Kardas rodzia�# stronyH8 489

488 CZĘŚĆ IV ZASOBY PRZEDSIĘBIORSTWU

23.5. Bezpieczeństwo informacji

Ponieważ informacje są bardzo cennym zasobem, ich utrata może spowodować realne straty finansowe, utratę zaufania klientów, lub nawet upadłość całej firmy. Konieczna jest więc ciągła troska o jej bezpieczeństwo.

Polska Norma PN-I-13335 określa bezpieczeństwo systemu informacyjnego jako „wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności”²'*.

•    poufność (confidentiality) jest to właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,

•    dostępność (availability) jest to właściwość bycia dostępnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,

•    integralność danych (data integrity) jest to właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

•    rozliczalność (accountability) jest to właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,

•    autentyczność (authenticity) jest to właściwość zapewniająca. Ze tożsamość podmiotu lub zasobu jest taka, jak deklarowana. Autentyczność dotyczy takich podmiotów jak: użytkownicy, procesy, systemy i informacja,

•    niezawodność (reliability) jest to właściwość oznaczająca spójne, zamierzone zachowanie i skutki.

Bardzo istotne w procesie zarządzania bezpieczeństwem informacji jest^{1 2}:

1)    identyfikacja i aktualna ewidencja zasobów:

•    fizycznych (np. komputery, sieć komunikacyjna, budynki),

•    informacji (np. bazy danych o klientach, know-how),

•    niezbędnego oprogramowania,

•    pracowników oraz dóbr niematerialnych (np. wizerunek firmy).

2)    identyfikacja zagrożeń (potencjalnych przyczyn niepożądanego zdarzenia, które może spowodować szkodę dla systemu bezpieczeństwa lub samej instytucji lub jej zasobów). Zagrożenia mogą być spowodowane:

•    czynnikami naturalnymi (np. uderzenie pioruha, powódź, pożar),

•    lub czynnikiem ludzkim.

Zdecydowana większość problemów związanych z bezpieczeństwem systemów to różne sytuacje stwarzane przez ludzi. To najczęściej ludzie przypadkowo lub celowo niszczą dane, dopuszczają do rozprzestrzenienia się złośliwego kodu programu (wirusów), zaniedbują swoje obowiązki lub nie stosują podstawowych zabezpieczeń technicznych. Zagrożenia zewnętrzne, ze strony hakerów i winisów, stanowią niewielki odsetek wszystkich zagrożeń. Jest to zaskakujące, ponieważ uwaga przeciętnego użytkownika systemów informatycznych kierowana jest przede wszystkim w stronę intruza zewnętrznego. Być może wynika to faktu, że szkody z przyczyn zewnętrznych mają zdecydowanie większe reperkusje ekonomiczne i prestiżowe.

3)    identyfikacja podatności (słabości osobowej, sprzętu komputerowego, proceduralnej, administracyjnej, która może zostać wykorzystana). Nie można jej całkowicie wyeliminować, można jedynie zmienić jej poziom,

4)    identyfikacja następstw (konsekwencji wywołanych niepożądanym zdarzeniem, spowodowanym rozmyślnie lub przypadkowo). Może to być: zniszczenie zasobów organizacji, utrata integralności danych, brak dostępu do informacji, straty finansowe, utrata dobrej opinii wśród klientów itp.,

5)    identyfikacja ryzyka, w tym ryzyka szczątkowego (prawdopodobieństwa określającego możliwość wykorzystania danej podatności przez określone zagrożenie narażając określony zasób organizacji). Powinno ono zostać poprawnie zidentyfikowane dla każdego zasobu (lub grupy zasobów) organizacji. Ryzyko wystąpienia niepożądanego incydentu nigdy nie może zostać sprowadzone do zera, poprzez odpowiednie zabezpieczenia można je jedynie zredukować,

6)    identyfikacja ograniczeń (ustalanych lub uznawanych przez kierownictwo organizacji czynników wpływających na elementy systemu bezpieczeństwa informacyjnego). Mogą one przykładowo być natury organizacyjnej, finansowej, prawnej czy kulturowej,

7)    wybór i stosowanie sposobów zabezpieczenia (określonych metod postępowania lub automatycznych mechanizmów, które mają chronić przed zagrożeniami). Przykładami zabezpieczeń są mechanizmy kontroli dostępu, oprogramowanie antywirusowe, narzędzia monitoringu sieci komputerowej, kryptografia, polityka tworzenia kopii bezpieczeństwa, czy kreowanie wysokiej świadomości bezpieczeństwa wśród pracowników.

23.6. Wywiad gospodarczy

Zarządzanie informacją w przedsiębiorstwie działającym na globalnych rynkach, gdzie konkurencję stanowią dziesiątki, jeśli nie setki innych podmiotów, jest zadaniem bardzo trudnym. Wymaga konieczności pozyskiwania i przetwarzania ogromnych ilości informacji dotyczących otoczenia przedsiębiorstwa. Dlatego coraz częściej spotkać się możemy z nową formą zarządzania informacjami, jaką jest system wywiadu gospodarczego.

Wywiad gospodarczy to profesjonalne zdobywanie i analizowanie informacji o określonych segmentach rynku, funkcjonujących na tym rynku podmiotach, ich osiągnięciach technicznych, projektach działań i pozycji ekonomicznej³.

1

^2J Polski Komitet Normalizacyjny, Polska Norma Pr PN-l-13335-1.

2

Polski Komitet Normalizacyjny, Polska Norma Pr PN-I-13335-I.

3

N.K. Malhotra. M Pelerson. Marketing research in ihe neii’ millennium: enterging issues and trends. Marketing Imelligencc & Flaming 2001, nr 19/4, s. 216-235 T. Wojciechowski. Wywiad gospodarczy," Firma" 1999, nr 7-8.