Bezpieczeństwo informacji w firmie
2006-12-24 00:02
Przeczytaj także: Bezpieczeństwo informacji w firmach
Teoria a praktyka
Badacze odkryli, że dyrektorzy ds. informatyki, pracownicy działów ochrony oraz kierownicy działów IT uważają, że wymóg ujawniania naruszeń zabezpieczeń odgrywa coraz większą rolę w zagadnieniach bezpieczeństwa systemów IT, ale wiele firm ma trudności w spełnieniu nakładanych na nie obowiązków. Jak ujął to jeden z ekspertów ds. zabezpieczeń bankowych w Wielkiej Brytanii: „Rozumiemy ustawę SOX (Sarbanes-Oxley) i korzyści z niej płynące, ale w praktyce i tak robimy jedynie to, co możemy”.
Kluczowe obserwacje dotyczące tych zagadnień są następujące:
- Ocena praktyki w dziedzinie zabezpieczeń ma często bardzo subiektywny charakter z uwagi na brak dobrych kryteriów i testów.
- Brak jest konwergencji praktyk dotyczących bezpieczeństwa w obrębie przedsiębiorstw. Osoby odpowiedzialne za kształt polityki bezpieczeństwa to często inne osoby, niż ci, którzy zarządzają i utrzymują bezpieczeństwo systemu.
- Dyrektorzy i menadżerzy ds. zabezpieczeń informacji mają pretensje o znaczny wysiłek konieczny do śledzenia zmian polityk i przepisów, a następnie zmiany konfiguracji systemów w taki sposób, by zachowywały zgodność z wprowadzonymi zmianami.
Specjaliści zajmujący się bezpieczeństwem systemów informatycznych są zgodni, że Ustawa SOX była niezwykle korzystna dla dziedziny zabezpieczeń komputerowych w USA, znacznie podnosząc wagę bezpieczeństwa systemów IT w hierarchii priorytetów korporacyjnych. Ankietowani wyżsi pracownicy działów IT podzielają jednak pogląd, że Ustawa jest zbyt niejasna w zakresie postanowień, a jednocześnie zbyt szczegółowa w zakresie implikacji.
Dr Liebenau przeprowadził wywiady z dyrektorami działów IT, pracownikami działów ochrony, dyrektorami ds. informatyki oraz dyrektorami finansowymi w dużych organizacjach świadczących globalne usługi finansowe w Europie, Azji i Ameryce Północnej, pragnąc dowiedzieć się, jak oceniają oni ryzyko związane z bezpieczeństwem informacji i jaki przypisują mu priorytet.
„Również na polskim rynku dostrzegamy coraz większe zainteresowanie ze strony bardzo dużych firm, szczególnie z sektorów finansowego i telekomunikacji mechanizmami wymuszania zgodności z normami bezpieczeństwa. W większości są to polskie oddziały międzynarodowych korporacji, w których trwa właśnie proces implementacji takich norm jak SOX (Sarbanes-Oxley), czy ISO. Coraz częściej jednak są to również duże firmy o wyłącznie polskich korzeniach, a szczególnie banki” – powiedział Robert Żelazo, dyrektor generalny McAfee Polska.
„Presja, jakiej zaczynają doświadczać te korporacje ze strony coraz surowszych przepisów prawa powoduje często, iż do zadań wymuszania zgodności z normami delegowane są osoby odpowiedzialne dotąd wyłącznie za ochronę przed atakami. Może to w oczywisty sposób osłabić bezpieczeństwo informatyczne firmy. Dlatego też korporacje te coraz częściej poszukują rozwiązań, które w automatyczny sposób pilnują zgodności firmowych procedur z międzynarodowymi normami bezpieczeństwa”– dodał dyr. Żelazo
Przeczytaj także:
Małe firmy a bezpieczeństwo danych
![Małe firmy a bezpieczeństwo danych [© Scanrail - Fotolia.com] Małe firmy a bezpieczeństwo danych](https://s3.egospodarka.pl/grafika/bezpieczenstwo-danych/Male-firmy-a-bezpieczenstwo-danych-apURW9.jpg)
1 2
oprac. : Aleksander Walczak / eGospodarka.pl
Więcej na ten temat:
bezpieczeństwo danych, bezpieczeństwo informacji, bezpieczeństwo informatyczne, zarządzanie bezpieczeństwem