Skuteczność czy efektywność?

Skuteczność czy efektywność

Regularnie, w różnych miejscach, widuję nadużywane słowo "efektywność" w odniesieniu do analizowania różnego rodzaju mechanizmów kontrolnych. Po wczytaniu się w treść widzę zazwyczaj, że jest to kalka językowa autorów, którzy naczytali się ang. terminu "effectiveness".

Różnica między testami penetracyjnymi a skanowaniem podatności

Różnica między testami penetracyjnymi a skanowaniem podatności

Niejednokrotnie spotykałem się z sytuacją, w której skanowanie podatności było utożsamiane z testami penetracyjnymi. Różnica między jednym a drugim jest zasadnicza, z tego też bierze się zdecydowana różnica w kosztach obydwu usług.

Ochrona danych osobowych zgodnie z nowym Rozporządzeniem UE

Ochrona danych osobowych zgodnie z nowym Rozporządzeniem UE

Jedną z ważniejszych zmian wprowadzonych rozporządzeniem jest konieczność uwzględniania ochrony danych już w fazie projektowania oraz domyślna ochrona danych. Oznacza to, że od pierwszych chwil gdy pojawia się w organizacji inicjatywa związana z nowymi formami przetwarzania danych osobowych należy rozpoznać ryzyka wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. A proces ten należy okresowo powtarzać.

Inspektor Ochrony Danych i jego rola

Inspektor Ochrony Danych i jego rola

Administrator Bezpieczeństwa Informacji był/jest podmiotem powoływanym przez administratora danych w celu nadzorowania zgodności przetwarzania danych osobowych z wymaganiami Ustawy. Bardzo często jednak jego rola koncentrowała się w znaczniej mierze na wypełnianiu szeregu czynności administracyjnych. ABI prowadził wymagane ewidencje, przeprowadzał szkolenia nowych pracowników, rejestrował zbiory danych w GIODO. Rzeczywisty wpływ na to jakie mechanizmy kontrolne chroniły przetwarzane informacje zależał jednak często od charyzmy i wiedzy Administratora. Ubiegłoroczna nowelizacja UoDO była krokiem w kierunku nadania tej roli rzeczywistych uprawnień i odpowiedzialności w zakresie zabezpieczania danych osobowych.

Kiedy warto certyfikować SZBI?

Kiedy warto certyfikować SZBI?

Skoro ostatnio napisałem o tym kto powinien wdrażać System Zarządzania Bezpieczeństwem Informacji, pora na zastanowienie się kiedy warto certyfikować SZBI na zgodność z ISO 27001.

Przede wszystkim należy jednak zastanowić się co tak naprawdę oznacza certyfikowany SZBI.
Otóż, moim zdaniem, powinien on dowodzić, że:

• w określonym zakresie organizacja spełnia wymagania danego znormalizowanego systemu zarządzania (w naszym przypadku ISO 27001);
• ryzyka z obszaru bezpieczeństwa informacji są właściwie zarządzane;
• organizacja jest w stanie zademonstrować dojrzałe zarządzanie danym obszarem i swoim działaniem promuje ideę stałego doskonalenia.

To co należy zauważyć, to fakt, że certyfikowany SZBI nie zapewnia, że organizacja jest bezpieczna. Zapewnia, że organizacja weszła na ścieżkę, która kiedyś powinna doprowadzić organizację do stanu względnego bezpieczeństwa. Pojawia się tu spory problem gdy organizacja to zlepek fragmentów procesów "powiązanych sznurkiem do snopowiązarki", a zarządzanie bezpieczeństwem IT ogranicza się do akceptowania faktu posiadania kolejnych luk (co jest i tak o niebo lepsze od ignorowania faktu ich istnienia). Na szczęście dobry audytor wie jak sobie z tym poradzić, zresztą wnikliwa lektura normy daje kilka wskazówek w tym zakresie, o czym pewnie kiedyś napiszę. 

Kto powinien wdrażać SZBI?

Kto powinien wdrażać SZBI?

W ostatnim czasie prowadziłem kilka ciekawych rozmów o tym, jak powinny wyglądać firmy, które chcą wdrażać a następnie certyfikować SZBI. Poniżej chciałbym podsumować moje przemyślenia w tym temacie.

Przede wszystkim uważam, że wdrażaniem SZBI powinny zainteresować się dopiero te organizacje, które osiągnęły na tyle duży poziom dojrzałości zarządzania, że rozumieją, że dla skutecznego zarządzanie organizacją niezbędne jest wprowadzenie pewnych ram.
Zarządzanie polega na planowaniu tego co się chce osiągnąć, realizacji, a następnie weryfikowania czy plany są (i powinny być) realizowane, a następnie podejmowaniu odpowiednich dalszych kroków w zależności od wyników. Teoretycznie jest to banał, ale w rzeczywistości wiele, szczególnie mniejszych, organizacji koncentruje się wyłącznie na sprawności "realizacji" zapominając o pozostałych elementach.
Organizacje często chcą być dynamiczne i elastyczne i łączą to (niestety) z brakiem jakichkolwiek konkretnych celów, uporządkowanych ról i procesów, zapisów potwierdzających wykonane czynności. To nie tak!