Varnost vodi do zaupanja, to pa do boljšega poslovanja

Finance, 7. julij 2011

Vedno večja odvisnost od informacijskih tehnologij, odprtosti organizacij in povečan pomen informacij v sodobnem poslovanju s seboj prinašajo tudi potrebo po rednem in ustreznem varovanju informacij. Z Natašo K. Kovačič, pomočnico generalnega direktorja v podjetju Četrta pot, smo se pogovarjali o uvedbi sistema vodenja varovanja informacij v poslovna okolja.

Kako danes slovenska podjetja dojemajo informacijsko varnost?

Dosedanje izkušnje, ki jih dobivamo pri sodelovanju z domačimi podjetji, so zelo različne. Nekatera informacijsko varnost jemljejo skrajno resno, druga pa ji namenjajo premalo pozornosti. Včasih se zdi, da Slovenci živimo in delujemo v prepričanju, da se nam ali našemu podjetju v Sloveniji kaj hujšega že ne more zgoditi. Kot da se napadi, vdori in kraje informacij dogajajo zgolj v Ameriki, Angliji in drugih najrazvitejših državah.

Kaj pa banke in vladne ustanove - te menda ustrezno varujejo svoje podatke in informacije?

Drži, iz prejšnjega konteksta izstopajo banke, zdravstvene ustanove in ustanove javne uprave, saj so veliko bolj seznanjene s področjem informacijske varnosti. Večina jih že ima implementirane sisteme vodenja varovanja informacij, zato tudi želijo in naročajo vedno zahtevnejše projekte. Hkrati od našega podjetja pričakujejo, da imamo tudi sami področje varovanja informacij kar najbolj urejeno, saj s tem vzbujamo njihovo zaupanje.

Kako naj podjetja poskrbijo za ustrezno varnost podatkov, informacij in ne nazadnje poslovanja?

Organizacija lahko tveganja nadzira s primerno identifikacijo in klasifikacijo informacijskih dobrin ter s sistematično oceno in prepoznavanjem tveganj, ki informacijske dobrine ogrožajo. Z izbiro ustreznega nadzornega mehanizma, kot je mednarodni standard za vodenje varovanja informacij, organizacija nazorno prikaže, da varuje zaupnost, popolnost in razpoložljivost vseh informacijskih dobrin, pomembnih za stranke, odjemalce, delničarje in družbo na splošno. V praksi je sicer le redko vse urejeno tako, kot zahteva standard ISO 27001 - Information Security Management System. Ta podjetju omogoča, da oceni tveganja in uvede ustrezne nadzorne mehanizme, ki ohranjajo zaupnost, popolnost in razpoložljivost informacijskih dobrin. V Četrti poti smo omenjenisistem vgradili v svoje izdelke in tako z uvedbo naših rešitev v poslovno okolje praktično že dosežemo zahtevano raven vodenja varovanja informacij.

Ena izmed najbolj celovitih rešitev je postavitev in vodenje sistema varnosti. V podjetju Četrta pot ste ga že implementirali v svoje poslovanje. Katere so ključne ugotovitve in izkušnje?

Že pred leti smo se zavedali, da bomo morali na področju varovanja informacij narediti korak naprej, saj so informacije, tako interne kot tudi informacije od partnerjev, tiste, ki jih uporabljamo pri razvoju rešitev. Zagotavljanje popolnega zaupanja in varovanja informacij strank je ena naših največjih odgovornosti. Lani je bilo podjetje Četrta pot dovolj zrelo za korak naprej. Celotne naloge uvajanja sistema varovanja informacij smo se lotili komplementarno z zahtevami standarda vodenja kakovosti (ISO 9001). Hkrati smo prenovili poslovne procese in interno organizacijo. Lahko bi rekli, da smo se lotili neke vrste prenove organizacije dela, procesov ter varovanja informacij v najširšem pomenu.

Kakšne cilje ste si postavili na področju varovanja informacij?

Naš glavni cilj je bil zavarovanje informacij Četrte poti in preprečitev njihove izgube ali zlorabe. Tesno za njim je še več drugih ciljev, kot so ohranitev konkurenčne prednosti, dobičkonosnosti in ugleda na trgu ter dobrih odnosov s poslovnimi partnerji. Zahtevne naloge smo se lotili v začetku tega leta in oblikovali ekipo desetih sodelavcev, ki je aktivno sodelovala pri vzpostavitvi sistema. Konec junija smo tako prejeli tudi certifikat ISO 27001.

Ali poleg organizacijskih rešitev uvajate tudi kakšne tehnične novosti na področju varovanja?

Podjetje Četrta pot je razvilo več lastnih varnostnih mehanizmov, denimo združevanje brezkontaktne in kontaktne tehnologije kartic, uporabo infrastrukture javnih ključev (PKI), poenotenje avtentikacije med različnimi sklopi ter povezovanje overoviteljev digitalnih certifikatov. Za kontrolo pristopa in številna druga opravila tako služi kar pametna kartica PKI. S tega vidika je naša tehnična varnost daleč nad slovenskim povprečjem, dodatno pa smo razvili tudi več biometričnih rešitev.

Kje so največje varnostne luknje ali pasti v sodobnih poslovnih okoljih nasploh?

Zvenelo bo skoraj ironično, vendar velikokrat se največje nevarnosti pojavljajo v samem okolju, torej znotraj podjetja, interno. Nezadovoljni zaposleni ali pa zaposleni, ki so našli službo v drugem podjetju, so kot »napadalci« najbolj nevarni, saj natančno vedo, katere informacije iščejo, kje jih bodo našli in kako se lahko do njih dokopljejo.