Zarządzanie bezpieczeństwem informacji w organizacji

Komentarz ideologiczny:
Prowadzenie biznesu w dobie tak dynamicznego rozwoju technologii związanej z obiegiem informacji, określone jest w strategiczny sposób przez posiadanie i zarządzanie bezpieczeństwem tejże informacji. Dlatego też, zapewnienie bezpieczeństwa informacji stanowi obecnie jedno z najważniejszych wyzwań strategicznych każdej organizacji, a liczba zagrożeń pojawiających się wewnątrz i z zewnątrz organizacji wzrasta, szczególnie w przypadku wprowadzania na rynek nowych produktów i rozwiązań biznesowych. Jednocześnie informacja stanowi bardzo często najwyższą wartość w organizacji. Każda firma posiada informacje wrażliwe, które nie są jawne i pozostają interesujące na przykład dla konkurencji. Informacja wrażliwa to informacja stanowiąca własność organizacji, która nie jest dostępna publicznie i ma wpływ na pozycję rynkową i koniunkturę organizacji. Informację tę mogą stanowić, strategie rynkowe, wyniki badań naukowych, wyniki ekonomiczne osiągnięte przez firmę, wprowadzane na rynek produkty, plany i prognozy, pozycje negocjacyjne, plany marketingowe, prototypy itp. Każdego roku różne firmy z całego świata tracą miliardy dolarów w wyniku kradzieży lub wycieku tego typu informacji. Straty mogą powstać natychmiastowo np. poprzez utratę strategicznego kontraktu lub w dłuższym horyzoncie czasowym w postaci stopniowego przejmowania przez konkurencję klientów firmy. Niejednokrotnie firma dotknięta kradzieżą lub wyciekiem informacji nie orientuje się w tej sytuacji - spostrzega jedynie z pozoru niewyjaśnioną utratę pozycji na rynku.

Niezależnie od wymuszonej sytuacją rynkową (wywiad gospodarczy, nieuczciwa konkurencja) koniecznością stosowania w organizacji systemu bezpieczeństwa informacji w pewnych określonych przypadkach istnieją również, wymogi prawne dotyczące ochrony informacji. Wymogi te dotyczą miedzy innymi ochrony danych osobowych oraz informacji dotyczących interesów Państwa.
Wykład ten, zawiera treści dotyczące zagrożeń związanych z bezpieczeństwem informacji w organizacji, wywiadu gospodarczego, przegląd incydentów naruszenia bezpieczeństwa informacji. Zostają zaprezentowane rozwiązania systemowe i proceduralne konieczne do zaimplementowania w firmie, zapewniające kontrolę nad obiegiem informacji i zachowaniem tajemnicy biznesowej. Wykład porusza również, zagadnienia związane z obowiązującymi w naszym kraju uregulowaniami prawnymi dotyczącymi tego obszaru.

Uczestnicy wykładu:
Pracownicy firm różnego szczebla, wszyscy mający dostęp do informacji wrażliwych dla prowadzenia biznesu, a w szczególności osoby związane z procesami wprowadzania na rynek nowych produktów, rozwiązań biznesowych i strategii rynkowych. Wykład kierowany jest również do właścicieli firm, pracowników pionów bezpieczeństwa organizacji rozległych odpowiedzialnych za zarządzanie systemem bezpieczeństwa informacji.

Cele wykładu:
Podniesienie świadomości na temat zagrożeń bezpieczeństwa informacji w szeroko rozumianym biznesie, funkcjonowania procederu wywiadu gospodarczego. Przedstawienie kompleksowego spojrzenia na zagadnienia związane z zarządzaniem bezpieczeństwa informacji w organizacjach biznesowych. Przegląd zagrożeń i incydentów dotyczących bezpieczeństwa informacji. Prezentacja przykładowego systemu zarządzania bezpieczeństwem informacji w organizacji. Prezentacja aspektów i wymogów prawnych w tym obszarze.

Czas wykładu:
8 godzin dydaktycznych (jeden dzień)

PROGRAM RAMOWY

1. Runda otwarcia

• przedstawienie prowadzącego i wskazanie na cele wykładu

2. Identyfikacja zagrożeń

• dostęp do informacji (niezadowolony personel, osoby wtajemniczone),
• złodzieje komputerowi,
• szpiegostwo przemysłowe,
• szpiegostwo gospodarcze,
• hakerzy komputerowi,
• media,
• grupy nacisku,
• socjotechnika, podstęp
• wnioski i sugestie.

3. Prezentacja incydentów (konkretne przykłady wycieków informacji)

• incydent Eli Lilly,
• incydent TotalFina,
• incydent LexisNexis,
• wnioski i sugestie.

4. Aspekty i wymogi prawne dotyczące bezpieczeństwa informacji

• obszary i klasyfikacja informacji podlegających ochronie prawnej,
• prezentacja obowiązujących aktów prawnych w obszarze bezpieczeństwa informacji,
• wnioski i sugestie.

5. Modelowy system zarządzania bezpieczeństwem informacji

• ocena podatności na zagrożenia,
• klasyfikacja informacji,
• określenie dostępu do informacji dla poszczególnych osób (stanowisk w firmie),
• zarządzanie dokumentami,
• kontrola dostępu do pomieszczeń i bezpieczeństwo środowiskowe,
• zarządzanie informacjami w systemach IT - dostęp do zasobów,
• przesyłanie informacji (systemy IT, poczta papierowa),
• niszczenie, nośników, dokumentów zawierających informacje wrażliwe,
• dobre praktyki,
• wnioski i sugestie.