Przejdź do treści
Zapraszamy

Czytelników, rozmówców na forum, Autorów, Blogerów, Redaktorów,...

Przeczytaj o możliwościach korzystania z witryny i współpracy

Salon Business Dialog Klub Inspirations Klub Dialog CIO Business Meeting Point Kwintesencja Projekty Business Dialog

Standardy bezpieczeństwa vs. Pani Krysia

maj 31, 2011 dodany przez admin

Jak organizować bezpieczeństwo, żeby było skuteczne. Bezpieczeństwo, w rozumieniu komplementarnego, pełnego systemu, złożonego z rozwiązań organizacyjnych, technicznych, wiedzy i postaw pracowników.

Grzegorz Krzemiński

Można jeszcze kilka elementów dodać, ale to nie na jeden artykuł. W niniejszym – o wiedzy, postawach i... sam nie wiem jak to nazwać.

Prolog

Na początku bohaterowie dramatu.

Standard – jakikolwiek standard bezpieczeństwa, np. The Orange Book, ISO serii 27000 (bezpieczeństwo informacji) czy 28000 (logistyka i transport), może tez być 14000 (bezpieczeństwo środowiskowe) czy jakikolwiek inny, przyjmowany w firmie jako wiodący.

Pani Krysia – długoletni pracownik firmy, rasowa sekretarka, która za nasłuchiwanie daje po uszach, a za grzebanie w nie swojej poczcie – liniałem po łapach.

Pan Security – specjalista, czy raczej „specjalista”, z głową nabitą formułkami, zasadami, wpojonymi przez pierwszego z aktorów epizodu – czyli Standarda.

Rzecz się ma o tym, że Standard chciałby znaleźć zatrudnienie w firmie. Jego kumpel, Security ma mu to ułatwić.

Pani Krysia, jako jeden z ważniejszych elementów bezpieczeństwa, ponieważ jest osobą przyjmującą i dystrybuującą informacje. Ona WIE:

  • Od kogo do kogo przekaz
  • Kogo informować przy okazji (w adresowej części e-maila jest takie pole „cc:”)
  • Kogo NIE informować,
  • Komu absolutnie nie udzielać informacji.

Dramat

W akcie pierwszym – pani Krysia wie. Ale pan Security chce wkręcić do pracy swojego kolegę. Zaczyna się więc dostosowywanie stanowisk pracy, zakresów kompetencyjnych do Standardu. Przekaz jest jasny – pan Security informuje:

– Wszystko co do tej pory robiliście nie jest zgodne z tym, co mówi Standard. W związku z tym od dziś zaczynamy szkolenia...

Pani Krysia załamała ręce. Trzeba się uczyć wszystkiego od nowa, a młoda już nie jest (proszę Czytelnika o wybaczenie, ale powiem, że najbardziej „rasowe” sekretarki, z najbardziej skutecznym działaniem to panie w wieku 45+. Tylko trzeba im dać możliwość pracować – przyp. Autora).

Akt drugi – zaczyna się wdrożenie Standardu do pracy. Przyjechali koledzy Standardu – Audyt i Szkolenie. Co prawda Audyt powinien się raczej nazywać Survey, ale Audyt jest bardziej popularnym imieniem.

Na początek Audyt wykazał, że brakuje procedury klasyfikacji informacji, że trzeba je dookreślić, dołożyć ochronę z kilku nowych aktów prawnych, a wiodącym przy klasyfikowaniu będzie Standard. Pan Security wraz ze Standardem opracowali „doskonałe” procedury. Nic to, że zza biurka, bez obserwacji pracy pani Krysi. Ważne, że pojawiają się znakomicie brzmiące określenia – procedura, klasyfikacja informacji, postępowanie w przypadku incydentu... No i dane wejściowe pochodziły od dobrego kolegi – Audytu.

Aby pani Krysia WIEDZIAŁA co robić z informacjami, to pan Szkolenie jej wszystko wytłumaczy. Wszystko – klasyfikację informacji, zasady postępowania, siatkę dostępu,... Po drodze jeszcze udało się zatrudnić kolejnego kolegę – BCP (Business Continuity Planning), wraz ze jego managerem.

Pani Krysia poczuła się zagubiona. — Czego oni wszyscy ode mnie chcą? Przecież ja wiedziałam, komu nie wolno czego mówić, że nie udzielam informacji przez telefon, że od informacji handlowej jest pan dyrektor Handlowy, od informacji o produkcji pan dyrektor Produkcyjny, a od utrzymania ruchu pan Inżynier...

I pani Krysia ma rację.

Sedno problemu

Pan Security, zakochany w panu Standardzie (dla porządku niech to będzie jednak pani Standard) nie zauważył. Nie zauważył najważniejszej siły drzemiącej w większości organizacji. Siły wynikającej z przekonań, ustalonych zasad postępowania i tego, że większość zabezpieczeń istnieje. Trzeba je tylko zidentyfikować, zinwentaryzować, wygładzić. Poniżej kilka przykładów.

Problemem w opisanym przypadku, niestety prawdziwym, jest fakt zbyt wąskiej wiedzy pana Security. Przyglądając się różnym standardom bezpieczeństwa, ale nie tylko bezpieczeństwa, można zauważyć pewną prawidłowość. Polega ona na tym, że większość z nich nie dotyczy tylko jednej dyscypliny. Mamy do czynienia praktycznie z każdym zakresem działania organizacji.

Na przykład HR – wykonuje działania na etapie rekrutacji i selekcji, czyli coraz modniejszy screening kadrowy. Coraz modniejszy tylko z nazwy. Sytuacja jest bardzo często podobna do przypadku pani Krysi. Wyrzuca się bardzo dobre i skuteczne działania sprawdzające, choćby zapisy o wykształceniu. Tylko dlatego, że wcześniej nazywały się oceną rzetelności CV, a teraz będzie to screening kadrowy. Do tego koniecznie trzeba kupić z zewnątrz usługę. Piszę to z przekąsem, chociaż sprawiedliwie trzeba przyznać, że czasem należy to zrobić (ochrona danych osobowych).

Szkolenie, dostarczanie wiedzy to jest kolejny zakres kompetencji, który nie jest właściwy dla pana Security. Niestety, spotykam się często z sytuacją, w której to właśnie działy bezpieczeństwa organizują szkolenia, przygotowują materiały, prowadzą ewaluację. Tylko po co, skoro w firmie z reguły szkoleniem zajmuje się dział HR? Dlaczego walczyć samemu, skoro są specjaliści? Może warto tylko dać wkład merytoryczny? A resztę zrobić zgodnie z obowiązującymi w tym zakresie standardami w firmie.

Epilog

Wracając do opisanej historii. Pani Krysia to autentyczny, flagowy i sztandarowy przykład właściwej obsługi klienta, ale wypracowanej przez lata, nie nauczonej. Sposób postępowania, prowadzenie sekretariatu, to wszystko są artefakty, które wskazują, że wynikają z mocnych przekonań, co wolno, a czego nie. Kto jest ważny, komu do czego wolno udzielić dostępu, a komu nie. Moim zdaniem błędnie został wykonany etap przed wdrożeniem, polegający na identyfikacji istniejących zabezpieczeń, czy też działań i rozwiązań, które jako zabezpieczenia już funkcjonują.

Bardzo często zalecam przy opracowywaniu systemów bezpieczeństwa stosowanie modelu Scheina, odnoszącego się do kultury organizacji. Idealnie pasuje również do oceny kultury bezpieczeństwa w organizacji. Analiza z użyciem tego modelu pokazałaby, że w organizacji istnieje kultura bezpieczeństwa spójna na linii przekonania – artefakty. Czyli do kompletnego modelu brakuje tylko norm i zasad spisanych. A te lepiej działają, jeśli wynikają z przekonań, pod warunkiem, że są prawidłowe. Takie podejście zaoszczędziłoby naprawdę dużo pracy i to pracy całkowicie niepotrzebnej, do tego takiej, która zapewne rozregulowała samą organizację.

Wdrożenie jakiegokolwiek standardu, nawet związanego tylko z peryferiami firmy, powoduje zmiany. Więc warto pokusić się o skuteczne i zgodne z zasadami zarządzanie tą zmianą. To kolejny zakres, w którym pan Security jak widać nie za bardzo dobrze się czuł.

Następny odcinek – jak kierować rozwojem działu bezpieczeństwa firmie. I z jakich elementów się składa ten dział.

Business Dialog Bulletin - widok książki

Premium Drupal Themes by Adaptivethemes