ISM

Dlaczego ochrona informacji?

Przechowywanie informacji

Współczesne organizacje gromadzą ogromne zasoby informacji w wielu miejscach o których wielokrotnie zapominają. Informacje leżą sobie gdzieś tam zapisane i są odkrywane czy to przez pracowników, czy poprzez śmiertelników wykorzystujących różne narzędzia wyszukiwania informacji.

Ogromne zasoby informacji są zapisane na wielu różnych nośnikach, począwszy od tradycyjnego papieru, poprzez dyskietki, taśmy magnetyczne, dyski twarde, dyski C/DVD/Blu-ray do chmur dyskowych. Ochrona informacji w przypadku jej rozproszenia stanowi duże wyzwanie dla każdej firmy małej czy dużej jak i dla osób prywatnych.

Kto jest właścicielem informacji?

Wiele organizacji cierpi na brak przygotowania do ery cyfrowej. Braki przygotowania mają związek z wieloma czynnikami, które nie zawsze są w pełni rozpoznane wewnątrz firm.  Przygotowanie do zarządzania informacją na początkowym etapie może obejmować identyfikację posiadanych informacji oraz inwentaryzację wszelkich przetwarzanych i posiadanych informacji. Zbieranie takich danych może równocześnie obejmować badanie sposobu zabezpieczenia już posiadanych informacji. Nie ma znaczenia na jakim nośniku znajdują się informacje, inwentaryzacja informacji zwykle ujawnia ich rozmiar, sposoby przechowywania i zabezpieczania. Przy tej okazji może się okazać, że wiele informacji lub nośników nie posiada właściciela. Wydaje się, że jest to niemożliwe ale jednak…

Właściciel informacji to ten, który jest wskazany jako właściciel w procedurze która jest zapisana i znana zainteresowanym interesariuszom. W innym przypadku informacja zapewne pozostanie sierotą, która jest przygarniana przez niektórych pracowników. Adoptowanie informacji niekoniecznie ma trwały charakter, niekiedy jej umowny właściciel przekazuje ją innemu pracownikowi, o czym nie wiedzą pozostali pracownicy. Osierocone informacje mnożą się w czasie, ponieważ się rozrastają, dodatkowo temu procesowi sprzyja rotacja pracowników. Jak sobie radzić z rozrostem i przepływem informacji?

Sposoby postępowania z informacjami

Każda firma ma nieformalne sposoby postępowania z informacjami wykształcone podczas działalności operacyjnej. Takie nieefektywne podejście cechuje zapewne większość mikrofirm, firm z sektora MSP. W dużych organizacjach zapewne istnieją procedury regulujące postępowanie z informacją lecz pojawiają się inne problemy. Szybki wzrost ilości posiadanych informacji, reorganizacje różnych działów, rozproszenie informacji w wielu działach, zmienne przepisy (compliance) – to wszystko sprawia, że tam pewnie można znaleźć najwięcej osieroconych informacji. Co robić? Jak żyć w świecie, gdzie informacje są opuszczone?    –  Dobra wiadomość – taka sytuacja może być opanowana 🙂

Odzyskanie kontroli nad informacjami wymaga przede wszystkim zaangażowania i wsparcia kierownictwa firmy. W małych firmach informacje oczekują od kierownictwa, że będą traktowane z szacunkiem, odpowiednią dbałością i będą systematycznie doceniane. W dużych organizacjach często można spotkać pracownika dedykowanego do ochrony informacji. Sposoby postępowania z informacjami w wielu organizacjach mogą przyjmować różny kształt – zwykle pracownik dedykowany do ochrony informacji to ABI (administrator bezpieczeństwa informacji), niekiedy CISO (Chief Information Security Officer). W wielu przypadkach za sposób postępowania z informacjami odpowiadają poszczególne komórki, działy w firmie a kwestie zarządzania informacjami mogą być regulowane w rozproszonych instrukcjach, procedurach, regulaminach. Wydawałoby się, że takie środki wystarczają do zapewnienia informacjom odpowiedniego bezpieczeństwa i ochrony. Zła wiadomość – duża część informacji nadal jest sierotami w wielu organizacjach. Wydaje się, że dobrym remedium w takich sytuacjach może być pracownik łączący wiele różnych umiejętności. Taka osoba może być odpowiedzialna za koordynację zarządzania informacjami  w całej organizacji, przydatne będą umiejętności techniczne, procesowe jak i miękkie (komunikacja z różnymi zespołami).

Sposoby zabezpieczenia informacji (ochrona)

Szerokie zagadnienie może obejmować szereg różnych czynności poczynając od organizacyjnych regulaminów, procedur, kończąc na szczegółach technicznych. Punkt wyjścia w tym przypadku ma związek z szacowaniem ryzyka utraty informacji. Organizacja która zinwentaryzowała posiadane zasoby informacji może je podzielić na odpowiednie kategorie, stosując kryterium ważności informacji. Takie podejście do informacji pozwoli zobrazować skalę i rodzaje posiadanych oraz przetwarzanych informacji. Operacja audytu informacji ujawni wszystkie podmioty przekazujące sobie informacje, zarówno wewnątrz firmy jak i podmioty zewnętrzne. Zastany stan postępowania z informacjami w firmie zwykle różni się od stanu którego oczekują właściciele firmy, regulatorzy czy prawodawcy (akty prawne). Audyt informacji może obejmować nie tylko posiadane przez firmę zasoby techniczne (nośniki, infrastruktura IT) lecz również umowy z partnerami, procedury i instrukcje wewnętrzne. Zalecenia z audytu mogą posłużyć kierownictwu firmy do wskazania informacji które należy chronić i stosować zabezpieczenia adekwatne do ryzyka ich utraty.

Kasowanie informacji

Tradycyjnie w wielu firmach zapewne przykłada się większą uwagę do zabezpieczania  informacji niż do kasowania informacji. Kasowanie informacji mieści się w obszarze  ochrony informacji, o czym warto pamiętać. Warto uwzględnić, że informacje mogą być rozproszone: nośniki, systemy IT, chmury, pracownicy, firmy usługodawcy. To powoduje, że wzrasta stopień skomplikowania usuwania informacji. Dlatego zarządzanie informacjami w firmie łączy wiele dziedzin wymagających dobrej koordynacji. Wątek kasowania informacji to temat rzeka, do którego wielokrotnie będę wracał w przyszłych wpisach na blogu.

Notka o 
W zamierzeniu autora blog ma pełnić funkcję notatnika podczas zgłębiania różnych obszarów ICT, szczególnie w zakresie architektury i ochrony informacji. Poruszana tematyka ma źródło w zainteresowaniach autora. Skomentuj i dodaj swoją opinię! Dziękuję za Twój czas.

0 komentarzy

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

ISM