstavljaju i rješenje za upravljanje rizikom.
odrediti, zahtjeve, ciljeve
i politiku sigurnosti,
obučiti članove
poslovodstva
definirati radne timove,
odrediti područje i način
djelovanja
utvrditi metodologiju
rada i potrebne alate
analizirati utjecaj
prijetnja na poslovanje
uspostaviti upravljačku
strukturu
planirati, odrediti ciljeve,
zadatke i odgovornosti
provesti procjenu rizika
uvtrditi kritične čimbenike rizika
odabrati metodologiju i alate
provesti procjenu
provesti utvrđivanje i
procjenu rizika
izrada scenarija nesreća,
plana u slučaju nesreće
određivanje i primjena
sigurnosnih mjera
izvjestiti odlučitelje o
rezultatima
pratiti i procjenjivati sigurnost, rizike
i unapređivati performanse,
djelovati na smanjenju rizika, uvoditi
spoznaju o važnosti osiguravanja
pratiti učinkovitost
zaštite i poboljšavati
sigurnost
Slika 6.: Koraci u procesu upravljanja rizikom
Važnost procjene rizika sigurnosti je u tome što se veličina utvrđenog rizika može
izravno upotrijebiti kao pokazatelj potrebnih sigurnosnih rješenja i troškova mjera zaštite.
Naime, ulaganja u sigurnost određuju se srazmjerno mogućim gubicima, tj. utvrđenom riziku
jer osiguranje ne treba biti veće od potrebnog odnosno optimalno smanjenje rizika nastupa
kada daljnje smanjivanje košta više od ostvarenih koristi.
iznos
troškova
troškovi
rizici
Cilj
max
Slika 7.: Dijagram srazmjera rizika i troška
veličina
rizika
Zato se rezultati procjene mogu koristiti za upravljanje troškovima i pokazatelj su
optimalne razine sigurnosti.
U funkciji odabira zaštitnih mjera koje slijede procejnu rizika usklađuju se potrebe
poduzeća, uvjeti u kojima se djeluje, poslovna strategija i ostali čimbenici poslovanja, a
posebno izvori rizika. Odabarana strategija ovisi prije svega o uspješnoj procjeni rizika ali
obavezno i o politici zaštite, poslovnoj polotici i strategiji te znanju zaposlenih.
izbjegavanje
smanjenje
prenošenje
prihvaćanje
Tablica 3. Strategije upravljanja sigurnosnim rizikom
- možda i nasigurniji oblik umanjivanja rizika, ne poništava se izvor prijetnja, već moguće
djelovanje na poslovne vrijednosti
- najčešći postupci kod izbjegavanja rizika
- udaljavanje, npr. alokacija mjesta djelovanja u sigurna područja
- odvajanje (npr. fizičko odvajanje djela računalne mreže)
- selekcija (npr. zaposlenika)
- skrivanje ili prikrivanje (npr. poslovnih rezultata ili opreme) itd .
- provodi se djelovanjem mjera zaštite na čimbenike rizika
- popraćeno znatnim ulaganjima
- postiže se dobra razina sigurnosti
- temelji se na stvaranju zalihosti u informacijskom sustavu
- pitanje brzine odziva sustava zaštite
- pitanje brzini obnavaljanja u slučaju nesreće
- preporuča se samo onda ako su iscrpljene ostale mogućnosti
- danas najčešće korištena strategija, zbog
- nezanenja i nerazumijevanje
- nepoznavanje ostalih strategija
- loše analiza mogućih alterantiva
- znači prenijeti odgovornost za moguće gubitke na drugog
- ne djeluje se na čimbenike rizika, već nadoknađuje nastali gubitak.
- nedostaci
- što je duže vrijeme povrata gubitka to su oni veći
- informaciju je teško financijski procijeniti
- infomacija mijenja svoju vrijednost u vremenu
- vrlo visoke premije za osiguravanje, koje mogu premašiti objektivne rizike
- ne preporuča se informacijsku imovinu
- korisno kod zaštite materijalne imovine i imovines tržišnom vrijendošću
- nakon iscrpljivanja svih ostalih mogućnsoti
- oslanja se na (ne)vjerojatnost nenastupanja nesreća.
- ne preporuča se prije sprovedene analize da se ne bi prevarili u subjektivnm procjenama
- u određenoj mjeri i područjima donosi znatne uštede i može predstavljati dobar način
upravljanja rizicima
- nedostatak kod strategije prihvaćanja rizika je što postoji povećana mogućnost
iskorištavanja slabosti ako informacija o nepostojanju zaštite procuri u javnost.
- iznad granice koja se tolerira rizik primjenjuje se neki od postupaka umanjivanja
rizika
Korist od procjene i upravljanja sigurnosnim rizikom
Kad je rizik procijenjen a mjere zaštite izabrane i postavljene ostaje pitanje kolika je
korist od učinjenog. Općenito se može pretpostaviti da će upravljanje sigurnošću osigurati
neprekidno poslovanje i i povećati zadovoljstvo korisnika informacijskog sustava. Takav opis
nije dovoljan za opisivanje kvalitete sprovedenih aktivnosti i usporedbu rezultata nego je
potrebno točnije izraziti učinke sigurnosti. U tome se nailazi na određene poteškoće.
Dok neposredno mjerljive učinke kao što su (ulaganja, broj nesreća, skraćeno vrijeme
zastoja, iskorištenje kapaciteta i sl.) možemo relativno lako izraziti, posredno mjerljivi učinci
(zadovoljstvo korisnika, poboljšanje organizacije sustava, kvalitete rada, standardizacija
radnih postupaka, preciznije praćenje zadataka i izvršenja, povećan stupanj sigurnosti itd.)
mogu predstavljati probleme kod utvrđivanja. Što više, u slučaju mjerenja učinaka sigurnosti
nailazimo na pretežito intuitivne i posredne razultate. Ponekad se može posumnjati u značenje
takvih učinaka za poslovni sustav. Rezultat mjerenja razine sigurnosti treba ukazivati na
unutarnje poboljšanje performansi. Među neposredne rezultate upravljanja rizikom ubrajaju
se:
- definirane odgovornosti zaposlenika za informacije
- klasifikacija informacija po važnosti
- uspostava kontole pristupa podacima
- uspostavljeni postupci u slučaju nesreće
- zadovoljenje pravne regulative
- zadovoljenje tržišnih pravila i zahtjeva poslovnih partnera
- formalna i neformalna priznanja za poduzete aktivnosti itd.
U posredne koristi od upravljanja rizikom ubrajaju se :
- kvalitetnije donošenje odluka u poduzeću
- postupak obrade informacija je vidljiviji
- dostupnost informacijama je povećana
- doprinos informacija u uspjehu poduzeća je veći
- imidž na tržištu
- razumijevanje prijetnja, rizika i njihovih financijskih posljedica
Što nakon procjene rizika ?
Ipak, uočeni su i određeni nedostaci upravljanja sigurnošću procjenom rizika. Uistinu,
zbog povećanog broja čimbenika djelovanja IS-a procjena rizika postaje mukotrpnim i
izvorima zahtjevan posao koji u konačnici ne daje upotrebljive rezultate.
Posebno se ističe otežana i subjektivna procjena nematerijalne imovine IS-a čiji
kvalitativni karakter ne zadovoljava potrebe analize troškova i koristi. Izražava se stav da
procjena rizika nije prikladna za upravljanje sigurnošću IS-a u današnjim uvjetima.
Kao rješenje problema otežanog upravljanja sigurnošću IS-a nazire se razvoj
operativnih postupaka za uspostavljanje sigurnog rada IS-a. Pokušaji definiranja najbolje
prakse, postupaka i pravila rada koji bi unaprijedili sigurnost IS-a, a istovremeno zadovoljili
potrebe poslovodstva, u posljednja su dva desetljeća rezultirali nastankom koncepta i norma
sigurnosti : DTI, SEI-CMU, GAO, BS ISO/IEC 17799, ISO/IEC 15408, Common Criteria,
NIST itd. U literaturi se taj pravac razvoja unapređenja sigurnosti naziva Security
Requirements Analysis. Taj novi pristup temelji se na spoznaji da se rizik ne može potpuno
ukloniti, te da je on sastavni dio poslovanja koji se mjerama zaštite smanjuje na podnošljivu
razinu. Prema tome se na temelju propisanih kriterija, propisa i pravila uređenih u obliku
standarda i norma analiziraju potrebe poslovnih organizacija a provedena politika i sigurnosne
procedure jamstvo su uspješne zaštite. U tom kontekstu "dobrog poslovanja" zaposlenike se
obučava za odgovorni stav prema osiguranju, sigurnost se redovito procjenjuje, sprovode se
stalne procjene a i nezavisna revizija uvedenog sustava. Ovaj pristup ne odbacuje procjenu
rizika, ali se većim dijelom oslanja na proceduralna i organizacijska pravila unapređenja
poslovne prakse kojima se unaprijed izbjegava mogućnost nastanaka rizika, jamči sigurno
poslovanje, a rizik se minimizira. Izbor kontrolnih mjera sigurnosti i politike zaštite nije
određen samo rezultatima procjene rizika nego i drugim poslovnim potrebama koje propisuje
norma ili standard.
Nova rješenja na području sigurnosti IS-a nastavljaju se u smjeru unapređenja kulture
sigurnosti kroz cijelu poslovnu organizaciju. Naime, iskustva pokazuju da je čovjek kao dio
IS-a jedan od njegovih većih izvora opasnosti i velikog broja prijetnji. Ljudskom
komponentom ne može se upravljati niti je mjeriti nalik tehničkoj. Zato je za upravljanje
sigurnošću kroz sigurnosnu kulturu zaposlenika potrebno oblikovati svijest i interese među
zaposlenicima kroz sve aspekte njihova napretka i napretka poslovnog procesa.
Daljnji se pak napori na području unapređivanje sigurnsoti IS-a tiču primjene metrika
sigurnosti za uspostavu neprekidnog mjerenja informacijske sigurnosti. Takav pristup počiva
na činjenici da je rizik postao prevažan da bi se samo periodički pratio (što je ideja procjene
rizika), već je rizik potrebno pratiti iz minute u minutu nerekidno te brzo reagirati na
promjene.
Postizanje sigurnosti kroz razvoj kulture prema sigurnosti te dinamičko mjerenje
sigurnosnih performanci u cilju unapređenja sigurnosti pristupi su čiju primjenu možemo
skoro očekivati.
Zaključak
Razmatranje sigurnosti IS-a pokazalo je koliko je ona bitna za poslovni sustav.
Vrijeme kad se poslovodstvo pitalo da li je njihov IS siguran je iza nas. Pitanje koje se sada
postavlja je koliko je sistem siguran i da li ta sigurnost zadovoljava zahtjeve procesa i
održanje poslovanja. Bitno je to da se na sigurnost u poslovnoj organizaciji gleda kao na
stratešku orijentaciju kojom poduzeće stvara osnovu za razvoj, stvara imidž, povjerenje
potrošača i predodžbu o sebi. Već i sad po razini bavljanja sigurnošću određuje se dobra ili
loša poslovna organizacija.
Ovdje opisana procjena i upravljanje sigurnosnim rizikom način je kojim se utvrđuju i
kontroliraju čimbenici koji na sigurnost i pojavu rizika utiču. Ti procesi predstvaljaju obrazac
na temelju kojeg se izrađuje program upravljanja sigurnošću s koji se prilagođava
posebnostima i uvjetima u kojima poslovna organizacija djeluje. Preduvjet uspjeha takvog
procesa je sudjelovanje svih subjekta u poslovnoj organizaciji te stalno preispitavanje
sprovedenih aktivnosti. Naglašava se da takav proces iziskuje financijski trošak ali iako se on
u početku može činiti nepotrebnim ili suvišnim stabilnost poslovnog procesa i iz tog dobiveni
rezultati mogu ga višestruko premašiti.
Mario Sajko
© Copyright 2024 Paperzz
