Informacijska sigurnost u funkciji upravljanja informacijskim kapitalom poduzeća (3/3)

Treći i ujedno posljedni članak ovog serijala je posvećen objašnjavanju činjenice da su posvećenost ciljevima izvrsnosti od strane vrha upravljačke strukture i materijalna sredstava za provedbu mjera zaštite informacijskog kapitala nužni za postavljanje uspješnog modela upravljanja informacijskom sigurnošću. U njemu će biti dan i prijedlog mjera korištenja informacijske sigurnosti  u očuvanju informacijskog kapitala poduzeća.  

Sva uspješna poduzeća u svom poslovanju koriste podatke i informacije koji predstavljaju okosnicu odvijanja poslovne aktivnosti, no samo najpropulzivnija među njima shvaćaju da informacije i podaci smješteni u njihovim informacijskim sistemima predstavljaju strukturirano znanje, čija suma čini zasebni oblik nematerijalnog kapitala poduzeća, odnosno, informacijski kapital. Informacijski kapital posjeduje sve suštinske karakteristike ostalih materijalnih i nematerijalnih oblika kapitala, no od njih se izdvaja po tome što se korištenjem ne troši nego povećava svoju korisnosti. Za razliku od ostalih oblika kapitala koji se štite mjerama fizičke zaštite, informacijski kapital poduzeće mora štititi mjerama koje su organizacijske i tehničke prirode a usmjerene su kako na identificiranje informacijskog kapitala, tako i održavanje njegove raspoloživosti, integriteta i povjerljivosti kroz aktivnosti procjene rizika i njegovog otklanjanja ili smanjivanja korištenjem adekvatnih mjera. One se naslanjaju na zakonske propise koji reguliraju područje zaštite informacija a provode se unutar okvira sustava upravljanja informacijama, odnosno informacijskom sigurnošću koji je primijenjen unutar poduzeća, pomoću sustava upravljanja informacijskom sigurnošću.  
Ciljevi zaštite informacijskog kapitala postižu se samo sinergijom svih identificiranih operativnih jedinica poduzeća u izradi i provođenju krovne politike informacijske sigurnosti, plana zaštite informacija kao i odjelnih planova zaštite informacija. Izrada tih planova je aktivnost koja se mora periodički prilagođavati novonastalim okolnostima unutar poduzeća i u njegovoj neposrednoj okolini, te se stoga proces uvođenja zaštite informacijskog kapitala nikada ne može smatrati posve dovršenim: radi se o klasičnom kružnom ciklusu. Iz praktičnih razloga, dokumentacijska podloga koja regulira područje informacijske sigurnosti osvježava se periodički, a minimalno jednom godišnje, no u slučaju organizacijskih i poslovnih promjena, to je nužno činiti i češće, prema trenutačnim poslovnim zahtjevima. Osnovni dokument kroz koji se usmjeravaju svi sustavni organizacijski napori poduzeća da osigura svoj informacijski kapital naziva se planom informacijske sigurnosti.On se stvara pod utjecajem pravnih pravila informacijske sigurnosti, uz pomoć pravila najbolje prakse, ali sukladno stvarnim poslovnim potrebama, odnosno internoj dokumentaciji poduzeća.  

Temeljni teorijski koncept od značaja za zaštitu informacijskog kapitala poduzeća je koncept rizika, jer negativno djelovanje rizika može umanjiti vrijednost informacijskog kapitala, a posredno i materijalnog kapitala poduzeća, dok nastup pozitivnog rizika može djelovati u smislu tzv. neočekivanih pozitivnih prilika, koje poboljšavaju poslovni rezultat. Smisao upravljanja rizicima po informacijski kapital je u anticipiranju svih mogućih pojavnih oblika rizika te kreiranju plana tretmana rizika i identificiranju razine rezidualnog rizika koja ovisi o trenutačnom apetitu poduzeća prema riziku po informacijski kapital. Rizici koji mogu nastupiti u odnosu prema informacijskom kapitalu svoje negativno ili pozitivno djelovanje čine uslijed inherentnih osobina informacijskog kapitala koje ga čine ranjivim te su stoga prema njima usmjerene i mjere uklanjanja i umanjenja rizika koje se primjenjuju, sukladno sustavima najbolje prakse informacijske sigurnosti. Pritom treba razlikovati one mjere koje propisuju općeniti sustavi upravljanja korporativnom informatičkom funkcijom poput ITIL ili COBIT od onih koji su usmjerene isključivo uspostavljanju sustavu upravljanja informacijskom sigurnošću (npr. ISO 27001).  

Velik izazov pred neposredno odgovorne za informacijsku sigurnost postavlja razgraničenje podataka od informacija i znanja, te informacijskog kapitala, jer informacijski kapital predstavljaju samo one strukturirane informacije koje se mogu koristiti u poslovnom odlučivanju kao temelj budućih odluka, čime informacijski kapital postaje akumulirano znanje poduzeća koje mu daje komparativnu prednost u odnosu na konkurenciju. Samo te informacije bit će obuhvaćene mjerama zaštite i to nakon što se provede proces klasfikacije informacija koji podrazumijeva dodjeljivanje poslovnog konteksta pohranjenim informacijama sukladno postavljenim troškovnim ciljevima, potrebnim potpornim servisima i raspoloživim alatima za upravljanje informacijskom infrastrukturom. Provedena klasifikacija informacijskog kapitala omogućuje uspostavljanje sustava upravljanja životnim ciklusom podataka čiji je cilj uspostavljanje koherentnog kataloga standardnih usluga koje koriste informacijski kapital poduzeća, a koji je usklađen s klasifikacijom informacijskog kapitala, servisnim razinama i praktičnim poslovnim zahtjevima. Strategija upravljanja životnim ciklusom podataka omogućuje dinamičku promjenu klasifikacije podataka ovisno o okidačima iz okoline poduzeća, ili o onim okidačima kojima je izvor unutar samih poslovnih procesa. U tu svrhu koristi se jedna ili više formalnih metoda upravljanja kontrolama pristupa.

Minimalni zahtjevi koje moraju ispuniti svi ciljni subjekti, odnosno poduzeća i institucije po pitanju sigurnosti informacijskog kapitala definiraju se zakonima, propisima i uredbama. U Republici Hrvatskoj donesen je primjeren broj pravnih pravila koja reguliraju dovoljno široko područje informacijske sigurnosti i njihova kvaliteta je zadovoljavajuća, no zbog sustavnog neprovođenja zakona, oni u praksi imaju mali utjecaj na osiguravanje informacijskog kapitala poduzeća, osim u financijskom sektoru čiji nadzor obavlja Narodna banka Hrvatske koja rigorozno prati primjenu kontrola informacijske sigurnosti u okviru praćenja operativnog rizika.  

Većina formalnih sustava upravljanja sigurnošću informacijskog kapitala u fokus svog interesa stavlja rizike i uključenost najviših razina poduzeća u odlučivanju (uprave), čime se dodatno pojačava zaključak da je sigurnost informacijskog kapitala poslovna funkcija koja je primarno organizacijska a svoje mjere provodi kroz informatičke i tehničke mjere. Uslijed kompleksnosti tih mjera uspješnost uvođenja funkcije informacijske sigurnosti u poduzeća uglavnom ovisi o financijskim sredstvima na raspolaganju za tu funkciju, ali i o umješnosti i sposobnosti osobe ili funkcije koja je zadužena za informacijsku sigurnost, koja mora posjedovati multidisciplinarna znanja i razvijene interpersonalne osobine iz tog razloga što su temeljne pretpostavke uspješne primjene mjera informacijske sigurnosti u biti vezane uz kvalitetnu primjenu adekvatnih organizacijskih modela i obrazaca a ne samo kvalitetnih i modernih tehničko-informatičkih rješenja.  

Zbog dužine, treći, zaključni dio dio članka nudimo za preuzimanje u obliku .PDF iz okvira Vezani dokumenti.