Myślę, że wielu z Was zna zielony logotyp DEKRA i zazwyczaj kojarzy firmę z ogólnie pojętym procesem certyfikacji, czy to organizacji, czy też produktów. Zainteresowany zaproszeniem z Zachodniej Izby Gospodarczej postanowiłem udać się do wrocławskiej siedziby DEKRA na śniadanie biznesowe poświęcone aspektom cyberbezpieczeństwa, które stało się moim „konikiem” zawodowym kilka lat temu.
Nie od dziś wiadomo, że dane osobowe, informacje o kontrahentach, o ofertach i umowach, pomysły i strategia – obszary najbardziej kluczowe dla działania organizacji w dobie postępu technologicznego i liczby mobilnych urządzeń – wymagają zastosowania szczególnych środków bezpieczeństwa.
Grupa DEKRA od wielu lat pracuje nad rozwiązaniami, które w skuteczny sposób pozwalają przedsiębiorcom zabezpieczyć dane finansowe, osobowe czy know-how przed niekontrolowanymi wyciekami. Pomaga klientom w trakcie audytów i szkoleń m.in. w dziedzinie bezpieczeństwa behawioralnego i organizacyjnego, zarządzania bezpieczeństwem informacji oraz wdrażania strategii zarządzania ryzykiem.
DEKRA od pewnego czasu oferuje certyfikację w zakresie normy ISO 27001 i 27002, która określa wymagania dla systemu zarządzania bezpieczeństwem informacji. Norma ISO 27002 powstała jako merytoryczne rozwinięcie ISO 27001 i stanowi wytyczne implementacyjne oparte o rekomendowane „dobre praktyki”. Innymi słowy, jest to zbiór minimalnych zabezpieczeń dla informacji w organizacji, który pozwala na ewaluację stanu zabezpieczeń. W zakresie działalności DEKRA nie mogło oczywiście zabraknąć audytu ochrony danych osobowych (czyli analizy zgodności z rozporządzeniem RODO/GDPR). DEKRA zarówno w obszarze bezpieczeństwa informacji (ISO 27001, 27002), ISO 22301 (zarządzanie ciągłością działania) i RODO prowadzi szkolenia.
Spotkanie miało formę śniadania biznesowego, którego głównym elementem był wykład prowadzony przez specjalistów DEKRA, tj. Piotra Ubycha i Tomasza Romanika, poświęcony dwóm głównym filarom, na których opiera się cyberbezpieczeństwo w organizacjach – technologii i człowiekowi. O ile nierzadko spotykałem się z omawianiem pierwszego filaru w sposób bardzo szczegółowy, z informacją o najnowszych funkcjonalnościach systemów z zakresu security IT, to z drugim elementem, wydaje mi się, że jest spory problem. Organizacje potrafią wdrożyć zaawansowane narzędzia zapewniające bezpieczeństwo, ale do problemu uświadomienia kadry niewiele firm i instytucji podchodzi w sposób rzetelny. Prowadzącym zadałem pytanie „Co możemy zrobić, żeby zminimalizować ryzyko braku ochrony danych, a co za tym idzie straty finansowej, trudno policzalnej utraty konkurencyjności i zaufania kontrahentów?” i uzyskałem następujące odpowiedzi:
Pierwszym filarem bezpieczeństwa są rozwiązania techniczne. Właściwe zabezpieczenia stosowane np. w przypadku procesów realizowanych poza chronionymi strefami (praca zdalna, smartphony), bezpieczne postępowanie z nośnikami danych, bezpieczna wymiana danych pomiędzy systemami, z wykorzystaniem silnych algorytmów szyfrujących oraz zaufanych certyfikatów – to przykładowe obszary dla których każda organizacja powinna przeprowadzić analizę ryzyka i uwzględnić dostępne technologie zabezpieczające. Istnieją dobre praktyki lub też specyficzne wymagania OEM, które narzucają konkretne rozwiązania technologiczne, takie jak stosowanie ochrony antywirusowej serwerów i stacji, stosowanie bezpiecznych algorytmów szyfrowania (np. AES-256), etc. – odpowiedział Piotr Ubych, Menedżer Produktu ds. Ochrony Danych, DEKRA Certification Sp. z o.o.
Nawet najbardziej zaawansowane rozwiązania techniczne nie ochronią nas przed ryzykiem utraty cennych informacji i danych jeśli pominiemy drugi istotny filar bezpieczeństwa jakim jest czynnik ludzki. Bardzo często brak wiedzy czy świadomości, nawyki naszych pracowników mogą doprowadzić do sytuacji zagrożenia. Na pewno większość z nas otrzymała kiedyś email z nieznanym załącznikiem, podejrzanym linkiem, który, jeśli kliknięty wprowadza osobiste lub poufne informacje do pozornie przyjaznego (i znajomego) konta. Na pewno słyszeliśmy też historie o zgubionych firmowych laptopach i smartfonach, przez pomyłkę zostawionych w taksówce, na lotnisku. Jak się zabezpieczyć przed ludzkim zmęczeniem, przeoczeniem, nieświadomością? Po pierwsze zdiagnozować bariery organizacji w zakresie pożądanych postaw i zachowań pracowników. Po drugie edukować, w sposób cykliczny, wielowymiarowy (wykłady, case studies, warsztaty). – stwierdził Tomasz Romanik, Menedżer Regionalny, Trener/Audytor, DEKRA Certification Sp. z o.o.
Należy pamiętać, że najsłabszym ogniwem w „układance” zwanej bezpieczeństwem jest człowiek i bez świadomości zagrożeń i wiedzy, co powinno się robić, a czego nie, nawet najlepsze zabezpieczenia są nieskuteczne. Dlatego cieszy mnie podejście DEKRA do zagadnienia bezpieczeństwa informatycznego, że równie uważnie, a nawet z jeszcze większą starannością, traktuje czynniki behawioralne zapewniające ciągłość działania organizacjom.
