Students and Academics of All Countries, Unite! :-)

Czynnik ludzki w zarządzaniu bezpieczeństwem informacji

Część 8. Bezpieczeństwo zasobów ludzkich nie zajmuje w PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007 jakiegoś szczególnego miejsca. Czy słusznie? Z artykułu Debi Ashenden Information Security management: A human challenge? [Information Security Technical Report, 13 (4), p.195-201, Nov 2008] wynikałoby, że niesłusznie. Zaczyna ona od przykrego dla środowiska inżynierskiego stwierdzenia, że łatwiej mu zarządzać techniką i technicznymi procesami niż uwikłanymi w to ludźmi. Na ile jednak z powodzeniem udało się jej przełożyć tę ogólną tezę organizacyjną na ten konkretnie nas interesujący obszar bezpieczeństwa informacji? Last but not least, czy to właśnie Wy, jako absolwenci kierunku studiów inżynieria bezpieczeństwa będziecie mieli w obszarze bezpieczeństwo informacji największe szanse po temu, aby odegrać tę najbardziej pożądaną rolę "wojowników zmiany", o których Debi Ashenden pisze na podstawie artykułu CIOs can thrive as pace of change quickens ( http://www.computerweekly.com/Articles/2005/07/12/210818/cios-can-t... )?

0 members like this

Replies are closed for this discussion.

Replies to This Discussion

Permalink Reply by Tadeusz Lemańczyk on March 22, 2009 at 11:55am

Wszyscy, którzy zaopatrzywszy się już w obie publikacje (1. PN-ISO/IEC 27001 Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania. Copyright by PKN, Warszawa 2007; 2. PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007) dostrzegli wstępny charakter pierwszej i określający ustawienie tematów zajęć projektowych charakter drugiej, z pewnością zaakceptują w pełni rozwinięcie w tym miejscu uwag wstępnie zasygnalizowanych przeze mnie jedenaście dni temu w dyskusji Bezpieczeństwo informacji nie tylko w systemach teleinformatycznych ( http://fedcba.ning.com/group/bi/forum/topics/bezpieczenstwo-informa... ) tematu Polskie normy dotyczące zarządzania bezpieczeństwem informacji ( http://www.lemant.user.icpnet.pl/tad/ester4p-2.html ). Do niniejszego rozwinięcia skłoniła mnie zwłaszcza lektura artykułu Joan Goodchild Why employees ignore security. They have never heard of the 'policy', that's why ( http://www.techworld.com/security/features/index.cfm?featureID=1065... ), do którego trafiłem zainspirowany wiadomością napotkaną w grupie Enterprise Security na portalu TechPitch ( http://www.techpitch.com ). Jakie wnioski wyciągnęlibyście ze spostrzeżeń Joan Goodchild po zapoznaniu się z całością części ósmej drugiej publikacji (PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007, s. 33-38)?

Permalink Reply by Szukalski Bartosz on March 24, 2009 at 3:41pm

Z cała pewnością dużo łatwiej zarządzać techniką [ działaniem maszyn] niż ludźmi. Komputery nigdy się nie mylą, nie popełniają błędów. Należy jednak pamiętać ze To człowiek musi uruchomić obsługiwać te maszyny tak wiec zarządzanie techniczne nie może odbywać się bez zarządami czynnikiem ludzkim.

Permalink Reply by Mateusz Piaskowski on March 24, 2009 at 4:21pm

Owszem Panowie macie rację, ale... po części.
Jeśli chodzi o mnie to wolałbym wyeliminować czynnik ludzki przy zarządzaniu bezpieczeństwem informacji - w ogóle. Sam komputer nie pobierze (czyt. nie ukradnie) informacji od drugiego komputera aby zawładnąć naszą pocztą, informacjami w serwisach, kontami bankowymi. Ale już czlowiek od drugiego człowieka może i jeśli ma okazje zrobi to. Chociażby z tak prostego powodu jak dodatkowy zarobek:). Czy pracując na takim stanowisku w firmie A - jako odpowiedzialni za bezpieczeństwo informacji - dopuścili byście się wykorzystania ich w celach zarobkowych (Dostarczenie informacji dla firmy B) chęcią zarobku??? Licze na szczere odpowiedzi:P

Permalink Reply by Patryk_Walentyniowicz on March 24, 2009 at 4:34pm

Zbigniewie bardzo słusznie zauważyłeś , że maszyna bez człowieka jest tak naprawdę.. niczym. Jednak warto też zadać pytanie czym w takim razie (w obecnych czasach) będzie człowiek bez maszyny? Naturalnie będzie tą samą osoba.. jednak bardzo ograniczoną. Nie zmienia to faktu iż na pierwszym miejscu jeśli chodzi o bezpieczeństwo powinien stać Człowiek.

Z kolei Mateusz zadał bardzo niedyskretne pytanie :P Sam fakt na jakich studiach jesteśmy raczej nie powinien stwarzać w głowach takich pytań. Odpowiedz powinna być jasna dla wszystkich (jednak wiemy doskonale jak to w życiu bywa.. A czynnik ludzki jest "bardzo ludzki" ;) )

Permalink Reply by Marzena Dobysz on April 7, 2009 at 3:57pm

Moim zdaniem odpowiedź jest oczywista. Jestem za tym, aby trzymać się tego co leży w Moich obowiązkach, czyli nie dopuściłabym do wykorzystywania informacji dotyczących firmy dla dodatkowych celów zarobkowych. Dlaczego?
Po pierwsze- na pewno na umowie o pracę jest klauzulka, która mówi o tym, że nie można tego robić-czyli łamię umowę,
po drugie: udostępnienie wiadomości na temat firmy skutkuje zwolnieniem dyscyplinarnym- czyli koniec z naszymi normalnymi zarobkami, nie mówiąc już o dodatkowych, wynikających z "dodatkowego zarobku",
po trzecie: jak już dostaniemy "dyscyplinarkę", to nie znajdziemy pracy w szanującej się firmie- nasza samoocena może zmaleć,
po czwarte: jak już dostaniemy pracę, to zazwyczaj będzie to nieszanującej się firmie, która nie będzie nas szanowała (czyt. naszego portfela).
Tu koło się zamyka, na początku mamy podwójną pensję, a po wyjściu na jaw naszych przekrętów i wycieków, nasza pensja albo znika, albo drastycznie maleje.
Uważam, że jak ktoś chce się wzbogacić, to po prostu trzeba brać się do pracy- albo do nauki, albo do łopaty..

Permalink Reply by Patryk_Walentyniowicz on April 7, 2009 at 4:14pm

Trudno się nie zgodzić z Tobą Marzenko :) Zwróciłbym tylko uwagę na to, że gdyby wszystko było takie oczywiste (czarne bądź białe), wszyscy źli byli by ukarani i skazani za popełnione niecne czyny albo jeszcze lepiej – wszyscy by mieli blokady moralne by nie ujawniać i nie kraść jakichkolwiek danych – było by pięknie i nie było by nawet o czym podyskutować na tym forum;).

Łatwo nam komentować (oczywiste wręcz z punktu widzenia społecznego) kwestie moralne , łatwo jest się postawić po właściwej stronie. Wydaje mi się, że życie potrafi być trochę bardziej złożone i wszystkie te kwestie moralne odnośnie dorabiania potrafią się czasem „zamazać”( co nie znaczy ze nie ma usprawiedliwienia dla takich czynów – żeby ktoś czasem tu mnie źle nie odebrał :D ). Trochę odbiegłem od tematu za co przepraszam ;) rozwinąłem nieco myśl z powyższego posta "(jednak wiemy doskonale jak to w życiu bywa.. A czynnik ludzki jest "bardzo ludzki" ;) )"

Permalink Reply by Piotr Ziółkowski on March 24, 2009 at 9:31pm

http://www.youtube.com/watch?v=IB2FZvHuICU w tym filmie, można zauważyć co powoduje nie odpowiedzialność, kradzież informacji. Dlatego przed eliminacja czynnika ludzkiego powinniśmy się zastanowić czy spełniliśmy określone wymagania w celu zapobiegnięcia "uciekania informacji"??
Chciałbym także dodać, żyją ludzie, którzy dążą do korzyści majątkowych przez zdobycie informacji, ale również ci blokujący im ten dostęp. Na początku napisałem, że ważna jest odpowiedzialność oraz dodam sumienność(mówimy o ochronie informacji).Patrząc na technikę, pamiętajmy że komputer to urządzenie które można zaprogramować aby podejmowało się przejmowaniem cennych informacji, maszyna wykonywała by te czynności tylko dlatego, że to my ją zaprogramowaliśmy i stworzyliśmy. Więc nie był bym za przekazaniem zarządzania informacjami maszynom, kiedyś musi nastąpić pewna usterka. Firma zajmująca się ich produkcją chciałaby zapewnić sobie "wszelka informację". - Zbyt mogło by to kusić. Oczywiście to jest moje zdanie,które może byc błędne.

Permalink Reply by Marcin Klonowski on March 31, 2009 at 4:11pm

Musze się zgodzić z moimi przedmówcami. Każdy z nich spojrzał na temat ze swojego punktu widzenia. Każdy ma racje. Jednak też chciałem wtrącić w tą dyskusje moje "trzy grosze". Zarządzanie bezpieczeństwem urządzeń technicznych jest łatwe. Można zamontować elementy chroniące nas przed zagrażającymi częściami tych maszyn czy "elementami" które się z niej wydostają.
Gorzej jest jednak z ludźmi. Nikt nie zainstaluje na człowieku osłony, która mogłaby "odgrodzić" go przed wyrządzeniem jakiejś szkody, przed zdobyciem jakiejś informacji, której nie powinien znać. Żadna maszyna czy obiekt techniczny tego nie zrobi. Nie zapominajmy ze każda maszyna jest stworzona przez człowieka. Można powiedzieć że człowiek jest „bogiem” gdy patrzymy na różnorodne rodzaje maszyn czy technikę. Bardzo spodobało mi się stwierdzenie „Jednak warto też zadać pytanie czym w takim razie (w obecnych czasach) będzie człowiek bez maszyny? Naturalnie będzie tą samą osoba.. jednak bardzo ograniczoną.” Człowiek bardzo przyzwyczaja się do techniki. Gdyby w dzisiejszych czasach zabrano komputer lub nawet dostęp do Internetu, można powiedzieć że taka osoba staje się osobą niepełnosprawną!
Jednak wróćmy do kategorii bezpieczeństwa informacji.
Jak już słusznie zauważono, to nie maszyny wyłudzają informacje tylko osoba która stworzyła sprzęt podsłuchujący czy napisała „trojana”. Każdy z nas ma zagwarantowane posiadanie tajemnic czy (różno zrozumiałej) swobody. Jednak spójrzmy na temat swobody z drugiej strony. Czy jeżeli ktoś ma prawo do posiadania tajemnicy, czy ja mam prawo do zdobycia jej( tzn. tajemnicy)?Odpowiedz tkwi w naszej moralności. „Czynnik ludzki w zarządzaniu bezpieczeństwem informacji”- jest to bardzo ważnym problemem. Bo to ten czynnik ludzki tworzy niebezpieczeństwa! Musimy „nauczyć” się zabezpieczać nasze poufne informacje. Jednak nauka nie powinna odbywać się na zasadzie „nauki na błędach”. Zanim podamy jakąkolwiek informacje do wglądu innym, zastanówmy się wielokrotnie, czy ta informacja w jakiś sposób może nam nie zaszkodzić….

Permalink Reply by Tadeusz Lemańczyk on April 1, 2009 at 9:31am

Nie bądźmy jednak zbyt surowi dla siebie samych. Pisze Pan, Panie Marcinie, "Odpowiedź tkwi w naszej moralności". Nie da się jednak ukryć, że nasza moralność, jakiej wielkiej nie byłaby próby, wystawiona jest na przemożne oddziaływanie stosunków ekonomicznych, co zwłaszcza w czasach kryzysu skutkuje moralnym upadkiem wielu z nas. Zdając sobie z tego sprawę, a nie łudząc się opowiastkami o triumfie Ducha nad Materią, osoby odpowiedzialne za bezpieczeństwo informacji z ponurą determinacją wdrażają w swych organizacjach PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007 z Część 8. Bezpieczeństwo zasobów ludzkich na czele.

Permalink Reply by Marcin Klonowski on April 28, 2009 at 3:34pm

Nie wiem czy dobrze zrozumiałem Pana słowa: ”Nie da się jednak ukryć, że nasza moralność, jakiej wielkiej nie byłaby próby, wystawiona jest na przemożne oddziaływanie stosunków ekonomicznych, co zwłaszcza w czasach kryzysu skutkuje moralnym upadkiem wielu z nas".
Z tych słów wynika, że upadek moralności ludzi(może nie wszystkich) jest spowodowany kryzysem gospodarczym. Owszem, każdy kryzys czy to społeczny czy gospodarczy może sprzyjać upadkowi (części) moralności. Ale czy możemy upadek moralności, zgonić na kryzys? Sadzę ze nie. Byłoby to za proste.....

Permalink Reply by Anna Tuszyńska on April 7, 2009 at 4:29pm

Ja również zgadzam się z przedmówcami. A zwłaszcza ze słowami Marcina " Człowiek bardzo przyzwyczaja się do techniki. Gdyby w dzisiejszych czasach zabrano komputer lub nawet dostęp do Internetu, można powiedzieć że taka osoba staje się osobą niepełnosprawną!". Chcialabym jeszcze zauważyć,że też właśnie niczym jest komputer bez internetu. Bez internetu prawie każdy człowiek nie potrafiłby sobie poradzić, nawet nie potrafiłby sobie zagospodarować wolnego czasu czy wyjazdu na wakacje. Aktualnie jesteśmy istotami zmechanizowanymi i gubimy się kiedy nam czegoś chociażby na chwilkę zabraknie.

Permalink Reply by Marzena Dobysz on June 2, 2009 at 3:26pm

Wracając do stwierdzenia Pana doktora, przykrego stwierdzenia, że dla środowiska inżynierskiego, „łatwiej mu zarządzać techniką i technicznymi procesami niż uwikłanymi w to ludźmi”. Stwierdzenie to prezentuję i potwierdzam poprzez badania na temat: „Utrata danych często z winy pracownika”, który znajduje się w następującym linku
( http://www.egospodarka.pl/39544,Utrata-danych-czesto-z-winy-pracown... ). Zapraszam do przeczytania krótkiego, ale przedstawiającego trafne spostrzeżenia artykułu.