Kontrola nad zasobami informatycznymi

Fot. mat. prasowe

Krzysztof Bączkiewicz, członek zespołu WG21 przy ISO i współautor normy ISO/IEC 19770-1

Był pan członkiem grupy roboczej WG21 ds. rozwoju standardu ISO/IEC 19770 (3. Edycja). Jakie najważniejsze korzyści dla cyberbezpieczeństwa firm może przynieść wdrożenie tej normy?

Przede wszystkim należy pamiętać, że norma opisuje system zarządzania. W zasadzie niezależnie od tego, czego dotyczy taki system w zakresie zarządzania IT, jego wdrożenie powoduje uregulowanie działalności i zwiększenie kontroli nad tym, co dzieje się w organizacji. Już dzięki takiej kontroli jesteśmy w stanie zapanować w dużym stopniu nad zagrożeniami cyfrowymi.

Niemniej jednak akurat zarządzanie zasobami informatycznymi daje bardzo solidną podstawę konkretnie dla cyberbezpieczeństwa. Podstawą działań chroniących zasoby informatyczne przed różnymi atakami i wypadkami jest przede wszystkim solidna wiedza o samych zasobach. Wiedza ta nie może być pozyskana ani w krótkim czasie, ani w pojedynczym projekcie. Konieczne jest ciągłe śledzenie stanu infrastruktury informatycznej w całym cyklu życia każdego jej komponentu.

Wreszcie te same mechanizmy, które są wdrożone na potrzeby zarządzania zasobami informatycznymi, jak np. ścisła kontrola oprogramowania wdrażanego do infrastruktury, są w ogromnej większości możliwe do wykorzystania w zarządzaniu cyberbezpieczeństwem. Podobnie przy utylizacji komputerów konieczna jest ścisła kontrola usuwania danych w celu odzyskiwania licencji. Do takiego mechanizmu wystarczy tylko dodać wymagania bezpieczeństwa i mamy gotowe zabezpieczenie organizacyjne.

Na czym polegały najważniejsze zmiany w dokonane w ISO/IEC 19770-1 w porównaniu z poprzednia edycją tego standardu? Jakie były największe problemy do pokonania?

Norma ISO/IEC 19770-1, ze względu na szeroki zakres, jest trudna do wdrożenia. Nowa wersja upraszcza wymagania i ułatwia ich realizację. Głównym jednak celem stworzenia tej edycji było zintegrowanie systemu zarządzania zasobami informatycznymi z innymi systemami. Od czasu poprzedniej edycji miały miejsce dwa istotne zdarzenia. Pierwszym było wdrożenie przez ISO ogólnych zasad dotyczących wszystkich międzynarodowych norm systemów zarządzania. Drugim było opublikowanie normy ISO 55001 – zarządzanie aktywami. Nowa wersja normy ISO/IEC 19770-1 nie tylko została dostosowana do ogólnych ram systemów zarządzania ISO, ale również do normy 55001. Dzięki temu wdrożenie systemu zarządzania zasobami informatycznymi jest możliwe w połączeniu z innymi mechanizmami zarządzania, co wydatnie ułatwia skuteczność realizacji takiego projektu.

Jaką informację dla klienta lub partnera biznesowego firmy niesie fakt posiadania przez nią certyfikatu ISO/IEC 19770 w zakresie zarządzania oprogramowaniem (SAM)?

Najważniejszym przekazem jest fakt posiadania kontroli nad zasobami informatycznymi. To wyraźnie zwiększa wiarygodność organizacji, która posiada taki certyfikat. Jeżeli organizacja skutecznie zarządza swoimi zasobami, to będzie również w dojrzały organizacyjnie sposób traktować zasoby klienta i ustalenia kontraktowe. Z drugiej strony taka wiarygodność ma szczególną wartość dla producentów oprogramowania. Właściwy nadzór nad oprogramowaniem zmniejsza potencjalne koszty związane z błędnymi interpretacjami, konfliktami i innymi utrudnieniami we współpracy między dostawcą a organizacją korzystającą z licencji. Takich klientów chce mieć każdy producent oprogramowania i o takiego klienta będzie dbał i walczył, np. przez oferowanie wielu ustępstw, w tym finansowych.