Raport: Bezpieczeństwo w polskim Internecie 2009

Jeśli ktoś jest zainteresowany, to raport Bezpieczeństwo w polskim Internecie 2009 może sobie przeczytać. Na szczęście składa się tylko z 24 stron, z czego “treściwych” jest jeszcze mniej, więc da się przez niego przebrnąć. Treść nawet znośna, co jest poniekąd zaskoczeniem w przypadku produktów, w których tworzeniu biorą udział Wielcy Panowie W Garniturach (w tym przypadku Deloitte).

Pozwolę sobie na krótki komentarz dotyczący fragmentu raportu. Wynika z niego między innymi, że:

nakłady na bezpieczeństwo informacji są (za) małe i praktycznie nie rosną,
bezpieczeństwo informacji postrzegane jest jako zadanie jednego działu (bezpieczników),
biznes postrzega ten dział jako umiarkowanie skuteczny,

Tak, działy bezpieczeństwa są bardzo często postrzegane jako jednostki generujące wyłącznie koszty. Wynika to, moim zdaniem, po części z tego, że w wielu przypadkach firmy/korporacje nie zostały jeszcze porządnie kopnięte w d... przez kosztowny incydent. W związku z tym określenie kosztów potencjalnego incydentu jest ciężkie, lub budzi wątpliwości. Po prostu ilość dostępnych informacji jest wciąż zbyt mała, by takie “twarde” analizy przygotować.

Oddzielnym problemem może być obsada działów bezpieczeństwa, konkretnie ich “szefowie”. Wydaje mi się, że w warunkach korporacyjnych lepiej na tym stanowisku spisywałby się ktoś o znikomej wiedzy technicznej, za to potrafiący rozmawiać językiem biznesu. Od kwestii czysto “twardych” (merytorycznych) są specjaliści. W starciu z biznesowymi wyjadaczami działy bezpieczeństwa wypadają słabo, nie potrafią uzasadnić swojej przydatności, więc w efekcie dostają mniej środków.

O drugiej kwestii pisałem już wielokrotnie. Biznes tematy bezpieczeństwa (informacji) traktuje po macoszemu i nie czuje się za nie odpowiedzialny. Oczekuje, że wszystkim zajmą się inni, czyli bezpieczniki. Oczywiście zajmą się w taki sposób, że nie będą “wtrącać się” w genialne wizje głodnych sukcesu i zysków managerów. I tu się zastanawiam, czy słaba ocena działów bezpieczeństwa wynika z ich rzeczywistej skuteczności, czy raczej z powodu konfliktów między wizją biznesu, a wymaganiami bezpieczeństwa.

Oryginał tego wpisu dostępny jest pod adresem Raport: Bezpieczeństwo w polskim Internecie 2009

Autor: Paweł Goleń