PRACE NAUKOWE Uniwersytetu Ekonomicznego we Wrocławiu

Transkrypt

1 PRACE NAUKOWE Uniwersytetu Ekonomicznego we Wrocławiu RESEARCH PAPERS of Wrocław University of Economics Nr 382 Strategie i logistyka w warunkach kryzysu Redaktorzy naukowi Jarosław Witkowski Agnieszka Skowrońska Wydawnictwo Uniwersytetu Ekonomicznego we Wrocławiu Wrocław 2015

2 Redaktor Wydawnictwa: Joanna Świrska-Korłub Redakcja techniczna: Barbara Łopusiewicz Korekta: Barbara Cibis Łamanie: Adam Dębski Projekt okładki: Beata Dębska Informacje o naborze artykułów i zasadach recenzowania znajdują się na stronie internetowej Wydawnictwa Publikacja udostępniona na licencji Creative Commons Uznanie autorstwa-użycie niekomercyjne-bez utworów zależnych 3.0 Polska (CC BY-NC-ND 3.0 PL) Copyright by Uniwersytet Ekonomiczny we Wrocławiu Wrocław 2015 ISSN e-issn ISBN Wersja pierwotna: publikacja drukowana Zamówienia na opublikowane prace należy składać na adres: Wydawnictwo Uniwersytetu Ekonomicznego we Wrocławiu tel./fax ; econbook@ue.wroc.pl Druk i oprawa: EXPOL

3 Spis treści Wstęp Część 1. Realizacja strategii logistycznych przedsiębiorstw i łańcuchów dostaw pod presją turbulentnego otoczenia Mirosław Chaberek, Anna Trzuskawska-Grzesińska: Logistyczne aspekty obrotu handlowego w sytuacjach kryzysowych gospodarki globalnej Katarzyna Cheba: Perspektywy rozwoju współczesnej gospodarki światowej analiza porównawcza gospodarki Polski i Japonii Mariusz Jedliński: Logistyczna optyka w biznesie panaceum pewności wobec ekonomii niepewności? Andrzej Jezierski: Konkurowanie logistyką w warunkach kryzysu w świetle teorii organizacji branży Sylwia Konecka: Determinanty ryzyka zakłóceń w łańcuchu dostaw Włodzimierz Kramarz, Marzena Kramarz: Determinanty sieciowości łańcucha dostaw Krzysztof Rutkowski: Rekonfiguracja międzynarodowych łańcuchów dostaw jako narzędzie zapobiegania zagrożeniom kryzysowym szansa dla Polski Izabella Szudrowicz: Rola kart okresowej oceny dostawców w budowaniu relacji na rynku B2B analiza porównawcza zmian w czasie na przykładzie przedsiębiorstwa produkcyjnego Maciej Urbaniak: Rola wstępnej oceny dostawców w budowaniu relacji pomiędzy przedsiębiorstwami na rynku B2B Robert Walasek: Partnerstwo logistyczne w zarządzaniu relacjami z klientem Grażyna Wieteska: Skuteczne reagowanie na zakłócenia elastyczny łańcuch dostaw Jarosław Witkowski: Logistyka w warunkach kryzysu ekonomicznego i w innych sytuacjach kryzysowych Część 2. Stan i tendencje rozwoju usług transportu, spedycji i logistyki w warunkach spowolnienia gospodarczego Andrzej S. Grzelakowski: Strategie logistyczne morskich globalnych operatorów kontenerowych w warunkach światowego kryzysu na rynkach towarowych i frachtowych

4 6 Spis treści Paweł Hanczar: Modele decyzyjne w planowaniu cyrkulacji lokomotywy w kolejowym transporcie towarowym Magdalena Klopott: Tendencje na rynku morskich przewozów ładunków chłodzonych i ich wpływ na chłodnicze łańcuchy dostaw Izabela Kotowska: Przeobrażenia w funkcjonowaniu żeglugi kontenerowej w obliczu spowolnienia gospodarczego Marta Mańkowska: Stan i perspektywy rozwoju rynku międzynarodowych przewozów pasażerskich w relacjach z Polską w warunkach spowolnienia gospodarczego Agnieszka Perzyńska: Transport lądowy i wodny w dobie kryzysu Ilona Urbanyi-Popiołek: Zarządzanie gestią transportową dobre praktyki. 249 Część 3. Rola nowoczesnych metod zarządzania logistycznego w procesie redukcji kosztów i poprawy jakości obsługi klientów Lech A. Bukowski, Jerzy Feliks: Ocena wartości użytkowej informacji logistycznych w warunkach niepewności oraz turbulentnych zmian otoczenia Przemysław Dulewicz: CSR w przedsiębiorstwach logistycznych w warunkach spowolnienia gospodarczego Piotr Hanus, Krzysztof Zowada: Narzędzia IT w logistycznych procesach decyzyjnych małych i średnich przedsiębiorstw Katarzyna Huk: Programy zarządzania talentami a strategie przedsiębiorstwa w dobie kryzysu Agnieszka Jagoda: Elastyczność funkcjonalna jako czynnik przewagi konkurencyjnej małych i średnich przedsiębiorstw Michał Jakubiak: Wpływ metod składowania produktów na poprawę efektywności węzłów logistycznych Iga Kott: Wykorzystanie systemów informatycznych w procesach obsługi klienta w centrach logistycznych w Polsce Aleksandra Laskowska-Rutkowska: Blaski i cienie offshoringu Rafał Matwiejczuk: Logistyczne potencjały sukcesu w tworzeniu przewagi konkurencyjnej przedsiębiorstwa Sebastian Saniuk, Katarzyna Cheba, Katarzyna Szopik-Depczyńska: Aspekty planowania sieci produkcyjnych małych i średnich przedsiębiorstw funkcjonujących w klastrach Ewa Staniewska: Czynnik ludzki w zarządzaniu bezpieczeństwem informacyjnym badanych przedsiębiorstw Katarzyna Szopik-Depczyńska, Arkadiusz Świadek: Odbiorcy a aktywność innowacyjna w przemyśle spożywczym w Polsce

5 Spis treści 7 Natalia Szozda: Kontrola w procesie zarządzania popytem na produkty w łańcuchach dostaw Sabina Wyrwich: Koncepcja społecznej odpowiedzialności łańcucha dostaw w warunkach natężenia konkurencji na przykładzie przedsiębiorstwa produkcyjnego Summaries Part 1. Implementation of logistic strategies of enterprises and supply chains under the pressure of turbulent environment Mirosław Chaberek, Anna Trzuskawska-Grzesińska: Logistic aspects of trade flows in the crisis situations of the global economy Katarzyna Cheba: The perspectives of development of modern world industry the comparative analysis of Poland and Japan industries Mariusz Jedliński: Business from the point of view of logistics panacea of certainty vs. economics of uncertainty? Andrzej Jezierski: Competing by means of logistics in crisis conditions in the light of the theory of industry organization Sylwia Konecka: Determinants of the supply chain disruption risk Włodzimierz Kramarz, Marzena Kramarz: Determinants of supply chain networking Krzysztof Rutkowski: International supply chains restructuring as a key tool of risk avoiding a chance for Poland Izabella Szudrowicz: Role of suppliers scorecards in building relationships in the B2B market comparative analysis of changes in time on the example of a production company Maciej Urbaniak: The role of the initial evaluation of suppliers in building relationships between companies in the B2B market Robert Walasek: Logistic partnership in the management of relations with client Grażyna Wieteska: Effective response to disturbances flexible supply chain Jarosław Witkowski: Logistics in economic crisis and urgent crisis situations

6 8 Spis treści Part 2. The status and trends in the development of transport services, freight forwarding and logistics in the economic downturn Andrzej S. Grzelakowski: Logistics strategies of global maritime container operators under the turbulent conditions on commodity and freight markets Paweł Hanczar: Decision models in locomotive routing problem in rail fright Magdalena Klopott: Trends on refer shipping market and their influence on the cold supply chains Izabela Kotowska: Transformations in functioning of container shipping in the face of economic slowdown Marta Mańkowska: State and perspectives of development of the international passenger transport market in relations with Poland in the economic downturn conditions Agnieszka Perzyńska: Land and water transport in times of crisis Ilona Urbanyi-Popiołek: Management of carriage good practices Part 3. The role of modern logistics management methods in the process of reducing costs and improving the quality of customer service Lech A. Bukowski, Jerzy Feliks: Evaluation of use value of logistics information under uncertainty and turbulent environment changes Przemysław Dulewicz: CSR in logistics companies under economic slowdown Piotr Hanus, Krzysztof Zowada: IT tools in logistics decision-making processes of small and medium-sized enterprises Katarzyna Huk: Talent management programmes and strategies of enterprises in times of crisis Agnieszka Jagoda: Functional flexibility as a factor of competitive advantage of small and medium sized enterprises Michał Jakubiak: The influence of the storage policies on the improvement of the logistic hubs effectiveness Iga Kott: The use of IT systems in the processes of customer service in logistics centers in Poland Aleksandra Laskowska-Rutkowska: Good and bad sides of offshoring Rafał Matwiejczuk: Logistics potentials of success influencing business competitive advantage creation

7 Spis treści 9 Sebastian Saniuk, Katarzyna Cheba, Katarzyna Szopik-Depczyńska: Network production planning aspects of small and medium enterprises operating in clusters Ewa Staniewska: Human factor in information security management of the surveyed companies Katarzyna Szopik-Depczyńska, Arkadiusz Świadek: Customers impact on innovation activity in food industry in Poland Natalia Szozda: Control in the demand management process in supply chain Sabina Wyrwich: The concept of social responsibility in the supply chain under conditions of intensified competition on the example of production company

8 PRACE NAUKOWE UNIWERSYTETU EKONOMICZNEGO WE WROCŁAWIU RESEARCH PAPERS OF WROCŁAW UNIVERSITY OF ECONOMICS nr Strategie i logistyka w warunkach kryzysu ISSN e-issn Ewa Staniewska Politechnika Częstochowska staniew@wip.pcz.pl CZYNNIK LUDZKI W ZARZĄDZANIU BEZPIECZEŃSTWEM INFORMACYJNYM BADANYCH PRZEDSIĘBIORSTW Streszczenie: Artykuł przedstawia wyniki badań dotyczące roli bezpieczeństwa informacyjnego w przedsiębiorstwach oraz znaczenie czynnika ludzkiego w zapewnieniu bezpieczeństwa informacyjnego. Uwzględniono także sposoby zabezpieczania informacji przed ujawnieniem. Podstawą badań była ankieta skierowana do 75 podmiotów w ramach szkoleń w zakresie bezpieczeństwa informacyjnego. Z przeprowadzonego badania wynika, że organizacje mają świadomość dużej wartości informacji, a jej bezpieczeństwo uważa się za jeden z priorytetów. Badania obejmowały znaczenie informacji w przedsiębiorstwie, powody inwestowania w ochronę informacji, występowanie incydentów, stopień zabezpieczenia informacji oraz podejmowane działania w celu ochrony informacji w przedsiębiorstwie. Słowa kluczowe: bezpieczeństwo informacyjne, informacja w przedsiębiorstwie, czynnik ludzki. DOI: /pn Wstęp Funkcjonowanie społeczeństwa informacyjnego, powszechna cyfryzacja dokumentów oraz popularność Internetu spowodowały konieczność zmiany podejścia do bezpieczeństwa informacji [Klonowski 2004]. W związku z rozwojem technologii informacyjnych zdecydowana większość informacji przybiera postać elektroniczną i przechowywana jest na elektronicznych nośnikach danych serwerach, dyskach twardych, w chmurze obliczeniowej [Żywiołek 2012]. Nikt już nie ma wątpliwości, że właśnie informacja stała się jedną z najwyżej cenionych wartości w biznesie [Fischer 2000]. Szczególnie informacje trudne do zdobycia lub niedostępne dla innych, szeroko rozumiana własność intelektualna i know-how, strategie biznesowe, stanowiące najczęściej tajemnice przedsiębiorstwa to czynniki kształtujące przewagę konkurencyjną. Wszystko to sprawia, że w dzisiejszych czasach informacje mogą przedstawiać bardzo dużą wartość gospodarczą [Białas 2007].

9 390 Ewa Staniewska Uzyskanie przewagi nie polega na dotarciu do informacji dostępnych dla wszystkich, ale z umiejętnością wyboru z ogromu informacji tych rzeczywiście istotnych, a także posiadają informacje niedostępne dla innych [Ciecińska i in. 2006]. Informacje będą wartościowe tak długo (pozwolą na osiągnięcie przewagi konkurencyjnej), jak długo uda się je utrzymać w tajemnicy. Stąd też wniosek, że skoro informacje mogą przedstawiać realną wartość gospodarczą i często decydują o przewadze konkurencyjnej, ich wyciek z całą pewnością może skutkować zaistnieniem szkody finansowej. Bezpieczeństwo informacji traktowane jest jako kluczowy zasób niematerialny, mający wpływ również na bezpieczeństwo całego łańcucha dostaw [Brdulak (red.) 2012]. Artykuł przedstawia wyniki badań dotyczące bezpieczeństwa informacyjnego w przedsiębiorstwach oraz znaczenie czynnika ludzkiego w jego zapewnieniu. Uwzględniono także sposoby zabezpieczania informacji przed ujawnieniem. Podstawą badań była ankieta skierowana do 75 przedstawicieli różnych podmiotów w ramach szkoleń w zakresie bezpieczeństwa informacyjnego. Ponad dwie trzecie (68%) badanych osób reprezentowało duże podmioty, zatrudniające powyżej 250 pracowników. Zdecydowana większość ankietowanych to informatycy, pełniący najczęściej funkcje kierowników działów IT organizacji (55 osób), pozostałą część stanowiły osoby z kierownictwa (12 osób) oraz działów prawnych (8 osób). Celem badania była identyfikacja świadomości w zakresie wartości informacji i roli bezpieczeństwa w systemie informacyjnym. 2. Informacja w przedsiębiorstwie Pierwsze z badanych zagadnień dotyczyło świadomości organizacji funkcjonujących na rynku w zakresie wartości, jaką reprezentują informacje. Strukturę otrzymanych wskazań na pytanie W jakim stopniu przywiązuje się wagę do znaczenia informacji oraz jej bezpieczeństwa? przedstawia rys. 1. Na wysoki poziom świadomości wartości informacji wskazuje 57% uznających bezpieczeństwo informacji za jeden z priorytetów organizacji, w której funkcjonują. Nikt z ankietowanych nie stwierdził, że informacja w ogóle nie ma znaczenia, a jej ochrona w ogóle nie jest brana pod uwagę, natomiast mniej niż 3% uznało, że kwestia bezpieczeństwa informacji jest mało istotna. Pomimo problemów z dokładnym oszacowaniem wartości poszczególnych informacji respondenci zdają sobie sprawę z dużej ich wagi, w szczególności tych stanowiących tajemnice przedsiębiorstwa, stąd tak duży nacisk na ich ochronę. Z przeprowadzonego badania wynika, że organizacje mają świadomość z dużej wartości informacji, a jej bezpieczeństwo uważa się za jeden z priorytetów (rys. 2).

10 Czynnik ludzki w zarządzaniu bezpieczeństwem informacyjnym badanych przedsiębiorstw 391 0% 3% 20% 57% 20% brak w małym stopniu w średnim stopniu w dużym stopniu jeden z priorytetów Rys. 1. Znaczenie informacji w przedsiębiorstwie Źródło: opracowanie własne na podstawie badań. 1% 4% 17% 52% 26% brak mało ważne średnio ważne ważne jeden z priorytetów Rys. 2. Bezpieczeństwo informacji Źródło: opracowanie własne na podstawie badań.

11 392 Ewa Staniewska Wraz ze wzrostem świadomości co do wartości, jaką reprezentuje informacja, wzrasta również świadomość konieczności jej zabezpieczania i ochrony. Wyniki badania dotyczące powodów inwestowania z ochronę informacji w badanych organizacjach przedstawia rys. 3. poniesienie przez przedsiębiorstwo odpowiedzialności karnej 90% naruszenie interesów klienta/kontrahenta 92% powstanie szkody finansowej 94% wystąpienie zagrożeń dla przedsiębiorstwa 94% poniesienie przez przedsiębiorstwo odpowiedzialności cywilnej 96% nadszarpnięcie reputacji, marki 97% Rys. 3. Powody inwestowania w ochronę informacji Źródło: opracowanie własne na podstawie badań. 86% 88% 90% 92% 94% 96% 98% Otrzymane wyniki badań wskazują na celowość inwestowania w ochronę informacji. Biorąc pod uwagę motywacje, jakimi kierują się organizacje inwestujące w zabezpieczanie posiadanych informacji, można stwierdzić, że najwięcej badanych wskazało chęć uniknięcia nadszarpnięcia czy nawet utraty dobrej reputacji, co z całą pewnością nastąpiłoby w przypadku wycieku informacji. Istotnym czynnikiem była również możliwość wystąpienia zagrożeń dla przedsiębiorstwa. 3. Incydent jako realne zagrożenie Znaczna większość respondentów uważa, że wyciek informacji to istotne zagrożenie dla prowadzonej działalności. Nikt z badanych nie wskazał, że potencjalny wyciek informacji nie miałby w ogóle negatywnego wpływu na prowadzoną działalność. Aż 67% ankietowanych stwierdziło, że ujawnienie posiadanych informacji w zdecydowanej większości przypadków może skutkować zaistnieniem realnej szkody finansowej.

12 Czynnik ludzki w zarządzaniu bezpieczeństwem informacyjnym badanych przedsiębiorstw 393 P rzedstawiciele badanych organizacji stwierdzili, że posiadane przez te organizacje informacje to w zdecydowanej większości dane, których wyciek może skutkować szkodą finansową. Ankietowani wskazywali również czy w ich przedsiębiorstwach miały miejsce incydenty związane z wyciekami informacji. Otrzymane wyniki przedstawia rys % 46% 11% nigdy raz kilka razy Rys. 4. Występowanie incydentów wycieku informacji Źródło: opracowanie własne na podstawie badań. Spośród ankietowanych, którzy twierdząco odpowiedzieli na pytanie, czy w ich organizacji doszło do incydentu utraty (wycieku) informacji, część przyznała, że utrata danych skutkowała poniesieniem przez ich organizacje szkody finansowej. Przeszło połowa badanych podmiotów (54%) przyznaje, że ich organizacja padła ofiarą wycieku lub kradzieży informacji. Oznacza to, że wiele podmiotów doświadczyło utraty informacji czy to na skutek własnych zaniedbań, czy na skutek działań osób trzecich. Jednocześnie 11% ankietowanych przyznało, że incydent związany z bezpieczeństwem informacji, który doprowadził lub mógł doprowadzić do jej wycieku, zdarzył się w ostatnim roku jeden raz, natomiast 43% zmagało się z tego typu problemami kilka razy w ciągu roku. Aż 46% ankietowanych deklarowało, że ich organizacji nie dotknął problem związany z bezpieczeństwem informacji. Mając na uwadze skalę zagrożeń i liczbę notowanych przypadków naruszeń bezpieczeństwa informacji (wycieki, kradzieże informacji itp.), wynik ten może dziwić. Jednak może on oznaczać również, że respondenci nie byli skłonni do ujawniania takich informacji albo, co równie prawdopodobne, że badane organizacje, co prawda, doświadczyły kradzieży informacji, ale nie są tego świadome.

13 394 Ewa Staniewska 4. Zaufanie do pracowników W działalności przedsiębiorstw zdecydowana większość przypadków naruszenia bezpieczeństwa informacji ma związek z brakiem regulacji dotyczących bezpieczeństwa informacji i narzędzi do ich ochrony, a także właśnie z pracownikami danej organizacji. Szczególne zagrożenie wiązane jest z pracownikami zatrudnionymi na stanowiskach menedżerów średniego szczebla [Bugajski]. Mają oni bowiem szerszy dostęp do ważnych dla organizacji informacji niż pracownicy na niższych stanowiskach. Dla każdego specjalisty zajmującego się bezpieczeństwem informacji to człowiek jest największym zagrożeniem, ponieważ nawet najbardziej przemyślane i zaawansowane technicznie systemy bezpieczeństwa informacji w dużej mierze zależą od ludzi [Wójcik]. Człowiek działający nieświadomie lub przez łamanie zasad związanych z bezpieczeństwem informacji może spowodować całkowitą kompromitację systemu bezpieczeństwa (przykład karteczki z zapisanym hasłem wydaje się adekwatny) [Polaczek 2006]. Nadal dużym problemem jest częste wykorzystywanie jednej z dróg zdobycia poufnych informacji, czyli od nieświadomego zagrożenia pracownika danej organizacji. Jednym z najczęściej wykorzystywanych medium ataku tego rodzaju jest poczta [Stewart 2009]. Coraz częściej wykorzystuje się prywatne konta pocztowe pracowników, które nierzadko są słabiej monitorowane, przede wszystkim pod względem bezpieczeństwa załączników [Madejski 2006]. Możliwość dostępu do poczty prywatnej z służbowego komputera powoduje, że wszystkie potencjalnie niebezpieczne załączniki mogą znaleźć się na serwerach firmowych z ominięciem całej infrastruktury bezpieczeństwa. W dalszym ciągu spotkać się można również z próbami zainfekowania wewnętrznej sieci danej organizacji poprzez wykorzystanie nośników fizycznych. Pozostawiony w odpowiednim miejscu pendrive czy też inny nośnik danych, często z samej ciekawości zostanie sprawdzony przez pracownika atakowanej organizacji na służbowym komputerze, co może wiązać się z infekcją komputera, najczęściej koniem trojańskim. Jednak człowiek działający z premedytacją, w sposób przemyślany, może z całą pewnością doprowadzić do incydentu wycieku bądź kradzieży chronionych informacji [Kolbusz 2003]. Jeżeli dodatkowo pracownik ten zna zasady funkcjonowania wdrożonego w danej organizacji systemu bezpieczeństwa informacji, zagrożenie wycieku danych znacząco wzrasta. Właśnie z tego względu pracownicy stanowią szczególnie niebezpieczną grupę osób zagrażających bezpieczeństwu informacji. Z doświadczeń kancelarii SZIP oraz firmy Mediarecovery wynika, że nielojalnych pracowników można podzielić na następujące grupy: Osoby nieświadome wagi informacji, z jakimi pracują. Wyciek danych z ich udziałem podyktowany jest najczęściej brakiem wyobraźni i łamaniem zasad związanych z bezpieczeństwem informacji.

14 Czynnik ludzki w zarządzaniu bezpieczeństwem informacyjnym badanych przedsiębiorstw 395 Osoby, nie zdające sobie sprawy, jak wielką wartość mogą przedstawiać informacje, które zostały im powierzone, w mniejszym stopniu będą zmotywowane do przestrzegania wdrożonych zasad. Osoby mające poczucie skrzywdzenia przez przełożonych. Niszcząc dane lub udostępniając je konkurencji tego rodzaju, pracownicy chcą zemścić się na firmie za doznane krzywdy. Osoby wykorzystujące swoją pozycję. Są to osoby, które z uwagi na długoletnią pracę w danej firmie lub zaufanie, jakimi obdarza ich przełożony, nie są traktowane jako potencjalne źródło wycieku informacji. Na podstawie przeprowadzonych badań można stwierdzić, że zagrożenia związane z bezpieczeństwem informacji kojarzą się najczęściej z atakiem hackerskim i działaniem osób z zewnątrz wobec danej organizacji. Aż 52% badanych firm uważa, że niemożliwe lub mało prawdopodobne jest, aby do wycieku informacji doszło na skutek działania własnych pracowników. Wśród osób ankietowanych 20% respondentów udzieliło odpowiedzi, że prawdopodobne jest, aby do wycieku informacji doszło na skutek działalności ich pracowników świadomej lub nie. Na wysokie prawdopodobieństwo zaistnienia incydentu związanego z bezpieczeństwem informacji 12% wskazało powiązanie z pracownikami, natomiast 9%, czyli przedstawiciele 7 organizacji, uznało, że taki incydent pracowniczy nastąpi i jest to pewne. Ankietowani również dość wysoko ocenili swój poziom wiedzy w zakresie ochrony i zapewnienia bezpieczeństwa funkcjonującym w organizacji informacji (rys. 5). 12% 32% 19% 0% 37% bardzo nisko nisko średnio wysoko bardzo wysoko Rys. 5. Wiedza pracowników o ochronie informacji Źródło: opracowanie własne na podstawie badań.

15 396 Ewa Staniewska Ponad 2/3 przedstawicieli firm ocenia swój poziom wiedzy w tym zakresie jako wysoki lub bardzo wysoki. Wyniki można częściowo tłumaczyć faktem, iż w badaniach udział wzięli przede wszystkim specjaliści do spraw IT i bezpieczeństwa informacji. 5. Poziom bezpieczeństwa Poczucie bezpieczeństwa w zakresie ochrony informacji może być jednak złudne. Na uwadze należy mieć z jednej strony rosnącą wartość, jaką przedstawiają informacje, szczególnie te wpływające na przewagę konkurencyjną, albo te, które organizacje są w szczególności zobowiązane chronić, a z drugiej rosnącą liczbę przypadków nieuczciwych (bezprawnych) prób ich pozyskania. Prognozy w zakresie bezpieczeństwa informacji również nie napawają optymizmem. Specjaliści w tej dziedzinie przewidują, że z każdym rokiem przybywać będzie sposobów na uzyskanie chronionych danych wykorzystywanych przez nieuczciwych konkurentów, nielojalnych pracowników i cyberprzestępców. W ramach przeprowadzonych badań respondenci ocenili stopień zabezpieczania informacji w organizacjach, a wyniki przedstawia rys. 6. 0% 13% 3% 31% 53% bardzo nisko nisko średnio wysoko bardzo wysoko Rys. 6. Stopień zabezpieczenia informacji Źródło: opracowanie własne na podstawie badań.

16 Czynnik ludzki w zarządzaniu bezpieczeństwem informacyjnym badanych przedsiębiorstw 397 blokada możliwości podłączenia nośników informacji 31% monitoring poczty mail 40% ubezpieczenie na wypadek szkody 51% procedury na wypadek wycieku informacji 52% kamery 53% nagrywanie rozmów telefonicznych 56% zazkaz drukowania pewnego rodzaju dokumentów 61% gradacja dokumentów cyklicznie szkolenia dla pracowników o uprawnieniach i zagrożeniach cyklicznie szkolenia dla pracowników o bezpieczeństwie wprowadzenie systemu zarządzania informacją 68% 69% 71% 71% blokowanie możliwości instalacji przez pracowników 80% zapisy w regulaminie pracy 84% reguły o przechowywaniu dokumentów 84% monitorowanie ruchu sieciowego 87% oprogramowanie antysamowe 87% szyfrowanie dostępu do systemu 87% ochrona przed wirusami komputerowymi 93% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Rys. 7. Działania podejmowane w celu zabezpieczania informacji Źródło: opracowanie własne na podstawie badań.

17 398 Ewa Staniewska Większość z biorących udział w badaniu firm i organizacji, pomimo świadomości istnienia zagrożeń, jest przekonana o wystarczającym (53%), wysokim (31%) lub bardzo wysokim (13%) poziomie wdrożonych zabezpieczeń. Jedynie 3% badanych, a więc 2 osoby, przyznały, że poziom zabezpieczeń w ochronie informacji nie jest w ich organizacji wystarczający. W pytaniu dotyczącym wdrożonych sposobów zabezpieczeń w zakresie ochrony informacji w reprezentowanych organizacjach najpopularniejszą odpowiedzią był wszystkim dobrze znany program antywirusowy (rys. 7). Zdecydowana większość badanych firm i instytucji korzysta z ochrony przed wirami komputerowymi (93%). Równie popularne okazały się: monitoring ruchu sieciowego, oprogramowanie antyspamowe oraz szyfrowanie dostępu do sieci (po 87%). Najczęściej spotykanymi sposobami zabezpieczeń przed utratą cennych informacji okazują się zatem zabezpieczenia techniczne, informatyczne, nastawione zdecydowanie na informacje istniejące w środowisku cyfrowym. Spośród ankietowanych 84% osób wskazało, że w ich organizacji stosuje się odpowiednie klauzule prawne związane z ochroną informacji. Zapisy w umowach o pracę (zakaz konkurencji, obowiązek zachowania poufności) czy w umowach z kontrahentami (NDA) to najczęściej spotykane klauzule. Zabezpieczenie w postaci zastosowania odpowiednich konstrukcji prawnych oddziałuje z jednej strony prewencyjnie, wskazując pracownikom czy kontrahentom na ich zobowiązania i potencjalnie negatywne konsekwencje ich niedopełnienia, z drugiej strony reaktywnie, zdecydowanie ułatwiając dochodzenie roszczeń przed sądem. Taki sam odsetek (84% biorących udział w badaniu wskazał, że w ich organizacji funkcjonują specjalnie opracowane reguły dotyczące przechowywania i archiwizacji dokumentów (zarówno tradycyjnych, jak i cyfrowych), a także związane z dostępem do poszczególnego rodzaju informacji. Najrzadziej stosowanymi sposobami dbania o bezpieczeństwo informacji okazały się: monitoring poczty , co można tłumaczyć z jednej strony kontrowersjami natury prawnej co do możliwości stosowania tego rodzaju rozwiązania oraz z drugiej wysokim poziomem zaufania do własnych pracowników; blokada możliwości podłączania zewnętrznych nośników, co jest, niestety, niepokojące, zważywszy na fakt, iż podrzucenie komuś zainfekowanego urządzenia jest nadal jednym z najbardziej popularnych sposobów wykradania danych. 6. Podsumowanie Wyniki przedstawionych badań ankietowych wskazują, że w badanych firmach przywiązuje się istotną wagę do kwestii związanych z bezpieczeństwem IT. Wiele badanych osób wskazało to jako jeden z priorytetów działalności. Niewielu menedżerów zdaje sobie jednak, że funkcjonowanie w czasach, kiedy informacja jest jednym z najważniejszych aktywów narażonych na zagrożenia, w których wirus

18 Czynnik ludzki w zarządzaniu bezpieczeństwem informacyjnym badanych przedsiębiorstw 399 jest tylko jednym z elementów działania sprawcy. Współczesny hacker równie sprawnie pisze złośliwe oprogramowanie, jak używa socjotechniki, aby mailem przekonać do odwiedzenia jego strony lub otwarcia załącznika. Przełamanie zabezpieczeń i kradzież dowolnej informacji lub unieruchomienie działalności to już formalność. Wyniki badania ankietowego wskazują, że 79% wszystkich osób biorących udział w ankiecie pokłada ogromne zaufanie w pracownikach i nie dopuszcza możliwości, że to oni mogą być źródłem wycieku danych. Wystąpienie zagrożenia wewnętrznego jest w równym stopniu prawdopodobne, jak wystąpienie zagrożenia z zewnątrz. Dodatkowo cybeprzestępcy właśnie przez pracowników próbują uzyskać dostęp do informacji poufnych. Stosują do tych celów zarówno klasyczną socjotechnikę, jak i próby infekcji pojedynczych stacji roboczych, które mają być ich sposobem dostępu do reszty infrastruktury. Działania pracowników, zarówno te nieświadome, jak i wykonywane z rozmysłem, są dużym zagrożeniem dla bezpieczeństwa informacji w organizacjach. W kwestii bezpieczeństwa danych 90% wszystkich ankietowanych postrzega wyciek danych jako realne zagrożenie prowadzenia działalności biznesowej. Właśnie dlatego dane są głównym celem cyberprzestępców. Literatura Białas A., 2007, Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa. Borowiecki R., Kwieciński M., 2012, Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze, Kraków. Brdulak H. (red.), 2012, Logistyka przyszłości, PWE, Warszawa. Bugajski J., ( ). Ciecińska B., Łunarski J., Perłowski R., Stadnicka, 2006, Systemy zarządzania bezpieczeństwem w przedsiębiorstwie, Oficyna Wydawnicza Politechniki Rzeszowskiej, Rzeszów. Fischer B., 2000, Przestępstwa komputerowe i ochrona informacji, Kantor Wydawniczy Zakamycze, Kraków. Klonowski Z., 2004, Systemy informacyjne zarządzania przedsiębiorstwem. Modele rozwoju i własności funkcjonalne, Oficyna Wydawnicza Politechniki Wrocławskiej, Wrocław. Kolbusz E., 2003, Analiza potrzeb informacyjnych przedsiębiorstwa, Wyd. Uniwersytetu Szczecińskiego, Szczecin. Majdecki M., 2005, Zarządzanie bezpieczeństwem informacji, Forum Jakości, nr 1. Polaczek A., 2006, Audyt bezpieczeństwa informacji, Helion, Gliwice. Stewart G., 2009, A safety approach to information security communications, Information Security Technical Report, 14. Wójcik A., ( ). Żywiołek J., 2012, Wpływ obniżania jakości informacji na przepływ informacji w przedsiębiorstwie, Logistyka, nr 6. Żywiołek J., Staniewska E., 2012, Zagrożenia zarządzania bezpieczeństwem informacji w przedsiębiorstwie, Logistyka, nr 6.

19 400 Ewa Staniewska HUMAN FACTOR IN INFORMATION SECURITY MANAGEMENT OF THE SURVEYED COMPANIES Summary: The article presents the results of research on the role of information security in enterprises and the importance of human factor in ensuring information security. It also includes ways to protect information from disclosure. The basis of the study was a survey directed to 75 players as part of training in information security. The study shows that organizations are aware of the high value of information and its security is considered to be one of riorities. The study included the importance of information in an enterprise, the reasons for investing in the protection of information, the occurrence of incidents, the level of information security and the measures taken to protect the information in the enterprise. Keywords: information security, information on the enterprise, human factor.