Kup subskrypcję
Kup subskrypcję
Dołącz do grona liderów, którzy chcą więcej
Sprawdzam
BIZNES I TECHNOLOGIE
Polska flaga

Janusz Nawrat: analiza ryzyka to absolutna podstawa

1 maja 2016 5 min czytania
Janusz Nawrat
Odsłuchaj
Janusz Nawrat: analiza ryzyka to absolutna podstawa

Streszczenie: W firmie Compass podjęto decyzję o wprowadzeniu nowej polityki korzystania z urządzeń, koncentrując się głównie na aspektach finansowych. Zabrakło jednak rzetelnej analizy ryzyka i rozpoznania potencjalnych zagrożeń, które powinny być kluczowe przy takich zmianach. Brak dedykowanego działu bezpieczeństwa spowodował, że odpowiedzialność za te kwestie spadła na dział IT, którego głównym celem jest poszukiwanie oszczędności, co prowadzi do konfliktu interesów. W rezultacie zarząd nie dysponował pełną informacją o możliwych konsekwencjach nowej polityki, a dział IT przeniósł odpowiedzialność za bezpieczeństwo na użytkowników, nie egzekwując jej skutecznie.

Pokaż więcej

Janusz Nawrat: analiza ryzyka to absolutna podstawa

Janusz Nawrat

Janusz Nawrat: analiza ryzyka to absolutna podstawa
Janusz Nawrat

Wyzwanie, przed którym stanęła firma Compass, staje się coraz powszechniejsze w wielu organizacjach. Szczególnie warto zwrócić uwagę na mechanizm podejmowania decyzji skupiający się niemal wyłącznie na kwestiach finansowych. Całkowicie pominięto natomiast rzetelne rozpoznanie zagrożeń i analizę ryzyka, które powinny być absolutną podstawą podczas wprowadzania nowej polityki korzystania z urządzeń w przedsiębiorstwie. Wygląda na to, że w opisywanej firmie zabrakło jednostki organizacyjnej zajmującej się bezpieczeństwem, a jej zadania realizuje dział IT. To błędne podejście, bo rolą działu IT jest m.in. poszukiwanie oszczędności, a kwestie bezpieczeństwa często oznaczają poważne wydatki. Mamy zatem do czynienia z dysonansem celów. Dlatego już na etapie podejmowania decyzji o wdrożeniu nowego modelu zarząd firmy nie miał pełnej informacji na temat możliwych następstw przyjętego rozwiązania. Ponadto dział IT zachował się również w dość typowy sposób i przeniósł odpowiedzialność za utrzymanie bezpieczeństwa na samych użytkowników. W żaden sposób nie próbował jej jednak egzekwować. Wreszcie firmowi informatycy nie przeprowadzili pogłębionej analizy wektora ataku. Nie mają również pewności, czy do podobnego zdarzenia nie dojdzie w najbliższej przyszłości.

Mimo to nie uważam, że prezes Popławski popełnił błąd, decydując się skorzystać z modelu BYOD, i nie zalecałbym powrotu do poprzedniego rozwiązania. Przed wprowadzeniem takiego modelu korzystania ze sprzętu dokonałbym jednak dogłębnej analizy punktów systemu, które są najbardziej podatne na niebezpieczeństwa. Następnie wzmocniłbym te miejsca adekwatnymi do poziomu ryzyka rozwiązaniami zabezpieczającymi, zarówno technicznymi, jak i proceduralno‑organizacyjnymi.

Teraz jednak przede wszystkim należy opanować kryzys, co nie będzie łatwe ze względu na brak procedur dotyczących naruszenia bezpieczeństwa firmowych danych. Niestety, z tego typu sytuacji nie da się wyjść w prosty sposób, jedynie dzięki jednej zdecydowanej decyzji zarządu. Jeśli już zezwolono pracownikom na korzystanie z prywatnych urządzeń do celów służbowych, to należy zadbać przede wszystkim o kilka kwestii.

Z pewnością firma powinna precyzyjnie określić dostęp użytkowników do poszczególnych części swoich zasobów na najniższym poziomie pozwalającym im na wykonywanie pracy. Nie ma przecież potrzeby, by księgowi mieli dostęp do tych samych elementów systemu co informatycy. Poza tym w dużych organizacjach zawsze istnieje możliwość, że ktoś z zewnątrz będzie korzystał z firmowej sieci. Z taką sytuacją mamy do czynienia na przykład, gdy do przedsiębiorstwa przychodzi zewnętrzny doradca i podłącza swój komputer do systemu. Wtedy także należy dać mu dostęp wyłącznie do tych elementów, których wymaga wykonywane przez niego zadanie. Dlatego firma powinna mieć politykę dostępu dla osób przyłączających się do jej sieci z zewnątrz i – co bardzo ważne – techniczne środki i sposoby jej egzekwowania.

Warto również pamiętać, że każda polityka zarządzania sprzętem ma swoje warianty. Dlatego także BYOD można wdrożyć w odmianie zapewniającej większy zakres bezpieczeństwa. Dobrym rozwiązaniem stosowanym w wielu organizacjach jest więc korzystanie z firmowych zasobów po zalogowaniu do tzw. zdalnego pulpitu. Dzięki temu wrażliwe dane znajdują się na firmowych serwerach, pozostając poza zasięgiem złośliwego oprogramowania, mogącego znajdować się na dysku użytkownika.

Jeśli niebezpieczne oprogramowanie dostało się do systemu, to nie istnieje uniwersalna metoda jego usunięcia lub odcięcia mu drogi do pustoszenia zasobów przedsiębiorstwa.

Wreszcie niezwykle ważnym elementem przemyślanej strategii bezpieczeństwa firmowego jest dbałość o świadomość zagrożeń wśród pracowników. Często zdarza się, że nawet przy bardzo zaawansowanych systemach zabezpieczających dane pracownicy dość niefrasobliwie traktują swoją cyfrową tożsamość. Zupełnie nieświadomi zagrożeń zamieszczają na przykład na portalach społecznościowych dane mogące zaszkodzić ich organizacji.

Osobną kwestią są czasem bardzo skomplikowane ataki służące wyłudzeniu danych. Mogą one przybierać formę wiadomości z prośbą o zalogowanie się do strony, która tylko udaje legalny system, na przykład bankowy. Podatność organizacji na tego typu zagrożenia zależy przede wszystkim od czujności tworzących ją ludzi. Nie wszystko da się więc rozwiązać za pomocą technologii i nie wolno zaniedbywać szkoleń poświęconych wymogom bezpieczeństwa.

Wszystkie wspomniane zalecenia są możliwe do wdrożenia przy zachowaniu modelu BYOD. Niestety, jeśli niebezpieczne oprogramowanie dostało się już do systemu, to nie istnieje jedna uniwersalna metoda jego usunięcia lub odcięcia mu drogi do pustoszenia zasobów przedsiębiorstwa. Najbardziej zaawansowane ataki są przygotowywane precyzyjnie pod kątem konkretnego obiektu, dlatego dość sprawnie omijają jego systemy detekcji. Wszystko to sprawia, że niezwykle trudno zidentyfikować, a następnie zneutralizować zagrożenie.

Ogromną pomoc stanowią systemy zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego (SIEM), które wykorzystują logikę korelacyjną do powiązania anomalii zachodzących w systemie i ustalenia, czy i z jakim rodzajem ataku mamy do czynienia. Szacuję jednak, że nawet 70–80% ataków wykorzystuje błędy w kodach źródłowych oprogramowania. Dlatego nigdy nie będziemy mieli całkowitej gwarancji bezpieczeństwa firmowych zasobów.

Przeczytaj pozostałe komentarze: »

Grzegorz Idzikowski: ubezpieczajmy się od cyberprzestępczości 

Strategia

|

Bezpieczeństwo i prywatność

,

Dane

Grzegorz Idzikowski PL

Artur Józefiak: profesjonalna reakcja jest kluczowa dla wizerunku firmy 

Strategia

|

Bezpieczeństwo i prywatność

,

Dane

Artur Józefiak PL

O autorach
Janusz Nawrat

Tematy
BIZNES I TECHNOLOGIE Cyberbezpieczeństwo Strategia IT Zarządzanie kryzysowe Zarządzanie ryzykiem
Spis treści
  1. Grzegorz Idzikowski: ubezpieczajmy się od cyberprzestępczości 
  2. Artur Józefiak: profesjonalna reakcja jest kluczowa dla wizerunku firmy 

Może Cię zainteresować

cyfrowe bliźniaki
Transformacja organizacyjna
Dlaczego twój biznes potrzebuje wirtualnej kopii?

Cyfrowe bliźniaki przestają być futurystyczną ciekawostką, a stają się narzędziem strategicznego zarządzania ryzykiem i optymalizacji procesów. Dzięki technologiom wywodzącym się z branży gier firmy mogą dziś testować tysiące scenariuszy awarii, zakłóceń i błędów bez ponoszenia realnych kosztów. O tym, jak fotorealistyczne symulacje pomagają organizacjom podejmować lepsze decyzje i dlaczego wkrótce niemal każda większa firma będzie mieć swojego cyfrowego bliźniaka, mówi Paul Gavin, Head of Games Analytics w SAS Institute.

Paulina Kostro 17 czerwca 2026
Multimedia
Zarządzanie talentami
Jak Bank of America przygotowuje na erę AI ponad 200 tysięcy swoich pracowników?

Sztuczna inteligencja rewolucjonizuje sektor finansowy, ale to człowiek pozostaje w centrum tej transformacji. Bernard Hampton, dyrektor The Academy w Bank of America, zdradza, jak gigant z Wall Street buduje zwinność kompetencyjną i skutecznie przygotowuje ponad 200 tysięcy pracowników na wyzwania epoki AI. Poznaj kulisy upskillingu na niespotykaną skalę.

Sam Ransbotham 16 czerwca 2026
Zarządzanie finansami i ryzykiem
Konwersja długu na kapitał zakładowy albo dopłaty

Konwersja długu na kapitał zakładowy lub dopłaty może poprawić strukturę finansowania spółki, ograniczyć zadłużenie i zwiększyć wiarygodność wobec inwestorów. Kluczowe znaczenie ma jednak właściwy wybór mechanizmu oraz poprawna dokumentacja.

Kamil Łamiński 16 czerwca 2026
Multimedia
AI SZTUCZNA INTELIGENCJA
Człowiek jest pilotem, nie pasażerem. Co musi umieć developer jutra?

Branża IT uwierzyła w obietnicę autonomii — a za każdą decyzją modelu wciąż stoi człowiek albo jej brak. Tomasz Ducin, software generalist i współautor programu „Developer Jutra”, tłumaczy, dlaczego generowanie kodu tanieje, lecz wartość inżyniera rośnie, gdzie kryją się realne ryzyka biznesowe sztucznej inteligencji i kto przetrwa nadchodzącą rekalibrację rynku pracy. Rozmowa o ekonomii tokenów, prawie Conwaya, ryzyku odmóżdżenia i kompetencjach, które decydują o przyszłości developera.

Iwo Zmyślony 15 czerwca 2026
PRZYWÓDZTWO
Czego AI wciąż nie potrafi zrobić za liderów

Sztuczna inteligencja odpowiada płynnie, pewnie i natychmiast — ale nie odróżnia dobra od zła, nie uczy się z doświadczenia i nie ponosi konsekwencji decyzji. Dwie badaczki przywództwa z MIT wyznaczają granicę między tym, co warto oddać maszynie, a tym, czego lider oddać nie może, by pozostać liderem.

11 czerwca 2026
Zachowania organizacyjne
Dlaczego nieefektywne spotkania niszczą wartość przedsiębiorstw

Czy wiesz, że ponad połowa czasu, jaki Twoi pracownicy spędzają na spotkaniach, to czysta strata czasu i pieniędzy? Najnowsze globalne badanie Jabra obnaża zjawisko „długu spotkaniowego”, który w dużych organizacjach generuje straty rzędu 130 milionów dolarów rocznie. Dowiedz się, dlaczego sztuczna inteligencja nie uratuje uszkodzonego systemu i dlaczego spotkania nie są uniwersalnym, bezrefleksyjnym narzędziem do wszystkiego.

Holger Reisinger 9 czerwca 2026
PRZYWÓDZTWO
Podatek od empatii, który płacą liderki

Współczesny biznes wymaga od liderów empatii i wsparcia w obliczu lęku przed AI czy restrukturyzacją. Badania pokazują jednak, że ten niewidzialny ciężar emocjonalny – tzw. podatek od empatii – obciąża głównie kobiety. Poznaj mechanizmy „pełzającej opieki” i dowiedz się, jak organizacje mogą sprawiedliwie redystrybuować kulturę troski.

Colleen Ammerman, Deepa Purushothaman 8 czerwca 2026
ZRÓWNOWAŻONY ROZWÓJ
Jak Nespresso integruje zrównoważony rozwój z modelem biznesowym

Czy zrównoważony rozwój wymaga odrębnego uzasadnienia finansowego? Dla Nespresso odpowiedź jest prosta: ekologia to nie kosztowny dodatek, lecz fundament strategii. Dowiedz się, jak globalny lider redefiniuje relacje z rolnikami, wdraża bioróżnorodność i bierze pełną odpowiedzialność za cykl życia swoich produktów, by zabezpieczyć biznes na nadchodzące dekady zmian klimatycznych.

Jean-Christophe Jaunin 3 czerwca 2026
AI w biznesie
AI SZTUCZNA INTELIGENCJA
Pułapka taniego AI. Dlaczego firma bez ludzi to biznesowy błąd?

Większość projektów AI nigdy nie trafia do produkcji. Dlaczego firmy utknęły w fazie eksperymentów i jak mogą zamienić sztuczną inteligencję w źródło realnych oszczędności oraz przewagi konkurencyjnej? O tym opowiada Udo Sglavo.

Paulina Kostro 1 czerwca 2026
Zarządzanie zmianą
Kiedy pracownicy toną w nadmiarze zmian

Liderzy zazwyczaj skupiają się na operacyjnej mechanice zarządzania zmianą, zapominając o kluczowym fundamencie – ludziach, którzy bezpośrednio jej doświadczają. Kiedy organizacja narzuca zbyt szybkie i chaotyczne tempo innowacji, pracownicy tracą zaangażowanie, a procesy wdrażania kończą się porażką. Dowiedz się, jak skutecznie przeprowadzić firmę przez transformację, chroniąc strategiczne zasoby i wydolność swojego zespołu.

David Grossman 29 maja 2026
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!