SAP Global
SAP MAG 20, velja�a 2005.
Kontaktirajte SAP online ili
nazovite +(01)-4820-400
 
     
 

naslovnica | pošalji članak | ispis

IT sigurnost za "male igrače"

Skupina za istraživanje pitanja sigurnosti inicijative Hamburg@work objavila je priručnik za informatičku sigurnost u malim i srednjim poduzećima

Piše: Dr. Andreas Schaffry, SMB News

 

Brojne studije došle su do zaključka da mala i srednja poduzeća premalo izdvajaju za informatičku sigurnost. Skupina za istraživanje pitanja sigurnosti inicijative Hamburg@work nedavno je objavila priručnik o najboljoj praksi za informatičku sigurnost u malim i srednjim poduzećima. Svrha je priručnika dati MSP (malim i srednjim poduzećima) konkretne upute o tome na koji način trebaju rješavati pitanja informatičke sigurnosti. SMB NEWS razgovarao je s Peterom Wirnspergerom o nastajanju priručnika te o njegovim koncepcijama i ciljevima. Peter Wirnsperger predvodi skupinu za istraživanje sigurnosti u sklopu inicijative Hamburg@work te je također i viši menadžer skupine za sigurnosne usluge revizorske kuće Deloitte & Touche.

§         U prvome redu postavlja se opće pitanje: Zašto u malim i srednjim poduzećima manjka informatičke sigurnosti?

Za to postoji nekoliko razloga. I danas se ponavlja situacija da se na sigurnost prečesto gleda kao na tehnološko pitanje te se tek potom na nju gleda s aspekta troškova ulaganja u informatičke sustave. Gledište po kojemu aktivnosti zaposlenika i menadžmenta mogu znatno pomoći u poboljšanju informatičke sigurnosti još se nije svuda probilo.

Štoviše, MSP ne vide sebe kao organizacije koje su na bilo koji način ugrožene. Puka činjenica da virusi ne prave razliku između velikih i malih poduzeća pokazuje da su i MSP ugrožene te da stoga moraju djelovati. To, primjerice, obuhvaća cjelovito razrađena i obvezujuća pravila koja uspostavljaju dokumentirani oblik regulacije. To se ne odnosi samo na tehnička pitanja nego i na pitanja kao što je način rukovanja poslovno kritičnim dokumentima ili regulacija pristupa posjetitelja. Poduzeća koja su to prepoznala doista se trude oko vlastite informatičke sigurnosti.

§         Koja je bila motivacija za objavljivanje priručnika najbolje prakse o informatičkoj sigurnosti u malim i srednjim poduzećima?

Koristi od smjernica za informatičku sigurnost postaju uočljive samo ako su i formalno zabilježene u pisanome obliku. To ih čini obvezujućima i uspostavlja definirana zaduženja. To je, međutim, često složena zadaća, osobito za posve mala poduzeća. Upravo smo to čuli prošle godine na forumu o sigurnosti skupine za istraživanje sigurnosti u Hamburškoj gospodarskoj komori. Tijekom rasprava sudionici su pozivali na izradu alata za pomoć osobito malim i srednjim poduzećima radi primjene informatičkih sigurnosnih mjera. Niz sudionika napominjalo je da su postojeće publikacije kao što je Osnovni priručnik zaštite Saveznoga ureda za sigurnost informatičke tehnike (BSI) nezgrapne i netransparentne. Mi smo u tome vidjeli izazov te smo na se preuzeli da izradimo jasan i lako razumljiv skup smjernica prilagođen potrebama malih i srednjih poduzeća. Ruku na srce, to nije uvijek lako, no na kraju je rezultat pokazao da je naš napor vrijedio truda.

§         Koje koncepcije stoje iza priručnika?

Ciljna skupina su donositelji odluka u MSP. Svrha priručnika nije prikazati sva potrebna i moguća sigurnosna pitanja, nego istaknuti ključna pitanja koja su po mišljenju naše istraživačke skupine nezaobilazna, ali koja često nisu bila rješavana u praksi. Priručnik ne ide po svim pitanjima u veliku dubinu nego se usredotočuje na ona područja koja se moraju najhitnije rješavati. Naš je cilj potaknuti MSP koja zapošljavaju između 10 i 100 ljudi da razviju sveobuhvatno poimanje informatičke sigurnosti. Upravo su zato teme podijeljene na tri razine: menadžment, osoblje i tehnologija. Temeljne koncepcije objašnjene su kao i pravni aspekti pitanja. Mnogi direktori ili vlasnici poduzeća, primjerice, uopće nisu svjesni toga da će biti odgovorni ako u njihovome poduzeću nema antivirusne zaštite te uslijed toga njihovi klijenti ili poslovni partneri pretrpe štetu ili pak nastanu gubitci za njihove zajmodavce ili ulagače.

§         Priručnici o informatičkoj sigurnosti zapravo već postoje, primjerice onaj kojega je izdao BITKOM ili onaj Saveznoga ureda za informatičku sigurnost (BSI). Po čemu se priručnik skupine za informatičku sigurnost razlikuje od njih?

Većina priručnika  napisana je za ljude koji već znaju što čine ili koji se žele vrlo intenzivno pozabaviti pitanjima informatičke sigurnosti. No, donositelji odluka za koje je informatička sigurnost tek jedno od mnogih pitanja s kojima se moraju nositi u svojim svakodnevnim aktivnostima, žele kratke, jezgrovite naputke bez dodatnih nepotrebnih informacija.

§         Jeste li do sada imali kakvih reakcija iz malih i srednjih poduzeća na priručnik?

Povratne informacije su daleko pozitivnije od očekivanih, jer kad je riječ o unaprjeđenju informatičke sigurnosti MSP smatraju priručnik korisnim te im on nudi relevantna rješenja. Čini se da smo premostili komunikacijski jaz između stručnjaka za sigurnost i donositelja odluka u MSP. Prva tiskana verzija već je rasprodana. To je razlog zbog kojega se priručnik trenutno može samo skinuti s Interneta.

§         Priručnik je namjerno rađen s otvorenom koncepcijom koja će se proširivati na tekućoj osnovi. Imate li ikakvih predodžbi u ovome trenutku o tome koje bi se druge teme uključile?

Ova verzija (1.0) rezultat je nekoliko sjednica razmjene misli članova istraživačke skupine i pod jakim je utjecajem njihovih iskustava. U verziji 2.0, koju želimo objaviti sljedeće godine, integrirat ćemo povratne informacije  korisnika radi dubljega razumijevanja potreba MSP te da budemo u stanju još detaljnije rješavati njihove konkretne probleme s informatičkom sigurnosti.

Pozdravljamo sve komentare ili povratne informacije (pošaljite e-mail na ak.security@hamburg-media.net ). Te povratne informacije bit će ugrađene u naš priručnik, osiguravajući da se relevantna pitanja razrađuju u hodu, budući da je informatička sigurnost područje koje također zahtijeva od MSP da planiraju i misle unaprijed. U tom smislu poduzeća koja na vrijeme na udare temelje platit će za to cijenu na ovaj ili onaj način.

 

 
 

Copyright/Trademark  |  Privacy  |  Impressum