Životni problem svake organizacije

Unutarnja prijetnja poslovnim tajnama

Kada je u pitanju informacijska sigurnost, organizacije se uvelike oslanjaju na taktički i operacijski pristup. Veliki dio budžeta i resursa odlazi na tehnička rješenja, poput vatrozida i raznih filtera koji služe za obranu od hakera, spamera i lopova. No, istina je da je najveća prijetnja podacima pojedine organizacije već unutar vatrozida.
Djelatnici u svojemu dnevnom kontaktu s kritičnim informacijama stvaraju najveći rizik. Činjenica je da u 80 posto slučajeva sigurnosne propuste počine oni koji rade unutar organizacije. Ovi se propusti događaju na razne načine, npr. kada djelatnici odnesu dokumente s posla trudeći se biti produktivniji ili kada sa strancima komentiraju poslovne informacije, ne znajući da su ti podaci osjetljive prirode.

Zaštita tvrtke od unutarnjih prijetnji uopće nije jednostavna, no postoje proaktivne mjere koje organizacija može poduzeti kako bi smanjila rizik od toga.

Nije dovoljno samo reagirati na ovaj problem. Za to su ulozi previsoki. Ključ je rješavanja problema ponovno razmisliti o načinu na koji se osjetljive informacije koriste i započeti cjeloživotni sistem menadžmenta, kojim bi se 'zakonski' zaštitila ova osjetljiva 'aktiva'. Prvo je potrebno shvatiti složenost i širinu problema osiguranja informacija, a zatim  treba izgraditi strateški pristup koji stvara nove razine kontrole i odgovornosti.

Pazite da stvari ne izmaknu kontroli

Jedan od prvih koraka  koji organizacije moraju učiniti da bi zaštitile sebe i svoju budućnost jest da kritične informacije ograniče na mjesto polaska. Ono može varirati od prvoga memoranduma o lansiranju novoga proizvoda do trenutka kada je ideja osmišljena u timu zaduženom za istraživanje i razvoj. Organizacije često preskoče ovu kritičnu fazu i konkurentne informacije koje stvaraju profit  izgubljene su zauvijek.

U današnjoj ekonomiji organizacije traže načine da srežu troškove, povećaju dobit i donesu vrijednost svojim dioničarima. No, što se događa s povjerenjem potrošača i dioničara kada dođe do sigurnosnih propusta ili propusta u zaštiti osobnih podataka? Organizacije ne smiju dopustiti reagiranje isključivo na događaje oko njih. One moraju usvojiti proaktivan stav menadžmentom sigurnosti informacija, koji će im osigurati podatke širokoga spektra vanjskih i unutarnjih prijetnji.

Kako bi ovo uspjele, viši menadžment mora predvoditi u stvaranju sigurnosnih protokola i procesa te postavljati ciljeve za sigurnost cijele organizacije. Ovaj pristup odozgo-nadolje mora voditi jedna predana osoba poput CIO-a (Chief Information Officer) ili dopredsjednika za tehnologiju, koji posjeduje autoritet i čije će odluke biti prihvaćene u organizaciji na svim razinama.

Vrlo je bitno da se pri razvoju rješenja konzultiraju s krajnim korisnicima i tehničkim stručnjacima koji rade u informacijskom sustavu na dnevnoj bazi. Oni detaljno poznaju sistem i razumiju njegove prednosti i mane te će znati  što bi trebalo učiniti kako bi se on zaštitio. Kako bi se stvorio plan koji će se koristiti za implementaciju zaštite sistema, potrebno je puno interakcije i komunikacije.

Djelujte strateški

Ne postoji jedan zaokruženi plan koji svaka tvrtka može koristiti u osiguravanju informacija. Nijedan ponuđač rješenja nije u mogućnosti odgovoriti na sve vaše sigurnosne potrebe i probleme. Zbog toga se osiguravanje informacija smatra i umjetnošću i znanošću. Bit će vam potrebna pomoć stručnjaka.

Kako organizacije premještaju svoje operacije na globalne informatičke mreže i počinju s offshoringom i outsourcingom, treba imati u vidu da je sigurnost jaka koliko i njezina najslabija karika. Kako bi se identificirali i kontrolirali rizici do kojih svakodnevno dolazi unutar organizacije ljudima, procesima, tehnologijom i različitim poslovnim modelima, potreban je učinkovit menadžment sistema osiguranja informacija. Ideja je razmišljati strateški, a ne samo taktički.

Pet koraka potrebnih za osiguravanje zakonske zaštite za vaše poslovne tajne

Organizacija može ovaj širi pristup pridružiti seriji međusobno povezanih ciljanih akcija kako bi umanjila rizik od krađe, gubitka ili pronevjere.

Napravite inventar: Poslovne je tajne  moguće naći na papiru, u elektronskim dokumentima, na kompjuterskim diskovima, u bazama podataka i u ljudskim umovima. Organizacije moraju podučiti svoje ljude o tome što čini poslovnu tajnu kako bi je oni znali prepoznati. Dodijelite zadatak djelatnicima da formiraju popis potencijalnih poslovnih tajni i pošalju ga na proces pregleda i odobravanja kako bi se izbjegli dvostruki unosi. Zabilježite osobe koje su zadužene za svaki pojedinačni predmet na listi. Bez obavljenoga inventara organizacijama će biti teško djelatnike obavijestiti o tome što smatraju poslovnom tajnom, nemoguće je uniformirano dodijeliti sigurnosne oznake i nejasno je koja su pravila korištenja i upravljanja takvim informacijama.

Kategorizirajte: Sljedeći je kritični korak kategorizacija poslovnih tajni. Ovo zahtijeva široki organizacijski kostur kako bi se pokrio cjelokupni spektar informacija koje se mogu zaštititi kao poslovna tajna. Neki stručnjaci preporučuju trodimenzionalni kategorizacijski model, koji se sastoji od subjekta, formata i proizvoda (SFP). Dokument Proces proizvodnje digitalnog mrežnog pisača sadrži subjekt proizvodnja format proces i proizvod digitalni mrežni pisa'; tako da organizacija s 10 odjela, od kojih svaki posjeduje 30 formata i 20 proizvoda, ima 6000 SFP kombinacija dostupnih za kategorizaciju. Danas postoje softveri i tehnologije koji automatiziraju ovaj proces.

Identificirajte: Ovo je korak koji gleda potencijalnu poslovnu tajnu iz 'zakonske' perspektive, tj. posjeduje li ova informacija  zakonske prohtjeve kojima bi bila klasificirana kao poslovna tajna. Dok ovi zahtjevi variraju od zemlje do zemlje, često je 'postojanje' najznačajniji test u ovoj odluci. Tehnologija je odigrala ulogu stvaranja tajnih poslovnih informacija i rastući pokret u organizacijama da se informacije zaštite kao poslovne tajne umjesto patentnim zakonima. Ovo je bitno jer poslovne tajne nisu statične prirode. One se mijenjaju. Financijsko izvješće može biti poslovna tajna danas, ali ne i sutra kada se ono objavi. Tajne su poslovne informacije dinamičke prirode i mijenjaju se tijekom svojega životnog ciklusa.

Klasificirajte: Klasifikacija je osnova zaštite. Ovaj korak uključuje određivanje razine osjetljivosti informacija. Većina organizacija koriste shemu označavanja koja se sastoji od tri do pet razina. Za potrebe označavanja poslovne tajne dvije mogu biti dostatne: 'vrlo tajno' i 'tajno' ili 'vrlo povjerljivo' ili 'povjerljivo. Klasifikacijska oznaka naznačuje korisniku što se s informacijama može i smije činiti tijekom njihova korištenja. Klasifikacija i procedure vezane uz rukovođenje informacijama treba povremeno revidirati kako biste bili sigurni da se koriste pravilni sigurnosni protokoli. Na primjer, neuspjela istraživanja mogu s vremenom dobiti na vrijednosti s obzirom na promjene na konkurentnom tržištu dok drugi uspješni proizvodi i odgovarajuće im poslovne tajne postanu zastarjele. Nekoj bi organizaciji  na sudu bilo teško potvrditi vlasništvo nad vrijednim informacijama ako one nisu pravilno identificirane i obilježene.

Ocijenite vrijednost: Ocjenjivanje točne vrijednosti tajnih poslovnih informacija  kritično je za ovaj sistem menadžmenta. Ako organizacija ne zna vrijednost poslovnih tajni koje pokušava zaštititi, tada ne zna ni koliko novaca, vremena i sredstava treba izdvojiti kako bi se one zaštititile. Pravilna ocjena dozvoljava alokaciju poslovnih tajni u aktivu poput fizičkih sredstava. One mogu biti osigurane, licencirane ili korištene kao garancija za posudbe. Na nesreću, one koje su primorane utužiti svoje gubitke na sudu, moraju dozvoliti pravnu reviziju koja stvara sliku o najvrjednijoj aktivi organizacije. Koliko je koštao razvoj? Koliki je trošak održavanja? Koliki bi gubitak u prihodima nastao u slučaju da informacije postanu kompromitirane? Koliko bi one pomogle konkurentu? Ovo su kritična pitanja na koje treba odgovoriti što prije. Alternativa može biti vrlo ozbiljna. Štetu zadanu reputaciji  teško je kvantificirati, ali trošak pravne revizije nije.

Bit će potrebno puno vremena da obavite sve gore navedene korake. Možda bi bilo jednostavnije implementirati sustav koji kontrolira i upravlja poslovnim tajnama tijekom njihova životnog ciklusa radi  pravne zaštite.

Razmatranja i osiguravanju životnog ciklusa

Upravljanje životnim ciklusom organizacijske aktive  izazovan je zadatak, ali na pomolu su tehnologije koje automatiziraju ili poluautomatiziraju ovih pet koraka. Aplikacija sigurnosnih kontrola ovisi o tome gdje je ta 'imovina' u svojem životnom ciklusu. U trenutku stvaranja  mora nam biti savršeno jasna  njezina vrijednost, pa se savjetuje da se ona odmah označi najvišom razinom osjetljivosti. Dodatni će se tajni poslovni projekti, proizvodi i strategije  pojavljivati tijekom razvojnoga procesa, ovisno o vrsti poslovne tajne. Ovaj organizacijski kostur nudi bolji način pregleda i ocjenjivanja poslovnih tajni u procesu donošenja odluka koje mogu rezultirati traženjem zaštite pod patentnim zakonima. Kako ideje i inovacije zaštićene poslovnom tajnom krenu prema proizvodnji, vjerojatno će se šire distribuirati, pa postoji veći rizik tajnosti podataka. Poslovne tajne mogu zahtijevati ocjenu u odnosu na licenciranje i pitanja profitabilnosti. U određeno doba poslovne tajne mogu zastarjeti.

U konačnici

Informacija, možda kao nikada do sada, nije istodobno bila vrjednija i izloženija rizicima. Osiguranje mora biti pametnije složeno i više strateški organizirano nego ikada prije. Ja često govorim o odozgo-nadolje i odozdo-nagore pristupima organizacijskoga osiguranja. Viši se menadžment mora osvijestiti i poduzeti korake kako bi smanjio rizike, inače  može sebe i svoju organizaciju zateći u borbi protiv brojnih i bitnih problema.

Informacijska je sigurnost priča o zaštiti podataka. Industrija napreduje i postaje vrlo jasno da se velika pažnja obraća specifičnim vrstama informacije i razine se sigurnosti na njih apliciraju. U SAD-u su privatne informacije regulirane administrativnim pravilnikom dok se sigurnosna standardizacija za kartično poslovanje regulira Zakonom o ekonomskoj špijunaži (The Economic Espionage Act) iz 1996. godine.

Ova vrsta sigurnosti zahtijeva pažnju kombiniranu s dobrom obaviještenosti i dobrim sigurnosnim standardima koji se integriraju u poslovni model. Oni koji se trude uništiti ili ukrasti vaše informacije, traže propuste u organizacijskoj sigurnosti i izrabit će ih kako bi postigli svoje namjere. Ne možemo spriječiti njihove pokušaje, ali ih možemo biti spremni riješiti. Možemo implementirati sistem menadžmenta poslovnih tajni za njihova životnog ciklusa kako bismo bolje sačuvali svoju najvažniju informacijsku imovinu. Nema isprike za neuspjeh. Identificirajte ono što vam je važno i zaštitite to.
Joy Lipari


Autorica Joy Lipari  generalna je menadžerica Enterprise Services Practice unutar Xerox Global Services korporacije Xerox. Zadužena je za upravljanje  investicijama u tehnologiji, razvojem proizvoda i specijaliziranim sredstvima kako bi klijentima dostavila što bolju vrijednost.