Zwykle bezpieczeństwo informacji utożsamiane jest z możliwościami technicznymi rozwiązań informatycznych zastosowanych w firmie. Ceduje się odpowiedzialność za zapewnienie bezpieczeństwa na szefów IT, którzy często nie znając strategicznych celów firmy próbują zabezpieczyć wszystkie informacje przed wszystkimi zagrożeniami. Poruszają się przy tym po cienkim lodzie, ryzykując z jednej strony niezadowolenie zarządzających firmą, jeśli jakieś informacje są zagrożone, a z drugiej strony narażając się na utyskiwania użytkowników, którzy w zabezpieczeniach postrzegają ograniczenia wolności dostępu do danych i efektywnego wykonywania ich pracy. Czy można zaradzić takiej sytuacji? Wydaje się, że tak, jeśli do bezpieczeństwa informacji podejdziemy w sposób biznesowy, czyli potraktujemy informację jako jeden z aktywów firmy a metody i zakres ochrony dostosujemy do wartości tego aktywu. Taki sposób podejścia znajdziemy w wytycznych normy ISO/IEC 17799, które stały się podstawą niniejszej analizy.

Informacja może przybierać różne formy. Może być wydrukowana lub zapisana na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w rozmowie. Niezależnie od tego, jaką formę informacja przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zawsze powinna być w odpowiedni sposób chroniona. Jeśli zdamy sobie sprawę z różnorodności kanałów dystrybucji informacji w firmie już wtedy staje się jasne, że ograniczenie się do sfery IT jest niewystarczające. Dlatego też dobrze jest mówić nie o systemach informatycznych a informacyjnych w firmie. W każdym jednak przypadku bezpieczeństwo informacji oznacza:

1. Poufność, czyli zapewnienie dostępu do informacji tylko osobom upoważnionym;
2. Integralność, czyli zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania;
3. Dostępność, czyli zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.

Poufność, dostępność i integralność informacji może mieć podstawowe znaczenie dla utrzymania konkurencyjności, płynności finansowej, zysku, zgodności z przepisami prawa oraz wizerunku firmy.

Firmy i ich systemy i sieci stają w obliczu zagrożeń pochodzących z wielu źródeł, takich jak oszustwa dokonywane za pomocą komputera, szpiegostwo, sabotaż, wandalizm, pożar lub powódź. Źródła uszkodzeń takie, jak wirusy i hakerstwo komputerowe, ataki powodujące odmowę usługi czy celowe zniszczenie informacji stają się coraz powszechniejsze, ambitniejsze i bardziej wyrafinowane. Trzeba również zauważyć, że firmy są, w coraz większym stopniu uzależnione od systemów i usług informacyjnych, co oznacza, że są bardziej podatne na zagrożenia utraty bezpieczeństwa informacji. Jednocześnie wiele systemów informacyjnych nie było projektowanych z myślą o bezpieczeństwie. Bezpieczeństwo, jakie można osiągnąć za pomocą środków technicznych jest ograniczone i powinno być wspierane przez odpowiednie zarządzanie i zasady postępowania. Przykładowo, nic nie pomogą najlepsze zabezpieczenia zewnętrzne naszych systemów, jeśli nie mamy odpowiednio zmotywowanego personelu, który świadomie zabezpieczy informacje wewnątrz firmy. Określenie zabezpieczeń, które powinny być zastosowane, wymaga starannego planowania, zwracania uwagi na szczegóły oraz zaangażowania pracowników każdego szczebla. Może wymagać także udziału dostawców, klientów i udziałowców. Warto pamiętać, że środki zapewniające bezpieczeństwo informacji są tańsze i bardziej efektywne, jeżeli są wprowadzane w fazie projektowania naszych działań i podczas wprowadzania zmian organizacyjnych.

Bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw środków, do których należeć mogą polityki, praktyki, procedury, struktury organizacyjne i funkcje oprogramowania. Taki zestaw środków często nazywamy zabezpieczeniami. Pojawia się jednak pytanie, jaki poziom zabezpieczeń jest dla firmy odpowiedni. Oczywistym jest, że firma musi zabezpieczyć te informacje, których ochrona wynika z przepisów prawa np: dane osobowe. To oczywiście nie wystarcza z biznesowego punktu widzenia. Przykładowo prawo nie nakazuje nam chronić informacji o naszych kluczowych klientach, a przecież intuicyjnie każda firma to czyni. Dlatego też należy dokonać szacowania ryzyka. Poprzez szacowanie ryzyka można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz szacować potencjalne skutki. Wydatki na zabezpieczenia powinny być odniesione do strat w działalności biznesowej, które mogłyby być rezultatem naruszeń bezpieczeństwa.

Szacowanie ryzyka wymaga systematycznego rozważenia:

1. szkód w działalności biznesowej, które mogą wynikać z naruszenia bezpieczeństwa, uwzględniając potencjalne konsekwencje naruszenia poufności, integralności i dostępności informacji oraz innych aktywów;
2. realnego prawdopodobieństwa takiego naruszenia, biorąc pod uwagę istniejące zagrożenia, podatności i aktualnie stosowane zabezpieczenia.

Trzeba pamiętać, że analiza nie może ograniczać się jedynie do sfery informatyki i powinna dotyczyć również innych obszarów. Wyniki tego szacowania pomogą wskazać i określić właściwe działania kierownictwa oraz określić priorytety dla zarządzania ryzykiem odnoszącym się do bezpieczeństwa informacji. W tym miejscu warto podkreślić, że bez zaangażowania kierownictwa firmy nie można oczekiwać racjonalnych zasad zapewnienia i zarządzania bezpieczeństwem informacji. Bez oceny ryzyka i wynikających z niej klarownych i zatwierdzonych przez kierownictwo zasad zarządzania bezpieczeństwem informacji pracownicy będą działać intuicyjnie, co naraża ich na błędy a firmę na straty.

Ponadto, oszacowane ryzyko i wynikające z niego metody zabezpieczeń pozwalają na racjonalne wykorzystanie środków, jakie są przeznaczone na zapewnienie bezpieczeństwa. Pozwala na zachowanie równowagi przy przydzielaniu tych środków na bezpieczeństwo systemów informatycznych, bezpieczeństwo osobowe czy fizyczne. Jednocześnie kierownictwo może świadomie określić:

1. Politykę bezpieczeństwa informacji
2. Podział odpowiedzialności związanych z bezpieczeństwem informacji
3. Niezbędne szkolenia w dziedzinie bezpieczeństwa informacji
4. Zasady zgłaszania przypadków naruszenia bezpieczeństwa
5. Zasady zarządzania ciągłością działania firmy

Powyższe elementy stanowią zbiór dobrych praktyk przy zarządzaniu bezpieczeństwem informacji. Określone mogą stać się formalnymi podstawami do opracowania niezbędnych procedur działania w zakresie bezpieczeństwa informacji. Umożliwiają również wbudowanie zasad zarządzania bezpieczeństwem informacji w naturalne mechanizmy zarządzania organizacją oraz przełożenie tych zasad na procesy realizowane w firmie poprzez określenie celów procesów oraz przypisanie zadań, uprawnień i odpowiedzialności pracowników w tych procesach. Wtedy prawdopodobieństwo, że kierownictwo, administratorzy systemów informacyjnych i ich użytkownicy zaczną stąpać po grubszym lodzie jest znacznie większe.

Centrum Doskonalenia Zarządzania MERITUM było jedną z pierwszych firm konsultingowych, która z sukcesem pomogła klientom wdrożyć certyfikowane system zarządzania bezpieczeństwem informacji w Polsce (Talex, Remondis Data Office, ZETO). W chwili obecnej prowadzimy kolejne wdrożenia systemu zarządzania bezpieczeństwem informacji zgodnego z normami ISO/IEC 27001:2005 oraz ISO/IEC 17799:2005. Nasi klienci uzyskali już certyfikaty na zgodność z nową normą ISO/IEC 27001:2005 Systemy zarządzania bezpieczeństwem informacji.