W czerwcu tego roku w pięknie odrestaurowanym budynku Centrum Szkolenia Gazownictwa w Warszawie odbyła się konferencja na temat „Znaczenie zarządzania bezpieczeństwem informacji w prowadzeniu biznesu – wymagania ISO/IEC 27001 oraz ISO/IEC 20000”.
Od kliku lat na rynku można zaobserwować coraz większe zainteresowanie zagadnieniem bezpieczeństwa informacji. Organizacje, dla których gromadzone dane niejednokrotnie są najcenniejszym „aktywem”, są świadome, że odpowiednie ich zabezpieczenie i zarządzanie nimi może stanowić o stabilności i efektywności biznesu. Dlatego coraz więcej firm decyduje się na wdrożenie odpowiednich systemów zarządzania bezpieczeństwem informacji i związanych z tym standardów.
Nowe standardy
Bezpieczeństwu informacji w biznesie poświęcona była zorganizowana przez BCC i DQS konferencja, w której wzięło udział ponad 60 przedstawicieli z 40 firm. Byli to głównie członkowie kadry zarządzającej, menedżerskiej i pełnomocnicy systemów w przedsiębiorstwach i organizacjach posiadających certyfikowane systemy zarządzania oraz przedsiębiorstwach wdrażających lub będących na etapie analizy potrzeby wdrożenia nowych standardów zarządzania.
Zgromadzonych powitali Włodzimierz A. Smolak, Dyrektor DQS, oraz Waldemar Sokołowski, Dyrektor ds. Usług Outsourcingowych BCC. Gościem konferencji była firma HP.
Na seminarium omawiano zagadnienia związane z zarządzaniem bezpieczeństwem informacji, ciągłością działań oraz bezpieczeństwem biznesu, jak również zarządzaniem usługami i zasobami informatycznymi. To elementy, które niezależnie od profilu działalności firmy są niezbędne do jej bezpiecznego i zrównoważonego rozwoju.
Celem seminarium było przedstawienie wymagań oraz przybliżenie roli i znaczenia systemów zarządzania bezpieczeństwem informacji wg ISO/IEC 27001, a także wprowadzenia procesów zawartych w wymaganiach ISO/IEC 20000 – w tym zarządzania ciągłością działania dla systemów informatycznych w przedsiębiorstwach.
Bezpieczeństwo informacji
Harmonijny rozwój organizacji mogą zakłócić rożne czynniki wewnętrzne i zewnętrzne. Dla każdej firmy ochrona posiadanych informacji powinna być zatem działaniem priorytetowym.
Jednym z systemów służących do zminimalizowania ryzyka związanego z utratą danych jest System Zarządzania Bezpieczeństwem Informacji (SZBI). O jego znaczeniu i korzyściach mówił Bartłomiej Janas z BCC: „Celem SZBI jest m.in. zapewnienie ciągłej dostępności i bezpieczeństwa systemów informatycznych, dostępności wykorzystywanych systemów i świadczonych usług oraz ciągłość działania i bezpieczeństwo procesów biznesowych. Dzięki poprawnie wdrożonemu SZBI zyskujemy świadomość naszych słabych i mocnych stron, co pozwala na określenie poziomu ryzyka, na jakie możemy sobie pozwolić. Bezpieczeństwo zasobów, które możemy potwierdzić certyfikatem ISO, wpływa na poziom zaufania klienta, a nam daje gwarancję, że ciągłość działania naszej organizacji zostanie zachowana”.
Gwarantem SZBI jest norma ISO/IEC 27001, która zawiera specyfikacje wymagań odnoszących się do ustanawiania, wdrażania i dokumentowania SZBI oraz określa wymagania dotyczące wdrażania zabezpieczeń dostosowanych do potrzeb organizacji lub ich części.
Ciągłość działania w IT
System Zarządzania Ciągłością Działania dla procesów IT – istotny element SZBI – był tematem wystąpienia Witolda Perłowskiego i Bartłomieja Janasa z BCC. Na przykładzie firmy z branży farmaceutycznej przedstawili oni proces wdrożenia Planów Ciągłości Działania dla zintegrowanego systemu zarządzania SAP, systemu zarządzania dystrybucją.
W kolejnym wystąpieniu Witold Perłowski omówił najnowszą wersję ITIL (Information Technology Infrastructure Library) – kodeksu postępowania, zbioru najlepszych praktyk dla działów IT.
Wysoki poziom zarządzania usługami i zasobami informatycznymi na kluczowe znaczenie dla funkcjonowania organizacji, które działają w oparciu o systemy ERP. Norma ISO/IEC 20000 stanowi potwierdzenie bezpieczeństwa systemów IT firmy.
Narzędzie dla jakości
Paweł Trojak z HP zaprezentowali HP ServiceCenter – kompleksowe narzędzie do zarządzania usługami, zgodne z wymaganiami ITIL, które wspomaga zarządzanie bezpieczeństwem w organizacji.
Zgodnie z normami
Zagadnienia omawiane w trakcie seminarium mają wypracowane standardy objęte międzynarodowymi normami wydawanymi przez International Organization for Standarization. Potwierdzona certyfikatem zgodność systemu zarządzania z normą jest dowodem na to, że przedsiębiorstwo funkcjonuje zgodnie z nowoczesnymi, światowymi normami.
O motywach i korzyściach z przeprowadzania certyfikacji opowiadał Włodzimierz Smolak. Oprócz zaprezentowania DQS, który jest jedną z wiodących firm audytorskich działających w Polsce, przybliżył on uczestnikom spotkania wymagania akredytacyjne oraz przebieg procesu audytu IT. Duże zainteresowanie wzbudziła także część prezentacji poświęcona omówieniu kosztów poszczególnych etapów procesu certyfikacji.
Ożywione dyskusje po każdym wystąpieniu, a także rozmowy w kuluarach dowodzą, że problematyka ochrony informacji dla wielu firm stanowi duże wyzwanie. Świadczą też o potrzebie wymiany doświadczeń w tym zakresie.
Klienci powiedzieli o konferencji
Artur Owczarek, Information Security Officer, Kompania Piwowarska:
W Kompanii Piwowarskiej, podobnie jak w całej korporacji SABMiller, której jesteśmy częścią, został uruchomiony projekt mający na celu zarządzanie ciągłością działania dla kluczowych procesów firmy.
W związku z tym dla wszystkich systemów informatycznych wspierających te procesy przeprowadzono szczegółową analizę ryzyka obejmującą analizę ważności tych systemów oraz zdefiniowanie minimalnych wymagań dotyczących ich dostępności. Została też wykonana szczegółowa analiza zagrożeń IT. Na konferencji szczególnie interesowały mnie informacje o metodologiach zarządzania ciągłością działania i zarządzania bezpieczeństwem informacji używanych w firmie BCC, która jest ważnym partnerem Kompanii Piwowarskiej. Najbardziej interesowało mnie porównanie wymagań systemu ISO 27001 z podejściem obranym w naszej korporacji.
Marta Nadrzycka, Specjalista ds. systemów ISO, Poli-Eco:
Obserwacja procesów biznesowych firmy produkcyjnej potwierdza, że utrata danych, brak procedur bezpieczeństwa czy wydostanie się informacji poza ustalony kanał komunikacji naraża firmę na ogromne ryzyko, a w konsekwencji na wymierne straty finansowe. Takie podejście uczy traktowania informacji jako zasób, który trzeba chronić przed niepowołanym dostępem lub modyfikacją. Dlatego wraz ze wzrostem świadomości zagrożeń przychodzi czas na profilaktykę, ustalenie polityki bezpieczeństwa, której realizacja będzie chronić firmę, służąc minimalizacji zagrożeń, a jednocześnie maksymalizacji wyników.
Dorota Łukowska, Kierownik Biura Informatyki, Poli-Eco:
Zarząd Poli-Eco zdaje sobie sprawę z wartości informacji, która jest tak wszechobecna w firmie. Standardowe procedury zarządzania bezpieczeństwem danych obejmujące systemy informatyczne są niewystarczające. Obecnie jesteśmy w trakcie opracowania globalnej procedury zarządzania ryzykiem. Obejmuje ona utworzenie planów ciągłości działania firmy na wypadek wystąpienia wszelkiego rodzaju zagrożeń, które mogą pojawić się zarówno wewnątrz firmy, jak i niezależnie od działania przedsiębiorstwa. Ważnym elementem tej procedury jest System Zarządzania Informacją w obszarach bezpieczeństwa prawnego, technologicznego, osobowego, fizycznego. Naszym celem jest ochrona informacji niezależnie od jej formy i środków, że pomocą których jest udostępniana.
Włodzimierz Bondarenko, Dyrektor, Centrum Edukacyjne Active School:
Uważam, że System Bezpieczeństwa Informacji jest idealnym narzędziem porządkującym pracę każdej firmy, bez względu na jej wielkość. Informacje, które firmy posiadają, to ich najcenniejszy zasób. Dotyczy to zarówno danych klientów, jak i samej „receptury” produktu firmy. Active School zajmuje się szkoleniami podnoszącymi kwalifikacje językowe i zawodowe kadry przedsiębiorstw. Dysponujemy danymi pracowników – uczestników warsztatów, a w przypadku szkoleń zawodowych – także danymi firmy, które nie są powszechnie udostępniane. Chcemy, żeby nasi klienci mieli pewność, że robimy wszystko, by te informacje nie dostały się w niepowołane ręce lub były nie wykorzystywane niezgodnie z ich przeznaczeniem. Procedury systemu bezpieczeństwa uświadamiają pracownikom każdego szczebla, jak wartościową wiedzę posiadają. Ta świadomość pomoże wyeliminować potencjalne zagrożenia jej utraty, które mogą wynikać z niewiedzy.
Nowa usługa BCC
BCC poszerza zakres usług o wdrożenia systemów zarządzania bezpieczeństwem informacji, wspierając klientów w budowie planów ciągłości działania (Business Continuity Plans). W ramach nowej usługi BCC oferuje wsparcie klientów w przygotowaniu i wdrożeniu procesów zarządzania infrastrukturą IT zgodnych z zaleceniami ITIL oraz wymaganiami norm ISO/IEC 27001 oraz ISO/IEC 20000. Więcej na ten temat…
Przygotowała Mirosława Huk, Grupa BCC
