Dla każdego biznesu, niezależnie od branży – od niewielkiej firmy produkcyjnej po wielką korporację nowych technologii, kluczem bezpieczeństwa, którego nie można pominąć, i zawsze będzie szczegółowo badany, jest ochrona tajemnic organizacji, know-how tego, co powoduje, że jesteśmy na rynku konkurencyjni.
Wojciech Stąsiek: Czym jest audyt bezpieczeństwa? Jak jest przeprowadzany?
dr Łukasz Kister: Starożytny chiński strateg Sun Tzu mówił „Kto nie zna ani wroga, ani siebie, nieuchronnie ponosi klęskę w każdej walce”. Przedsiębiorcy często nie wiedzą, jakie są ich słabe strony, jakie mają podatności na różnorakie zagrożenia, które czyhają na biznes od strony bezpieczeństwa fizycznego, bezpieczeństwa ekonomicznego, bezpieczeństwa informacyjnego czy cyberbezpieczeństwa. Nie wiedzą, jak mają się dostosowywać, jak mają budować sposób ochrony przed czymś, czego nie znają. Tak naprawdę sami nie wiedzą, co konkretnie powinni chronić, co jest dla nich tym podstawowym elementem prowadzenia biznesu. Każdy przedsiębiorca, który patrzy przyszłościowo i chce budować trwałą markę, musi sam siebie poznać. Niezbędne są profesjonalne oraz poukładane, według przyjętych i przetestowanych na świecie przez wiele lat, modele audytowe. Musimy przeprowadzić dogłębną analizę samej firmy, organizacji, również tego, czym się dana firma zajmuje, żeby określić, czym dokładnie jest. Gdzie widzimy swoje słabe, a gdzie silne strony. Naszą opinię oraz ocenę trzeba zderzyć z wynikami bardzo twardego raportu z audytu, gdzie nie ma miejsca na domysły, nie ma miejsca na oderwane od rzeczywistości oceny. Twarda lista kontrolna elementów, które są kontrolowane, dostosowana do konkretnej firmy, branży, wielkości, otoczenia oraz lokalizacji. Po co taka twarda i szczegółowa? Żeby wyniki tego audytu dało się prawie że zerojedynkowo porównać do rzeczywistości działania danej organizacji. Wszystko, by przedsiębiorca, który otrzymuje taki raport dokładnie wiedział, w którym jest miejscu, gdzie jest jego biznes, gdzie są jego największe podatności, na jakie obszary powinien zwrócić uwagę. Przedsiębiorca musi zrozumieć, co jest dla niego najważniejszym elementem, co musi być punktem jego zainteresowań, by najbliższe tygodnie, miesiące czy lata były owocne.
WS: Jakie są etapy przeprowadzania audytu?
dr ŁK: Każdy profesjonalny audyt przeprowadza się od zrozumienia istoty danego przedsiębiorcy, danej firmy, danej branży czy danej lokalizacji. Audytor nie jest omnibusem, choćby miał bardzo duże doświadczenie audytorskie, to zazwyczaj jest to związane z konkretnymi branżami czy organizacjami. Dlatego przed każdym audytem musi poznać istotę firmy, dowiedzieć się czym ona się zajmuje. Zbadać jej otoczenie zewnętrzne, kto na organizację oddziałuje oraz w jaki sposób. Jaka jest konkurencja, gdzie jest zlokalizowana, jakie są zagrożenia. Po drugie audytor musi zrozumieć organizację wewnętrzną, schemat organizacyjny, układ jednostek wewnętrznych oraz procesów. Na podstawie szerokiego spojrzenia na organizację dostosowuje się zakres twardej listy kontrolnej. To co dla danej firmy jest ważne, audytor musi zbadać dokładniej. Na przykład dla firm produkcyjnych czy magazynowych najważniejsze jest zabezpieczenie fizyczne, wprowadzenie ochrony biznesu. Natomiast w biznesie opartym na e-commerce czy social media najważniejsze będą kwestie cyberbezpieczeństwa, zabezpieczenia systemów sieci teleinformatycznych. Dla każdego biznesu, niezależnie od branży – od niewielkiej firmy produkcyjnej po wielką korporację nowych technologii, kluczem bezpieczeństwa, którego nie można pominąć, i zawsze będzie szczegółowo badany, jest ochrona tajemnic organizacji, know-how, czyli to co powoduje, że jesteśmy na rynku konkurencyjni. Jeżeli sprzedajemy to samo co inna firma, świadczymy te same usługi, to powinniśmy mieć coś co nas wyróżnia, coś co daje nam zdolność do wygrywania z konkurencją. Bezpieczeństwo informacji zawsze jest kluczem bez względu na to, czym dana firma się zajmuje.
WS: Jak ważna jest prawidłowa ocena bezpieczeństwa, jak wiele może kosztować błąd w ocenie audytora?
dr ŁK: Najważniejsze jest to, by wybrać audytora, który jest doświadczony, który posiada wiedzę praktyczną, a niekoniecznie specjalistyczną w obszarze danego biznesu, bo ona nie jest mu niezbędna, żeby móc ocenić nasze bezpieczeństwo. Na podstawie wymagań, audytor musi być w stanie ocenić wypełnianie danego obszaru, czy firma potrafi go zabezpieczyć. To jest klucz do prawidłowości raportu oraz prawidłowości we wnioskowaniu. Duże doświadczenie audytowe ułatwia audytorowi odnajdować luki, bardzo szybko zauważyć problemy komunikacyjne, istotne braki w procedurach oraz procesie, które pozornie są ukryte. Zawsze raport audytorski jest oceną audytu, a audyt to nie jest badanie całej organizacji, przesiewanie ziarenka po ziarenku. Jak sam termin mówi – audyt to jest próbkowanie oraz ocena próbek. Zawsze może się okazać, że podczas tego próbkowania pominęliśmy jakiś drobny element. Doświadczenie audytorskie polega na wybraniu odpowiednich próbek ze wszystkich obszarów działalności przedsiębiorstwa, by zawsze mieć pewność, że te próbki są reprezentatywne. Dzięki temu wynik audytu będzie można odnieść w ocenie działalności. Audytorzy doskonale wiedzą, kogo i o co zapytać, by mieć pewność, że dany proces odbywa się poprawnie lub są w nim krytyczne luki. To jest element „nosa audytorskiego”, z którym nie da się urodzić, tego nabiera się z doświadczeniem.
WS: Bazując na pańskim doświadczeniu, czy zauważył Pan wzrost świadomości przedsiębiorców o zagrożeniach bezpieczeństwa IT?
dr ŁK: Przedsiębiorcom wydaje się, że są coraz bardziej świadomi zagrożeń w cyberprzestrzeni. Jednak nie wynika to z ugruntowanej świadomości, myślenia zbudowanego na trwałych podstawach. Niestety coraz częściej w ostatnich miesiącach przedsiębiorcy padają ofiarą cyberprzestępców i to powoduje, że informacje o kradzieży, na przykład, środków z konta spowodowały, że przedstawiciele biznesu nie tyle są świadomi i rozumieją te zagrożenia, a zaczynają szukać rozwiązań oraz pomocy. Bez względu na to, czy ich branża jest związana z cyberprzestrzenią czy są przedsiębiorcami nowych technologii, zaczynają rozumieć, że nawet ich drobny warsztat, mały sklepik może paść ofiarą działań przestępców oraz cyberprzestępców. To jest w mojej ocenie sukces. Niestety skutkuje to zwiększoną liczbą pseudo ekspertów, którzy nagle stają się fachowcami. Cyberbezpieczeństwo to nie jest tylko zabezpieczenie systemów oraz sieci teleinformatycznych. Jest to budowanie bezpieczeństwa całego systemu ludzkiego, organizacyjnego, prawnego, proceduralnego oraz technicznego. Musimy właściwie dobrać osobę, od której potrzebujemy pomocy. Audytor to człowiek, któremu powinniśmy ufać, my jako przedsiębiorcy odsłaniamy się całkowicie przed taką osobą, ona poznaje nasze wszystkie tajemnice, słabości, bolączki. Tutaj żadne zabezpieczenia umowne nie mają znaczenia, nie odgrywają żadnej realnej roli. Audytor musi być osobą doświadczoną, taką która gwarantuje nam świadczenie usług, na których nam zależy. Jeżeli boimy się utraty setek tysięcy złotych czy milionów, jeżeli tyle warty jest nasz biznes i jeżeli ma się rozwijać w przyszłości, to nie możemy szukać profesjonalisty pod kryterium ceny i uważać, że dzień pracy eksperta nie może kosztować tyle, co miesięczna wypłata naszego pracownika. Audytorowi płacimy za jego wiedzę, a nie za pięć, dziesięć czy piętnaście godzin pracy, którą wykonuje.
Audyt nie powinien być wykonywany raz czy kilka razy w trakcie trwania prowadzenia biznesu. Audyt musi być uskuteczniany w miarę możliwości jak najczęściej. Rynek bardzo szybko się zmienia, dlatego i my powinniśmy się do niego dostosowywać i być elastycznymi. Wirusy i ich bardzo silna aktywność, czyli ten pierwszy strzał cyberzagrożeń, to okres około dwóch tygodni. To, czym będzie się zajmował w tej chwili bardzo dobry ekspert od informatyki, oraz jego wiedza i zdolności, będą odnosić się do tego, co działo się dwa tygodnie lub miesiąc temu. Musimy pamiętać, że wiele kwestii w bezpieczeństwie biznesu zależy od nas samych. To zależy, czy my jako przedsiębiorcy będziemy chcieli z wyniku tego audytu korzystać, czy my skorzystamy z usług audytora, który nie będzie bał się napisać prawdy oraz, co jest najważniejsze, będzie potrafił ją uzasadnić. Pokaże nam dowody, które będą niepodważalne. My raporty musimy przyjmować, realizować rekomendację oraz wyciągnąć wnioski z audytu.
Rozmawiał: Wojciech Stąsiek
Opracowała: Magdalena Sarzyńska
