18 listopada 2011

Konflikt interesów

Ostatnio u kilku klientów miałem dłuższe dyskusje o tym czym jest konflikt interesów, kiedy występuje i jak można się przed tym zabezpieczyć. Warto i tu podsumować te dyskusje.
Można znaleźć zestawienia pokazujące, jakie funkcje nie powinny być łączone (zgodnie z najlepszymi praktykami), niemniej konieczne jest wcześniej zrozumienie przed czym tak naprawdę chcemy się chronić.

Z założenia konflikt interesów ma miejsce gdy:
- osoba zatwierdza wyniki swojej własnej pracy;
- osoba jest odpowiedzialna za wykonanie całości prac w danym procesie;
- osoba poprzez posiadanie różnych uprawnień może omijać kolejne warstwy zabezpieczeń.

Każda w powyższych sytuacji może spowodować potencjalny konflikt interesów. Dlaczego potencjalny - dlatego,że przecież większość z osób, którymi się otaczamy (ok - przynajmniej ja się otaczam) należy do kategorii osób uczciwych. Nie w głowie im szkodzenie pracodawcy czy szukanie dodatkowego - nielegalnego źródła dochodu.
Niemniej gdy pracownik będzie ewentualnie rozważał zrobienie czegoś...nieładnego to powinny istnieć wewnątrz organizacji mechanizmy, które to zablokują lub przynajmniej, które zarejestrują ten fakt. No i na tym właśnie powinno między innymi polegać działanie osób/działów odpowiedzialnych za bezpieczeństwo informacji.

Jakie rozwiązania można stosować - możliwości jest na szczęście kilka:
- Segregacja obowiązków (typu podział zadań wprowadzających i zatwierdzających pomiędzy oddzielne osoby);
- Podwójna autoryzacja (typu uprawnienia „enable” lub podział hasła na kilka części);
- Dodatkowe logowanie/monitorowanie wykonywanych czynności.

Pierwsze rozwiązanie jest oczywiście najbardziej skuteczne, ale nie każdą firmę stać na zatrudnienie dodatkowej osoby (z czym to się często może wiązać). Dlatego warto rozważyć również inne możliwości, w zależności od charakteru pracy. Minimalnym zabezpieczeniem przed konfliktem interesów jest jednak zapewnienie możliwości wykrycia faktu wykonania nieuprawnionych czynności. Możliwości wykrycia czyli nie tylko zapewnienia informacji (np logów) ale również i mechanizmów zapewniających, że ktoś te logi przejrzy i będzie w stanie wyciągnąć odpowiednie wnioski.
.