Miesięcznik informatyków i menedżerów IT sektora publicznego

Krzysztof Radecki

Wyzwania dla audytu wewnętrznego i służb IT

Zapewnienie wysokiego poziomu bezpieczeństwa informacji w urzędzie to kwestia, której nie wolno lekceważyć. Dzięki wdrożeniu i monitorowaniu stosowania odpowiednich procedur możliwe jest utrzymanie informacyjnej ciągłości działania jednostki.

Koncepcja trzech linii obrony

Sektor publiczny od lat cierpi na brak wrażliwości kierownictwa na sprawy bezpieczeństwa informacji. Oczywiście nie oznacza to, że problem ten pojawia się w każdym urzędzie, jednak doświadczenia audytorów (potwierdzone także badaniami i kontrolami – patrz: s. 18) jednoznacznie wskazują na marginalizowanie spraw bezpieczeństwa, niedobór kadr IT oraz na niezadowalającą jakość pracy informatyków. Przy tej okazji warto więc uświadomić sobie, jakie są konsekwencje niedostępności infrastruktury teleinformatycznej, która może być spowodowana awarią serwerów lub sieci, atakiem hakerskim, a także wynikać z wszelkich innych sytuacji krytycznych związanych z technologią IT i przetwarzaniem danych. Poniżej omawiamy najważniejsze zagadnienia związane z utrzymaniem odpowiedniego poziomu bezpieczeństwa informacji i zapewnieniem powrotu naszej jednostki do sprawnego przetwarzania informacji po katastrofie.

Cykliczność badań bezpieczeństwa informacji

Zasadniczo należy zadać sobie pytanie, jakie elementy Systemu Zarządzania Bezpieczeństwem Informacji (dalej: SZBI) są najistotniejsze w sferze utrzymania informacyjnej ciągłości działania jednostki. Chodzi w pierwszej kolejności o to, aby przyjęte w organizacji procedury czy polityki nie były martwe, tzn. nie skończyły swojego bytu na poziomie uchwał, zarządzeń, instrukcji itd. To mają być dokumenty żywe, tj. aktualizowane i weryfikowane poprzez bieżące stosowanie. Podobnie ma się kwestia obsługi incydentów bezpieczeństwa. Należy nie tylko wdrożyć procedurę zarządzania nimi, ale także na bieżąco prowadzić rejestr oraz monitorować, czy zdarzenia w nim są właściwie kwalifikowane i obsługiwane. Warto przy tym pamiętać, że w tej materii odpowiednie role powinny być przypisane nie tylko informatykom, ale także kierownikom departamentów bądź wskazanym przez nich osobom.

Personel IT powinien mieć nie tylko odpowiednie umiejętności techniczne i merytoryczne, ale wykazywać się też odpowiedzialnością, wrażliwością na kwestie bezpieczeństwa oraz lojalnością wobec pracodawcy. Dzięki temu będzie można ograniczyć pokusy w zakresie nadużyć w bezpieczeństwie informacji z uwagi na fakt, że  informatycy zazwyczaj mają nieograniczony dostęp do przetwarzanych danych w systemach. Stąd też tak ważna jest kultura organizacji w obszarze bezpieczeństwa. Buduje się ją poprzez uświadamianie personelowi potencjalnych zagrożeń oraz cykliczne szkolenia z zakresu ochrony informacji. Tylko w ten sposób pracownicy będą w stanie podejmować właściwe działania w przypadku zagrożeń w obszarze bezpieczeństwa informacji. Warto też badać je we własnym zakresie poprzez regularne, wewnętrzne audyty. Nie powinny jednak istnieć tzw. białe plamy w obszarze wiedzy i świadomości zagrożeń w bezpieczeństwie informacji dla audytu wewnętrznego. Umiejętność identyfikowania przez audytorów luk w obszarze bezpieczeństwa IT i zdolność do współpracy z informatykami to kluczowe zagadnienia z tym związane.

Sprawności trzech linii obrony

Koncepcja trzech linii obrony, która pomaga w zarządzaniu ryzykiem w obszarze cyberbezpieczeństwa, została szeroko omówiona w literaturze (np. w Cyber Security – What the Board of Directors needs to ask, IIA Research Foundation i ISACA, 18 sierpnia 2014 r.). Ma ona istotne wskazanie nie tylko dla sektora komercyjnego, ale również publicznego, ponieważ są to zagadnienia wspólne dla obu sektorów. Na pierwszą linię obrony składają się: sprawna kontrola zarządzania (w praktyce urzędów zwana kontrolą zarządczą) oraz mechanizmy kontroli wewnętrznej. W dalszej kolejności są tzw. kontrole operacyjne: finansowa, bezpieczeństwa, jakości, zgodności (np. z prawem), zarządzanie ryzykiem oraz różne inspekcje. Ostatnią linię obrony stanowi audyt wewnętrzny. Jego rola jest szczególna, ponieważ ma dwuszczeblowy poziom raportowania, tj. zarówno do kierownictwa wyższego szczebla, jak i do organów nadzorczych.

[...]

Autor jest Inspektorem Ochrony Danych, certyfikowanym audytorem CGAP®, członkiem stowarzyszenia audytorów ISACA®, szkoleniowcem i właścicielem firmy specjalizującej się w bezpieczeństwie informacji.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej