Jakość informacji i jej znaczenie

Transkrypt

1 Jakość informacji i jej znaczenie Pojęcie jakości informacji zostało wprowadzone stosunkowo niedawno (bezpośrednio po II Wojnie Światowej w 1945 r.). Na potrzeby praktyki kierowania jakość informacji wygodnie jest określać przy pomocy następujących atrybutów: relatywność informacja odpowiada potrzebom odbiorcy i ma dla niego znaczenie, dokładność - informacja jest precyzyjna oraz dokładnie określa temat, aktualność informacja odpowiada aktualnemu stanowi wiedzy, kompletność informacja zawiera wszystkie dane niezbędne dla jej odbiorcy umożliwające mu podjęcie lub kontynuowanie działań, spójność forma informacji odpowiada jej treści, elementy informacji współgrają ze sobą, odpowiedniość forma prezentacji informacji jest dostosowana do jej odbiorców i zapewnia jej poprawną interpretację, wiarygodność informacja zawiera elementy uwierzytelniające poprawność przekazu, przystawalność informacja jest zgodna z innymi. Zarządzanie i planowanie jest nierozerwalnie związane z informacją. Efektywna działalność nie jest możliwa bez dysponowania informacją dość często mamy do czynienia z tworzeniem się nieformalnych kanałów informacyjnych, które w niektórych organizacjach uzupełniają skutecznie pracę niezbyt sprawnie funkcjonujących formalnych systemów informacyjnych. Sprawne kierowanie dowolną organizacją jest możliwe jedynie pod warunkiem dysponowania informacją o możliwie wysokiej jakości. Wielu informacjom można przypisać również wymierną wartość materialną. Na przykład dokumentacja techniczna dowolnego urządzenia jest niezbędna do jego produkcji, zaś posiadanie instrukcji serwisowej jest warunkiem poprawnego wykonywania usług. W obu przykładach informacja jest zasobem niezbędnym do realizacji procesu biznesowego i jej brak może uniemożliwić realizację podstawowych celów organizacji. Informacji można więc przypisać atrybut wartości (cenności) dla organizacji i traktować ją jako aktywo niezbędne do realizacji procesów biznesowych. Wiele informacji (tajemnice państwowe i służbowe, bankowe, dane osobowe i medyczne, utwory autorskie itp.) jest chronionych z mocy prawa. Od dawna również znane jest szpiegostwo zarówno militarne, jak i przemysłowe. (C) Tomasz Barbaszewski str. 1 z 8

2 Informacja w dobie komputeryzacji Rozpowszechnienie się systemów komputerowych ma ogromne skutki dla zarządzania informacją. Przejście na cyfrowe kodowanie informacji spowodowało, że kopia z informacji cyfrowej (np. utworu muzycznego) jest nieodróżnialna od oryginału, a co najważniejsze może być wykonana bardzo szybko oraz za pomocą niedrogich, powszechnie dostępnych urządzeń. Zachwiało to poważnie całym biznesem muzycznym, który obecnie dość gorączkowo pracuje nad zmianą sposobu dystrybucji. Nowoczesne kopiarki (powszechnie dostępne np. na uczelniach) postawiły pod znakiem zapytania skuteczność zakazów kopiowania podręczników, nut itp. Jednak największy wpływ na zmianę stosunku do informacji miała lawinowo rosnąca pojemność nośników informacji oraz prędkości jej przetwarzania przez urządzenia powszechnego użytku komputery PC. I choć pojemność pamięci i wydajność najnowszych modeli komputerów osobistych to w dalszym ciągu nikły ułamek pojemności i mocy maszyn profesjonalnych zawierających ponad rdzeni procesorowych, 300 TB pamięci RAM i pamięć dyskową rzędu 5000 TB, to ich wydajność i pojemność jest dla przeciętnego użytkownika ogromna. Łatwość składowania dużej ilości informacji, wydajne systemy baz danych powodują również znaczny przyrost wymagań związanych ze sprawozdawczością. Współczesny popularny komputer PC dysponuje dyskiem twardym o pojemności rzędu 250 GB (lub większej). Taka pojemność może pomieścić ponad (pięćdziesiąt milionów!) stron maszynopisu. Zarządzanie taką ilością informacji stanowi prawdziwe wyzwanie. Popularne przenośne nośniki informacji (PenDrive) mają pozornie mniejszą pojemność, ale i tak są w stanie pomieścić około 1 mln stron maszynopisu. Właśnie taki nośnik wykorzystano do wyniesienia z Instytutu Pamięci Narodowej listy współpracowników SB. Szybkość przesyłania danych dla standardu USB 2.0 może wynosić do 60 Mbajtów na sekundę, a dla nowego USB 3.0 nawet 10 razy więcej do 600 Mbajtów na sekundę. Dla porównania krążek CD ma pojemność rzędu 700 MB. Nośnik typu PenDrive o pojemności 2 GB (lub większej) można kupić w dowolnym sklepie komputerowym i jest on niewiele większy od wtyczki USB i można go z łatwością przenieść przez punkty kontroli. Efektywne i pojemne przenośne nośniki dużej ilości danych (a więc informacji) to również nowoczesne telefony komórkowe, cyfrowe aparaty fotograficzne i inne, podobne urządzenia. Kolejnym wyzwaniem jest łatwość i szybkość dystrybucji informacji. Współczesne rozległe sieci komputerowe (również w Polsce) coraz częściej korzystają z technologii 10 Gigabit Ethernet, która zapewnia bardzo szybkie przesyłanie danych na znaczne odległości. Plany Unii Europejskiej zakładają, że za 10 lat 80% gospodarstw domowych będzie dysponować szybkim (~100 Mbps) dostępem do Internetu. Jest to prędkość, która dziś jest typowa dla firmowych sieci lokalnych. Rozwój sieci bezprzewodowych oraz ich powszechna dostępność (hotele, kawiarnie, popularne Hot Spots) również sprzyja powstawaniu nowych zagrożeń. (C) Tomasz Barbaszewski str. 2 z 8

3 Opisany powyżej pobieżnie rozwój technologii teleinformatycznych (zwanych w skrócie IT) znacznie wyprzedza zmiany w świadomości osób korzystających z informacji również dla celów profesjonalnych. Ogromna pojemność nośników danych powoduje zanik naturalnych zahamowań, które poprzednio stanowiły istotny czynnik sprzyjający naturalnej ochronie informacji. Prawdopodobieństwo, że nielojalny pracownik zdecyduje się na wyniesienie teczki z cenną dokumentacją w postaci pliku dokumentów jest niewielkie ze względu na znaczne związane z tym ryzyko. Wykonanie kopii takiej dokumentacji również nie jest proste i szybkie. Jeśli jednak taką dokumentację można skopiować na malutki nośnik PenDrive sytuacja się zmienia. W wielu firmach i instytucjach praktykuje się wykorzystywanie przenośnych nośników danych lub komputerów przenośnych typu notebook w celu zwiększenia wykorzystania pracowników (praca w domu) nie zwracając większej uwagi na nieuchronnie związane z tym zagrożenia. Mały nośnik łatwo może być zagubiony, zaś komputer przenośny jest zawsze atrakcyjnym łupem dla złodzieja. W moim przekonaniu jest to związane z brakiem ugruntowanej świadomości, jak wielką ilość informacji może pomieścić malutki PenDrive, popularna komórka lub przenośny komputer czy tablet i jak łatwo mogą być one utracone. Nie można również nie doceniać zagrożeń związanych z wykorzystywaniem komputerów (zwłaszcza przenośnych) do celów niezwiązanych z realizacją zadań służbowych. I nie chodzi tu bynajmniej jedynie o korzystanie z Internetu. W wielu przypadkach użytkownicy tych komputerów wymieniają się plikami (np. zdjęciami z imprez również firmowych!). Jeśli podczas audytu zadamy pytanie o takie praktyki, to otrzymamy zazwyczaj odpowiedź: przecież żaden haker nie zaatakuje mojego komputera, bo nie łączyłem się z Internetem. Jest to wynik jednostronnej propagandy, którą uprawiają popularne media, a tymczasem znany jest przypadek, gdy ściśle tajne dane dotyczące najnowszych systemów obronnych marynarki japońskiej zostały przypadkowo upublicznione przez jej marynarzy, którzy wymieniali się zdjęciami pornograficznymi! Podobne przykłady można mnożyć. Znany jest szereg podobnych zdarzeń w Polsce. Udokumentowane straty w wyniku pojedynczego incydentu wynoszą od kilku do kilkuset milionów złotych. Zarządzanie bezpieczeństwem informacji stało się potrzebą chwili. Znajduje do wyraz w już obowiązujących (Ustawa o Ochronie Danych Osobowych oraz towarzyszące jej Rozporządzenia wykonawcze) aktach prawnych, jak i ich projektach znajdujących się w końcowym etapie uzgodnień na przykład w dokumencie, którego fragmenty cytuję na następnej stronie: (C) Tomasz Barbaszewski str. 3 z 8

4 Projekt ROZPORZ DZENIE RADY MINISTRÓW z dnia 2011 r. w sprawie Krajowych Ram Interoperacyjno ci, minimalnych wymaga dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymaga dla systemów teleinformatycznych Na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji dzia alno ci podmiotów realizuj cych zadania publiczne (Dz. U. Nr 64, poz. 565, z pó n. zm. 1)) zarz dza si, co nast puje: Podmiot realizuj cy zadania publiczne opracowuje i ustanawia, wdra a i eksploatuje, monitoruje i przegl da oraz utrzymuje i doskonali system zarz dzania bezpiecze stwem informacji zapewniaj cy poufno, dost pno i integralno informacji z uwzgl dnieniem takich atrybutów jak autentyczno, rozliczalno,niezaprzeczalno i niezawodno System zarz dzania bezpiecze stwem informacji spe nia wymogi, o których mowa w ust. 1 i 2, je eli zosta opracowany na podstawie Polskiej Normy PN ISO/IEC 27001:2007 Technika informatyczna Techniki bezpiecze stwa Systemy zarz dzania bezpiecze stwem informacji Wymagania wraz z normami uzupe niaj cymi lub normy go zast puj cej, a ustanawianie zabezpiecze, zarz dzanie ryzykiem oraz audytowanie odbywa si na podstawie Polskich Norm zwi zanych z t norm, w tym: 1) PN ISO/IEC 17799:2007 Technika informatyczna Techniki bezpiecze stwa Praktyczne zasady zarz dzania bezpiecze stwem informacji, 2) PN ISO/IEC 27005:2010 Technika informatyczna Techniki bezpiecze stwa Zarz dzanie ryzykiem w bezpiecze stwie informacji 3) PN ISO/IEC 24762:2010 Technika informatyczna Techniki bezpiecze stwa Wytyczne dla us ug odtwarzania techniki teleinformatycznej po katastrofie. Podobne ustalenia znajdziemy także w innych aktach prawnych np. dotyczących zasad prowadzenia dokumentacji medycznej w postaci elektronicznej, gdzie również zaleca się stosowanie zaleceń publikowanych w Polskich Normach. Pojawienie się zagadnień związanych z zarządzaniem bezpieczeństwem informacji w oficjalnych aktach prawnych należy powitać z dużym zadowoleniem. Konsekwentne wprowadzanie standardów bezpieczeństwa informacji opartych o techniki zarządzania przez jakość na pewno wpłynie korzystnie na podniesienie zaufania do polskich systemów informacyjnych. (C) Tomasz Barbaszewski str. 4 z 8

5 Doktryna jakości i zarządzanie bezpieczeństwem informacji Termin Doktryna Jakości to hasło (i równocześnie tytuł książki) Prof. Andrzeja Jacka Blikle, z której również pochodzi poniższy rysunek ilustrujący trzy zasady Doktryny Jakości: Zasada stałego doskonalenia doskonalimy wszystko, wszyscy i stale Zasada racjonalności Zasada współpracy myślenie systemowe budowanie relacji Wręcz zadziwiające, jak znakomicie mogą (i powinny) być one zastosowane przy ustanawianiu Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). System ten nie może być złożony z niezależnych od siebie elementów bezpieczeństwo nie jest bowiem pojęciem podzielnym musi tworzyć spójny system, w którym wszystkie ogniwa łańcucha są ważne. Zasada stałego doskonalenia O bezpieczeństwie informacji nie decydują konsultanci, audytorzy czy jednostki certyfikujące. Każdy pracownik musi dbać osobiście i świadomie o bezpieczeństwo i jakość informacji jeśli warunek ten nie będzie spełniony SZBI stanie się zbiorem martwych procedur, które pracownicy będą starali się omijać, lub w najlepszym przypadku lekceważyć. Na przykład: W wielu instytucjach wywieszone są szczegółowe Instrukcje Przeciwpożarowe. Są one dostępne w różnych wersjach i zawierają na ogół kilkanaście punktów spisanych (z konieczności) drobnym drukiem. Obowiązek został więc spełniony audytor odnotuje to w swoim arkuszu. Ale czy rzeczywiście poziom bezpieczeństwa pożarowego wzrósł jeśli na tablicy ogłoszeń umieszczono taką Instrukcję? Prowadzę zajęcia (z Zarządzania Bezpieczeństwem Informacji) na nowym, pięknym Kampusie UJ w klimatyzowanej sali bez okien. Do sali prowadzi dwoje drzwi. Przed rozpoczęciem zajęć nikt nie udzielił mi żadnej instrukcji oczywiście, kiedyś bardzo dawno odbyłem na uczelnie obowiązkowe przeszkolenie BHP i PPoż. (C) Tomasz Barbaszewski str. 5 z 8

6 Ale gdy prowadziłem zajęcia na podobnym Kampusie w innym kraju otrzymywałem krótką i jasną instrukcję: Prowadzący powinien zanotować liczbę osób będących na sali, Wszystkie wejścia do sali powinny być łatwe do natychmiastowego otwarcia (nie mogą być zamknięte na klucz), Osoby z sali XXX zbierają się w razie konieczności jej awaryjnego opuszczenia w określonym miejscu na parkingu, Prowadzący zajęcia przelicza osoby i zgłasza dowódcy akcji ratunkowej liczbę osób, które nie stawiły się na zbiórce. Każdy z punktów tej instrukcji i jego znaczenie dla bezpieczeństwa P-Poż można bardzo łatwo uzasadnić. A w ilu salach w trakcie wykładów są otwarte jedynie jedne drzwi? Co się wówczas stanie, gdy wybuchnie panika? Skąd prowadzący akcję gaśniczą ma się dowiedzieć, czy w budynku nie pozostali jeszcze studenci? Nieprzestrzeganie zasady otwierania wszystkich drzwi wielokrotnie doprowadziło już do tragedii (np. podczas pożaru hali widowiskowej Stoczni Gdańskiej lub zawalenia się hali Targów Katowickich). Jeśli wszyscy pracownicy nie będą troszczyć się o bezpieczeństwo bezpieczeństwa po prostu nie będzie. Wykłady za granicą spowodowały, że zawsze starannie otwieram wszystkie drzwi do sal wykładowych i przeliczam przed rozpoczęciem zajęć studentów obecnych na sali... Zasada współpracy Już w latach sześćdziesiątych ubiegłego wieku Deming i Juran, zwani Kings of Quality przeprowadzili w USA badania, których wynik wykazał, że jeśli pracownik pracuje źle, to w 95% przypadków przyczyna leży po stronie organizacji, w której pracuje. Karanie (np. utratą premii) za nieprzestrzeganie procedur bezpieczeństwa zawartych z SZBI nie ma więc większego sensu, bo w niczym nie zmieni sytuacji. Pracownicy powinni kierować się motywacją wewnętrzną, która może wyniknąć jedynie z przekonania o słuszności tych procedur (podobnie, jak mnie przekonały zajęcia prowadzone za granicą). Bezpieczeństwo (w tym także bezpieczeństwo informacji) powinno posiadać wysoki (a na ogół najwyższy) priorytet. Pracownicy, przełożeni, kierownictwo oraz konsultanci i audytorzy powinni ściśle współpracować w celu osiągnięcia wysokiego poziomu bezpieczeństwa. Współpraca może mieć charakter pozytywny lub negatywny: Wzmocnienie negatywne: Zatłoczoną drogą jedzie samochód wiozący ważną w organizacji osobę, która spieszy się na spotkanie. Ważna osoba wydaje kierowcy polecenie wyprzedzania pomimo że zasady bezpieczeństwa tego zabraniają. Następnym razem z dużym prawdopodobieństwem kierowca sam podejmie decyzję o przekroczeniu przepisów i podjęciu ryzyka, ponieważ liczy na uznanie ze strony swego pasażera przełożonego. (C) Tomasz Barbaszewski str. 6 z 8

7 Wzmocnienie pozytywne: Zatłoczoną drogą jedzie samochód wiozący ważną w organizacji osobę, która spieszy się na spotkanie. Kierowca przekracza dozwoloną prędkość i wykonuje ryzykowne manewry. Ważny pasażer protestuje przeciwko takiemu stylowi jazdy stwierdzając proszę Pana, nasze życie jest najważniejsze. Następnym razem z dużym prawdopodobieństwem kierowca będzie przestrzegał przepisów ruchu drogowego i nie podejmie zbędnego ryzyka, ponieważ liczy na uznanie ze strony swego pasażera przełożonego. Zasada racjonalności Podstawowa zasada racjonalności zakłada, że nie należy próbować podejmować działań dopóki nie poznamy mechanizmów rządzących zjawiskami, na które mamy zamiar wpłynąć. Tymczasem w przypadku bezpieczeństwa systemów informacyjnych najczęściej znajdujemy się w sytuacji określanej przez Prof. A.J.Blike jako nie wiem, że nie wiem. Skutkuje to próbami wprowadzania przeróżnych rozwiązań, decyzjami o zakupach podejmowanymi jedynie w oparciu o agresywne działania marketingowe. W sytuacji nie wiem, że nie wiem najczęściej dążymy do znalezienia jak najprostszego rozwiązania problemu, którego istoty nie znamy. W rezultacie najczęściej spotka nas niepowodzenie. Poczta elektroniczna jest dostarczana metodą store and forward. Włączając komputer uruchamiamy odpowiedni program (Outlook Express, Thunderbird, Evolution itp.). Program łączy się z serwerem poczty i po chwili na naszym komputerze lądują wszystkie skierowane do nas wiadomości. Równocześnie wysyłane są wiadomości, które wcześniej przygotowaliśmy do wysłania. Mamy jednak problem wraz z pocztą elektroniczną na naszym komputerze osobistym lądują wszelkie załączniki mogące zawierać wirusy i inne złośliwe programy oraz najczęściej spora ilość spamu. Większość uważa to za dopust Boży i instaluje programy antywirusowe, antyspamowe itp. Mało osób zadaje sobie jednak pytanie czy tak musi być? Odpowiedzi udzieliła choćby firma Google oferując usługę gmail, w której skierowaną do nas pocztę elektroniczną przeglądamy przy użyciu przeglądarki WWW nie ściągając wszystkiego jak leci na nasz komputer! Przecież system store and forward powstał głównie w tym celu, aby efektywnie korzystać z linii telefonicznych! W zamierzchłych (dla niektórych) czasach wnosiło się opłaty za czas połączenia z Internetem, zaś sama transmisja była powolna (30-50 kbps!). Maszyny więc przesyłały pocztę między sobą jak najszybciej się dało, a po zakończeniu transmisji rozłączały połączenie. Post Office Protocol miał więc jak najbardziej sens. Ale dziś? W sieci lokalnej dysponujemy stałym łączem o prędkości 100Mbps. W domu lub w sieci rozległej >1Mbps to dość popularna prędkość transmisji danych. Poza tym nie płacimy za czas połączenia już raczej (jeszcze w niektórych sieciach i taryfach) za ilość przesłanych danych. Czy w tej sytuacji ściąganie całej poczty ma sens? Czy nie lepiej (i znacznie bezpieczniej!) uruchomić przeglądarkę, sprawdzić pocztę na zdalnym serwerze i ściągnąć jedynie te listy, które są nam niezbędne na naszej maszynie? Poczta Google zapewnia za darmo przestrzeń 7 GB. O filtrowanie spamu, blokadę wirusów martwią się (i to bardzo skutecznie) fachowcy-administratorzy. Dlaczego więc nie stosujemy podobnego rozwiązania w naszej korporacji? Obawiam się, że prawdziwy powód to nie wiemy, że nie wiemy... (C) Tomasz Barbaszewski str. 7 z 8

8 Zrozumienie zasad Doktryny Jakości oraz ich zastosowanie przy ustanawianiu SZBI prowadzi do rzeczywistego wzrostu poziomu bezpieczeństwa informacji. Następuje to dzięki: ścisłemu powiązaniu procedur Systemu Zarządzania Bezpieczeństwem Informacji z procesami biznesowymi realizowanymi przez pracowników (w podanym przykładzie z wykładem akademickim). Dzięki temu procedury stają się proste i przejrzyste a konieczność ich przestrzegania oczywista. Uruchomieniu mechanizmów współpracy zmierzających do zachowania bezpieczeństwa informacji. Jeśli nawet jedna z osób pracujących w systemie złamie reguły bezpieczeństwa (np. zapisując koleżance lub koledze swoje hasło) to ta koleżanka powinna zaprotestować podobnie, jak powinna zaprotestować, gdy kolega po powrocie z urlopu zaprosi ją na oglądanie zdjęć z wakacji na komputerze służbowym. Sprawdzeniu, czy wykorzystywanych mechanizmów nie da się udoskonalić lub zastąpić innymi, bezpieczniejszymi. Jedną z podstawowych zasad zarządzania przez jakość jest stałe doskonalenie. Podnoszony niekiedy argument, że zmiany są kosztowne bardzo często po przeprowadzeniu rzetelnej kalkulacji okazuje się po prostu nieprawdziwy - np. koszt rocznej eksploatacji zabezpieczeń klasycznego systemu poczty elektronicznej może się okazać znacznie wyższy niż koszt zmiany jej konfiguracji lub skorzystania z usług zewnętrznych. Zasadę racjonalności staram się od dawna stosować w praktyce przygotowując testy egzaminacyjne i oceniając je według recepty: Dobra odpowiedź 1 pkt., brak odpowiedzi 0 pkt., zła odpowiedź -1 punkt! Inżynier, który wie to dobry fachowiec. Inżynier, który wie, że nie wie - zawsze może się dowiedzieć. Inżynier, który nie wie, że nie wie może być niebezpieczny, ponieważ nie widzi swych słabości i dlatego nie ma szans na korygowanie popełnianych przez siebie błędów. Oczywiście, bardzo często przyzwyczajamy się się do warunków i sytuacji. Aby zapobiec chociaż w pewnym stopniu temu zjawisku w zarządzaniu przez jakość wprowadzono zasadę pytaj pięć razy dlaczego (5 Why Sakichi Toyoda). W tym procesie powinni uczestniczyć zainteresowani pracownicy, ponieważ tylko oni mogą udzielić rzetelnych i prawdziwych odpowiedzi na pytania zadawane przez konsultanta. Połączenie tej zasady ze powszechnie wykorzystywaną w biznesie analizą What-If (ale w odniesieniu do zagrożeń bezpieczeństwa informacji a nie np. zmian kursowych) to zadania, któremu powinien sprostać konsultant zarządzania bezpieczeństwem informacji. Samo wypełnienie kwestionariuszy i wygenerowanie procedur bez współpracy z kierownictwem i pracownikami organizacji wdrażającej SZBI nie wystarczy. (C) Tomasz Barbaszewski str. 8 z 8