Rola bezpieczeństwa w organizacji
Rola bezpieczeństwa w organizacji
Wstęp
Spotkaliście się ze stwierdzeniem, które pokutuje od lat, że istnieje mniej lub bardziej otwarty konflikt pomiędzy bezpieczeństwem a infrastrukturą IT czy deweloperami? Spokojnie. Chodzi oczywiście o konflikt interesów. Bezpieczeństwo chce, mówiąc w bardzo dużym uproszczeniu, by dostarczane systemy informatyczne czy aplikacje spełniały określone wymagania bezpieczeństwa. Powoduje to często narzut w postaci dodatkowej pracy do wykonania po stronie IT. Podobnie jest, gdy rozważamy kwestie bezpiecznego wytwarzania oprogramowania, gdzie w grę wchodzi np. konieczność skanowania kodu, usuwania podatności itp. Ci, co pracują w bezpieczeństwie, niejednokrotnie słyszeli, że bezpieczeństwo jak zwykle się czepia. Nic nie pomaga, tylko przeszkadza, dokłada coraz to nowe wymagania. Czy tak jest w rzeczywistości? Czy taka opinia jest słuszna?
W świecie IT funkcjonuje również inny paradygmat mówiący o tym, że za bezpieczeństwo organizacji odpowiadają wszyscy jej pracownicy. Co do zasady podpisuję się pod tym obiema rękami, pod jednym małym warunkiem – jasne i czytelne określenie ról i odpowiedzialności – kto tak naprawdę odpowiada, za co?
Dzisiejszy wpis to próba wywołania dyskusji, którą uważam za bardzo potrzebną. Poprzez zastosowanie pewnej analogii, chciałbym sprawić, by na bezpieczeństwo patrzono z innej perspektywy. W jakim stopniu uda mi się to zrobić, czas pokaże. Jest to mój głos w dyskusji.
Ochrona zdrowia a bezpieczeństwo
Jestem pewny, że zdarzyło się Wam spotkać z różnymi programami profilaktyki zdrowia: prawidłowe odżywianie, odpowiednia liczba godzin snu, odpowiednia ilość aktywności fizycznej, minimalizowanie czynników stresu, badania okresowe itp. Stosując się do tych wskazówek, dobrych praktyk, istnieje duże prawdopodobieństwo, że system odpornościowy człowieka będzie działał w optymalny dla niego sposób, a organizm oprze się niejednemu atakowi wirusów czy bakterii. Oczywiście nawet przy najzdrowszym trybie życia może dopaść nas choroba. Wtedy najczęściej idziemy do lekarza. Ten przeprowadzi serię badań, przepisze leki, da zalecenia, których mamy się trzymać. Jest to niejako warunek konieczny, by jak najszybciej powrócić do pełni zdrowia. Jednak dbając o siebie na co dzień, jest dużo większa szansa, że napotkane choroby przejdziemy łagodniej niż osoby, które nie przykładają wagi do profilaktyki. Gdzie tu widzę podobieństwo z bezpieczeństwem? Poszukajmy go.
Programy bezpieczeństwa
W bezpieczeństwie istnieje wiele programów, których celem jest podnoszenie dojrzałości organizacji w obszarze budowania odporności na cyberzagrożenia. Mamy dla przykładu kontrolki programu NIST czy CIS. Definiują one konkretne wymagania, których prawidłowa implementacja, znacząco zwiększa możliwości organizacji w zakresie trwałej budowy cyberodporności. Można je spokojnie porównać do wspomnianych programów profilaktyki zdrowia. Nasuwa się jedno z pytań? Komu musi bardziej zależeć na profilaktyce: „pacjentowi” czy „lekarzowi”. Ktoś powie, że obu stronom. Ok. Fair enough. NIe mniej jednak, kto bardziej odczuje negatywne skutki braku profilaktyki zdrowia?
Bezpieczeństwo odpowiedzialne za wszystko?
Przyjęło się również praktykować w organizacjach, że za programy bezpieczeństwa odpowiadają zespoły bezpieczeństwa. Ktoś mógłby się zapytać i co w tym dziwnego. Zupełnie nic poza jednym. Jedna rzecz to odpowiedzialność za program bezpieczeństwa, a druga to właścicielstwo w zakresie implementacji konkretnych kontrolek. Jeśli dla przykładu coś jest po stronie infrastruktury IT, to winna ona brać pełną odpowiedzialność za implementację kontrolek.
Z drugiej strony zgodzę się, że bezpieczeństwo powinno zarządzać programem: dodawać, usuwać, modyfikować zalecenia, tłumaczyć, dlaczego jedne powinny być wdrożone przed innymi, albo tłumaczyć w ogóle sens wdrażania pewnych mechanizmów bezpieczeństwa. Z kolei, jeśli elementem kontrolki jest utrzymanie narzędzi bezpieczeństwa, to w tym wypadku bezpieczeństwo powinno być w pełni odpowiedzialne. Wróćmy do zastosowanego porównania.
Jeżeli „pacjent” ma już przepisane zalecenia, to w szczególności, w jego interesie jest się do nich stosować. Jeśli zaleceniem w ramach cyberhigieny jest — aktualizuj systemy w przypadku pojawienia się podatności, to kto ma to robić? Bezpieczeństwo czy administrator, który administruje systemem? Inny przykład à propos profilaktyki zdrowia to czyszczenie zębów. Czy przychodzi do Ciebie dentysta do domu i codziennie myje Ci zęby? Czy jednak robisz to samodzielnie? Myślę, że takie przykłady można mnożyć. To co chcę przez to powiedzieć to, że skoro w życiu prywatnym nikt nie oczekuje od lekarza, fizjoterapeuty czy wspomnianego dentysty, że będą na każdym kroku pilnowali czy stosujesz się do zaleceń, to może dałoby się wypracować podobne podejście w życiu zawodowym?
Brak przypisanej odpowiedzialności
Myślę, że główny problem, który tworzy całą tę sytuację, wynika z jednego – braku jasnookreślonej odpowiedzialności za konkretne procesy, czy elementy tych procesów. Posłużę się jeszcze raz porównaniem. To nie lekarz czy inny przedstawiciel opieki zdrowotnej jest odpowiedzialny za zdrowie pacjenta, tylko ostatecznie sam pacjent. Zasadniczo nie dbając o siebie, czyli nie biorąc odpowiedzialności za swoje zdrowie i życie, skutki odczujesz osobiście, czasem bardzo boleśnie. W tym jest chyba sęk. Pozostaje jednak pytanie otwarte, co w takim razie robić, by każdy czuł osobistą odpowiedzialność? Jest to pytanie, które spędza sen z powiek wielu przedstawicielom kierownictwa niejednej organizacji.
Podsumowanie
Mam nadzieje, że przytoczone przykłady trafiły do Ciebie, w szczególności jeśli jesteś jedną z tych osób, co ma odmienny pogląd na ten temat. Chciałbym na koniec podkreślić, że moim celem nie jest ani atakowanie kogokolwiek, ani stawianie się tylko i wyłącznie po jednej stronie. W pewnych aspektach i bezpieczeństwo ma to i owo za uszami. W tym konkretnym przypadku, o którym piszę, uważam, że nie powinno się obarczać bezpieczeństwa rzeczami niebędącymi w ich zakresie odpowiedzialności. Jeszcze raz to powtórzę. To tak jakbyście obarczali lekarza za to, że sami nie przestrzegacie zaleceń.
Jeśli podobał Ci się wpis, zostaw komentarz pod wpisem, podziel się swoją opinią lub napisz do mnie na adres marcin.sikorski@ctrust.me.
Rola bezpieczeństwa w organizacji Read More »