Czego pilnuje oficer bezpieczeństwa?
-
- 01.10.2003
Z Aleksandrem P. Czarnowskim, prezesem firmy AVET Information and Network Security, rozmawia Robert Jesionek
Z Aleksandrem P. Czarnowskim, prezesem firmy AVET Information and Network Security, rozmawia Robert Jesionek
Czy wdrożenie polityki bezpieczeństwa nie powoduje uśpienia, osłabienia czujności firmy?
To zależy od jakości tej polityki. Dokument polityki bezpieczeństwa powinien zawierać rozdział dotyczący audytu bezpieczeństwa, który musi się odbywać np. co 6-12 miesięcy; jego zadaniem jest weryfikacja polityki w odniesieniu do zmiennej rzeczywistości. Dokument zawierający politykę bezpieczeństwa powinien uświadamiać zarządowi firmy, że bezpieczeństwo nie jest jednorazową usługą, lecz procesem.
Zobacz również:
- GenAI jednym z priorytetów inwestycyjnych w firmach
- Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"
- International Data Group powołuje Genevieve Juillard na stanowisko CEO
W jakim miejscu firmy powinien znajdować się dział bezpieczeństwa czy też oficer bezpieczeństwa?
W dużych spółkach struktura wygląda często tak, że istnieje dział bezpieczeństwa, dział audytu wewnętrznego i osobno oficer bezpieczeństwa, który w jakimś stopniu nadzoruje pracę dwóch poprzednich działów, które jednocześnie nadzorują siebie nawzajem, jak również część obowiązków oficera bezpieczeństwa. Mamy tu do czynienia z zasadą ograniczonego zaufania i nie chodzi o to, że tego zaufania rzeczywiście brakuje, chodzi o wyeliminowanie przypadkowych błędów, które zdarzają się nawet najlepszym. Osobami odpowiedzialnymi za bezpieczeństwo są właściciele procesów biznesowych, oni powinni być wspierani przez dział bezpieczeństwa i oficera bezpieczeństwa. Oficer bezpieczeństwa nie powinien być jedyną osobą na swoim stanowisku. Wynika to z rzeczy oczywistych, takich jak możliwość zachorowania lub przebywania na urlopie. Rodzi się też pytanie, jak dużo zaufania może zarząd okazać jednej osobie. Jeśli mamy więcej niż jednego oficera bezpieczeństwa, to sytuacja taka umożliwia nam np. separację uprawnień, rozdział pewnej wiedzy. W wielu firmach system zabezpieczeń jest całkiem dobry, ale mają one tylko jednego oficera bezpieczeństwa i to jest wielkie niebezpieczeństwo. Zagrożeniem nie jest sama osoba, ale to, że może ona któregoś dnia odejść z firmy, zabierając całą wiedzę. To nawet nie chodzi o budzenie podejrzeń, że ta osoba może z zabraną wiedzą postępować nieetyczne, ale o to, iż nagle w organizacji wiedza ta przestaje funkcjonować.
Pełny tekst wywiadu znajduje się na stronie Klubu CIO,http://www.cxo.pl
Autorzy
Robert Jesionek Computerworld
Przed laty współtworzył Klub CIO, był jego szefem oraz redaktorem naczelnym "CIO Magazine". Później przez prawie 10 lat wspierał w komunikacji duże firmy informatyczne, a także redagował portal dla menedżerów IT.
Fascynuje go humanistyczny element świata nowoczesnych technologii. Docenia wartość badań i analityki biznesowej. Ceni klarowny sposób komunikacji. Lubi prowadzić debaty menedżerskie i słuchać mądrych ludzi.
Studiował pedagogikę, filozofię i dziennikarstwo, ukończył także Akademię Przywództwa przy Francuskim Instytucie Zarządzania.
Kontakt: Robert Jesionek
