Reklama
Kup subskrypcję
Kup subskrypcję
Kształtuj przywództwo w oparciu o wiedzę MIT SMRP. Subskrybuj magazyn.
Sprawdzam
BIZNES I TECHNOLOGIE
Polska flaga

Zabezpiecz się!

9 kwietnia 2015 11 min czytania
Jakub Chabik
Odsłuchaj

Streszczenie: Współczesne przedsiębiorstwa muszą stawić czoła różnorodnym zagrożeniom związanym z bezpieczeństwem informacji. Najczęstsze z nich pochodzą z wnętrza organizacji, głównie z powodu nieświadomych działań pracowników, takich jak zapisywanie haseł w łatwo dostępnych miejscach czy wybieranie prostych do odgadnięcia kombinacji. Dodatkowo, zaniedbania personelu IT, takie jak brak aktualizacji oprogramowania czy niewłaściwe zarządzanie uprawnieniami, mogą prowadzić do poważnych naruszeń bezpieczeństwa. Przykładem jest incydent związany z Sony PlayStation Network, gdzie brak terminowych aktualizacji umożliwił kradzież danych użytkowników. MIT Sloan Management Review Polska Ataki mogą również pochodzić od byłych lub obecnych pracowników, którzy z różnych powodów chcą zaszkodzić firmie, na przykład poprzez wprowadzenie tzw. bomb logicznych w systemach informatycznych. Zewnętrzne zagrożenia obejmują działania hakerów poszukujących danych, takich jak numery kart kredytowych, które mogą być wykorzystane do nielegalnych transakcji. Innym zagrożeniem są tzw. haktywiści, którzy włamują się do systemów w ramach protestu przeciwko działaniom konkretnych firm, często udostępniając wykradzione informacje publicznie. MIT Sloan Management Review Polska Aby skutecznie zarządzać ryzykiem, przedsiębiorstwa powinny przeprowadzić analizę swoich zasobów informacyjnych, oceniając wartość posiadanych danych i potencjalne straty związane z ich utratą lub nieautoryzowanym dostępem. Zastosowane środki bezpieczeństwa powinny być proporcjonalne do wartości chronionych informacji. Kluczowe jest również kształtowanie świadomości pracowników na temat zagrożeń oraz wprowadzenie procedur, które minimalizują ryzyko ludzkich błędów, takich jak szkolenia dotyczące tworzenia silnych haseł czy regularne testy symulujące ataki phishingowe.

Pokaż więcej

Nie ma chyba tygodnia, żeby media nie doniosły o kolejnych zagrożeniach w internecie: Wyciekły numery kart kredytowych ze sklepu internetowego, Podmieniono stronę główną znanego serwisu, Wykradziono hasła stu tysięcy użytkowników, Dane osobowe użytkowników krążą w sieci, Wirus podmienia numery kont przy przelewach. To wszystko stwarza atmosferę zagrożenia, a w konsekwencji – zaniepokojenie zarządów. Menedżerowie widzą, że problem istnieje, ale zadają sobie pytanie, czy – i do jakiego stopnia – dotyczy to również ich. A także – czy i jak powinni coś z tym zrobić.

Odpowiedzi są proste: tak, problem dotyczy też ich; tak, powinni z nim coś zrobić. Kiedy? Natychmiast! Informatyka w przedsiębiorstwie ma dzisiaj zasadnicze znaczenie, bo zasadnicze znaczenie ma zarządzanie informacją w przedsiębiorstwie. Odpowiedzi na to, na czym zarabiamy, gdzie są źródła kosztów, skąd się biorą reklamacje tkwią w danych, dane zaś tkwią w systemach.

Nic więc dziwnego, że oprócz pracowników i menedżerów przedsiębiorstwa z informacji tych chcą skorzystać inne, niepowołane osoby. I nic dziwnego, że przerwanie działania systemów informatycznych firmy może być na rękę osobom, które źle jej życzą. Panie i panowie, witamy w świecie bezpieczeństwa informacyjnego biznesu!

Dobry, zły i brzydki

Kto zagraża naszemu przedsiębiorstwu? Przygotujmy katalog zagrożeń w kolejności częstotliwości ich występowania.

W pierwszym rzędzie zagrażają mu jego pracownicy. To może brzmieć paradoksalnie, ale jest prawdą. Główne zagrożenia pochodzą z wewnątrz, a nie z zewnątrz przedsiębiorstwa.

Najważniejszą przyczyną naruszeń bezpieczeństwa są nieroztropni użytkownicy. Zapisują hasła na żółtych karteczkach przypinanych do monitora, ujawniają je przez telefon, pożyczają koleżankom i kolegom, wybierają na hasła rzeczy oczywiste do odgadnięcia, typu imię dziecka czy data urodzenia… katalog grzechów jest bardzo długi.

Nie bez winy jest personel informatyczny przedsiębiorstwa. Jedno z najbardziej spektakularnych włamań ostatnich lat, kradzież danych użytkowników Sony PlayStation Network, było możliwe, ponieważ służby informatyczne nie instalowały aktualizacji oprogramowania na czas, a potem bardzo nieporadnie radziły sobie z usuwaniem skutków włamania. Lista zaniechań personelu IT jest dłuższa: zbyt słaba polityka haseł (możliwość wyboru krótkich i prostych słów, zbyt rzadkie zmiany hasła itd.), zbyt szerokie uprawnienia użytkowników, zbyt rzadkie audyty bezpieczeństwa i testy penetracyjne.

Wiele incydentów grożących bezpieczeństwu pochodzi od pracowników, którzy chcą zaszkodzić przedsiębiorstwu albo odnieść osobistą korzyść. A więc – w organizacjach i działach, które bezpośrednio obracają pieniędzmi, dochodzi do nadużyć wewnętrznych. Pracownicy po prostu chcą przywłaszczyć sobie środki, którymi przedsiębiorstwo obraca i wykorzystują w tym celu systemy informatyczne. Czasami pracownik wykrada dane, aby samodzielnie z nich skorzystać (np. baza klientów na potrzeby własnej działalności gospodarczej) albo sprzedać konkurencji.

Nie bez znaczenia są również ataki dokonywane przez aktualnych lub byłych pracowników. Chcą oni zwyczajnie zaszkodzić przedsiębiorstwu, biorąc odwet na nim poprzez dane i systemy. Stosunkowo częstym mechanizmem takiego ataku jest tzw. bomba logiczna – czyli zawarcie w systemach informatycznych funkcjonalności, która w określonym czasie (np. w pół roku po odejściu pracownika) skasuje jakieś ważne dane albo wstrzyma działanie kluczowych serwerów.

Drugim w kolejności źródłem zagrożeń jest świat zewnętrzny. Podczas każdej sekundy połączenia z siecią nasz komputer jest kilka razy sondowany w celu wykrycia luk bezpieczeństwa. Biada nam, jeśli nie aplikowaliśmy regularnie łatek systemowych albo popełnimy podstawowe błędy.

Głównym motywem ataku osób z zewnątrz jest chęć zarobienia. Nasz komputer może stanowić element tak zwanego botnetu, czyli zespołu maszyn sprzedawanych do jakichś celów, głównie przestępczych. A więc – może na zlecenie rosyjskiego wywiadu atakować serwery rządu Estonii albo pośredniczyć w umieszczaniu antyukrańskich wpisów na forum. Może rozsyłać niechciane przesyłki, tzw. spam. Może też służyć do obliczeń – botnety zaczynają być już wykorzystywane do tzw. wydobywania bitcoinów, czyli wirtualnej waluty. Jeśli ofiarą hakera pada nie jeden komputer, a cała sieć przedsiębiorstwa – korzyść ulega zwielokrotnieniu. Według badań firmy VeriSign wynajęcie botnetu około 5000 komputerów na atak strony internetowej (tzw. DDOS) kosztuje ok. 70 dolarów za dobę. Haker, który przejmie we władanie podsieć kilkuset komputerów (np. duże przedsiębiorstwo) i potrafi sprzedać ich moc obliczeniową innym, nie musi już zwyczajnie pracować.

Zdarzają się też osoby, dla których cel materialny nie jest najważniejszy. Wykradzenie i udostępnienie danych przedsiębiorstwa może być domeną tzw. haktywistów, czyli hakerów‑aktywistów. Celem haktywizmu są często chłopcy do bicia globalizacji – koncerny paliwowe, banki, międzynarodowe korporacje albo też firmy, które uczestniczyły w jakimś skandalu (np. udowodniono im wykorzystanie niewolniczej siły roboczej w Trzecim Świecie).

W towarzystwie hakerów do dobrego tonu należy pochwalenie się jakimś spektakularnym włamaniem. Jeśli więc pewnego dnia zobaczymy, że nasza strona została podmieniona, padliśmy ofiarą takiego hakera‑zdobywcy. Z reguły poza utratą reputacji takie ataki nie przynoszą bezpośrednich strat. To trochę jak wkradnięcie się do sypialni królowej, by złożyć pocałunek na jej ustach i wystawić ochronę i króla na pośmiewisko – trochę strachu, trochę śmiechu, a największy uszczerbek to utrata autorytetu.

Osobną kategorię stanowią prawdziwi przestępcy. Ci biorą na cel przedsiębiorstwo, żeby mu zaszkodzić albo polują na dane, by wykorzystać je do swoich działań. Szczególnie pożądanym przez nich celem są numery kart kredytowych – można wtedy składać zamówienia w sklepach wysyłkowych albo wykorzystać je do wypłaty środków w bankomacie. W polskich realiach jest to zagrożenie stosunkowo nieduże – polska infrastruktura płatności elektronicznych polega raczej na przelewach i płatnościach online obsługiwanych przez duże (i dobrze zabezpieczone) organizacje płatnicze. Numery kart kredytowych nie są przechowywane w bazach sklepów internetowych ani u kontrahentów. Najlepiej numerów kart kredytowych po prostu nie podawać, a jeśli firma musi korzystać z serwisu, gdzie jest to konieczne, najlepiej posiadać osobną kartę, służącą tylko do płatności online, z niedużym limitem i podwyższoną kontrolą (np. dodatkowe uwierzytelnienie SMS‑em).

Zarządzanie ryzykiem

Nie da się wszystkich informacji i systemów zabezpieczyć przed wszystkimi zagrożeniami. Byłoby to nieracjonalne i nieekonomiczne. Dlatego przeciwdziałanie zagrożeniom zaczyna się od analizy zasobów informacyjnych przedsiębiorstwa: jakie dane przedsiębiorstwo posiada, ile są warte i kto mógłby skorzystać na niepowołanym dostępie. Siła zastosowanych środków bezpieczeństwa powinna być proporcjonalna do wartości danych albo strat wywołanych przerwaniem działania poszczególnych systemów – dane i systemy najbardziej wrażliwe będą zabezpieczone najmocniej, a pozostałe –słabiej.

Bezpieczeństwo ująć można w trzech obszarach: proceduralnym, technicznym i behawioralnym. Zacznijmy od tego ostatniego, bo jest najważniejszy. Tak jak powiedziano powyżej, najwięcej zagrożeń czai się wewnątrz przedsiębiorstwa. Poza patologicznymi przypadkami, pracownicy nie chcą specjalnie szkodzić swojemu pracodawcy. Jeśli tak postępują, robią to nieświadomie. Najważniejsza jest więc ich świadomość i odpowiedzialność. Kształtowanie świadomości zagrożeń pracowników to zatem najważniejszy element bezpieczeństwa informacji w przedsiębiorstwie.

Użytkownicy systemów powinni wiedzieć, że nie wolno zapisywać haseł, powinni być zmuszeni do wymyślania haseł nieoczywistych, ale także otrzymać pomoc w ich zapamiętywaniu. Na przykład hasło 3Pp$pf można zapamiętać jako: trzech grubych panów pod bankiem pali fajki – taki humorystyczny obrazek lepiej utkwi w pamięci niż ciąg znaków. System uwierzytelnienia powinien zmuszać do regularnej zmiany hasła, a użytkownicy powinni być szkoleni, by nie przekazywać nikomu haseł przez telefon, choćby podawali się za personel informatyczny przedsiębiorstwa. Powinny również okresowo być obiektem testów – np. poprzez symulowany telefon z IT albo list z zaszytym linkiem służącym do wyłudzenia hasła (tzw. phishing). Nie chodzi o to, by kogoś od razu karać odebraniem uprawnień, ale by identyfikować podatność użytkowników i skalę zagrożenia.

Zabezpieczenia proceduralne to kolejny element systemu bezpieczeństwa przedsiębiorstwa. A więc – odpowiednia polityka wymuszająca (wspominamy już wyżej) niebanalny format hasła i regularne jego zmiany. Ale to także procedura nadawania i odbierania uprawnień. Zasada pracownik powinien mieć uprawnienia do tych systemów i danych, których potrzebuje do wykonywania swoich obowiązków, nie mniej i nie więcej, powinna zostać ubrana w proces zarządzania uprawnieniami. Oprócz nadawania i odbierania uprawnień powinien on uwzględniać takie zdarzenia jak przyjęcie do pracy (żeby pracownik nie czekał bezczynnie przez pierwszy tydzień, aż nadane mu zostaną odpowiednie uprawnienia), odejście z pracy (aby byli pracownicy nie mieli uprawnień po tym, jak odeszli z firmy) oraz regularny przegląd uprawnień (czy pracownik nadal potrzebuje uprawnień do tych systemów, z których może już nie korzystać).

Procedury to także regularny monitoring zagrożeń, wykonywanie testów penetracyjnych oraz sposób postępowania w przypadku incydentu bezpieczeństwa, tj. usuwanie skutków, przywracanie ciągłości i zabezpieczanie dowodów. Zwłaszcza warto pamiętać o tym ostatnim – organy ścigania nie będą skuteczne, a proces – choćby nawet wina była oczywista – wygrany, jeśli dowody włamania lub zniszczenia danych nie zostaną zabezpieczone w sposób odpowiadający wymogom przewodu sądowego.

Ale jednym z najważniejszych, jeśli nie najważniejszym elementem proceduralnego bezpieczeństwa jest zarządzanie zmianą w systemach informatycznych. To właśnie w toku zmian w systemy wprowadzane są luki bezpieczeństwa oraz rozwiązania, które powodują straty w przedsiębiorstwie. Nie muszą to być wcale tylne drzwi, którymi konkurent wykradnie nasze nowe cenniki i strategie marketingowe. Może to być nieprzemyślany algorytm promocji, w wyniku którego towary za 300 zł staną się nagle warte 3 zł. Głośna była niedawno historia linii lotniczej, w której połączenie kilku promocji pozwalało polecieć do Tokio za 1 euro. Linia po sporze prawnym z osobami, które zakupiły taki bilet, przegrała i musiała usługę zrealizować. Kosztowało ją to, lekko licząc, kilkadziesiąt tysięcy euro.

Ostatni element, przygotowanie techniczne, to cały zestaw działań – począwszy od wyznaczenia osoby odpowiedzialnej za to zagadnienie (tzw. oficera bezpieczeństwa), poprzez wdrożenie procedur regularnej aktualizacji systemów informatycznych, aż po stworzenie odpowiednich mechanizmów sieciowych i systemowych. Harvard Business Review nie jest miejscem, aby te zagadnienia szczegółowo opisywać – należy odesłać menedżera do rozmowy ze swoim CIO.

Nie czy, a kiedy

Nie pytaj, czy padniesz ofiarą hakera. Zapytaj lepiej, kiedy to się stanie i jakie straty z tego tytułu poniesiesz. Na koniec warto więc podsumować najważniejsze elementy bezpieczeństwa przedsiębiorstwa w formie kilku przystępnych rad dla zarządów.

  • Bezpieczeństwo to dane, systemy i ludzie. Każdy z tych elementów jest równie ważny.

  • Nie ma czegoś takiego jak bezpieczeństwo absolutne. Analiza bezpieczeństwa informacji powinna zacząć się od oszacowania ryzyka związanego z danymi i systemami oraz wdrożenia zabezpieczeń proporcjonalnych do skali tego ryzyka.

  • Najwięcej zagrożeń pochodzi z wewnątrz przedsiębiorstwa. Tam należy skierować pierwsze działania.

  • Systemy informatyczne mogą posłużyć do wyłudzenia środków zarówno przez hakera zewnętrznego, jak i nieuczciwego pracownika.

  • Nie należy lekceważyć tzw. haktywistów, zwłaszcza w wielkich korporacjach energetycznych i finansowych.

  • Kluczową rolę mają użytkownicy i ich nawyki. Wyznaczanie standardów, komunikowanie oraz egzekwowanie ich to zasadnicza linia obrony przedsiębiorstwa.

  • Warto pamiętać o dwóch kluczowych procesach: zarządzania uprawnieniami oraz zarządzania zmianą w systemach informatycznych. To one najczęściej są „furtką” do naruszeń bezpieczeństwa.

  • W przypadku wystąpienia incydentu bezpieczeństwa kluczowe znaczenie ma usuwanie jego skutków oraz zabezpieczenie dowodów – aby organy ścigania mogły podjąć działanie, zaś winnego w procesie można było skazać.

Podsumowując: zabezpiecz się i… powodzenia!

O autorach
Jakub Chabik

Tematy
BIZNES I TECHNOLOGIE Cyberbezpieczeństwo Zarządzanie i przywództwo IT Zarządzanie ryzykiem Zarządzanie zmianą

Może Cię zainteresować

empatia
Kompetencje przywódcze
Czy empatia stanie się kluczową kompetencją przywódczą?

W erze rosnącej złożoności i niepewności, kluczową rolę w sukcesie organizacji odgrywa styl przywództwa oparty na empatii, partnerstwie i bezpieczeństwie psychologicznym. Tradycyjne modele hierarchiczne ustępują miejsca transformacyjnemu przywództwu, które aktywuje potencjał zespołów i sprzyja innowacjom.

Paulina Kostro 10 lutego 2026
AI w biznesie
AI SZTUCZNA INTELIGENCJA
5 trendów AI, które zdefiniują strategię liderów w 2026 roku

Sztuczna inteligencja do 2026 roku przekształci się z pojedynczych narzędzi w złożone, agentowe super-aplikacje, które zmienią sposób zarządzania, organizacji pracy i strategii konkurencyjnej. Transformacja ta ma wymiar globalny, z rosnącym znaczeniem lokalnej specjalizacji i integracji AI z infrastrukturą fizyczną oraz mediami generatywnymi. W efekcie powstaje multipolarna gospodarka oparta na inteligentnej infrastrukturze i zrozumieniu lokalnych potrzeb.

Benjamin Laker 9 lutego 2026
Klienci i doświadczenia
Enszityfikacja: Jak pogoń za marżą niszczy wartość „inteligentnych” produktów

Kiedyś jednym z symboli jakości była trwałość produktu fizycznego. Dziś, dzięki cyfryzacji, firmy dążą do sprawowania kontroli nad produktem długo po tym, jak opuścił on linię produkcyjną. To, co miało być rewolucją w komforcie i personalizacji, coraz częściej zmienia się w tzw. enszityfikację – proces, w którym innowacja ustępuje miejsca agresywnej monetyzacji, a klient z właściciela staje się jedynie subskrybentem własnych przedmiotów.

Andrew Park, David R. Hannah, Jan Kietzmann, Leyland Pitt 6 lutego 2026
Rynki kapitałowe
Mapa ryzyka 2026: Globalna perspektywa jest ważniejsza niż kiedykolwiek

W świecie rozdartym między nieuchronną integracją gospodarczą a politycznym zwrotem ku nacjonalizmom, liderzy biznesu stają przed paradoksem: jak budować wartość, gdy tradycyjne bezpieczne przystanie zmieniają swój charakter? Analiza danych z 2025 roku pokazuje, że choć politycy mogą dążyć do izolacji, kapitał nie posiada tego luksusu. Zapraszamy do głębokiego wglądu w globalne rynki akcji, dynamikę walut i nową mapę ryzyka krajowego, która zdefiniuje strategie inwestycyjne w 2026 roku.

Aswath Damodaran 5 lutego 2026
Kultura organizacyjna
Plotki w biurze: błąd systemu czy ukryty feedback?

Plotka biurowa to rzadko objaw toksycznej kultury, a najczęściej sygnał, że oficjalna komunikacja w firmie zawodzi. Zamiast uciszać nieformalne rozmowy, liderzy powinni traktować je jako cenny mechanizm informacji zwrotnej. Sprawdź, jak zrozumieć potrzeby zespołu ukryte między wierszami i skutecznie zarządzać organizacją w obliczu nieuniknionych zmian.

Benjamin Laker 4 lutego 2026
Praca zdalna i hybrydowa
Głos jako interfejs przyszłości: Jabra Evolve3 jako infrastruktura pracy opartej na AI

Głos staje się nowym interfejsem pracy z AI, a jakość audio przesądza o skuteczności współpracy hybrydowej. Sprawdź, jak seria słuchawek Jabra Evolve3 tworzy infrastrukturę gotową na erę komend głosowych i spotkań wspieranych przez sztuczną inteligencję.

Materiał Partnera JABRA Gn 3 lutego 2026
AI SZTUCZNA INTELIGENCJA
AI lub dymisja: prezesi osobiście angażują się w technologię

Era eksperymentów ze sztuczną inteligencją w biznesie dobiegła końca. Najnowszy raport BCG AI Radar 2026 ujawnia: co drugi CEO uważa, że jego posada zależy od sukcesu wdrożenia AI. Dowiedz się, dlaczego szefowie największych firm na świecie rezygnują z delegowania zadań i sami stają się „Głównymi Dyrektorami ds. AI”, podwajając wydatki na technologię, która w tym roku ma wreszcie zacząć zarabiać.

Paweł Kubisiak 3 lutego 2026
PRZYWÓDZTWO
Rolą lidera jest sprawić, by lśnili inni członkowie zespołu

Większość menedżerów marzy o byciu „najlepszym w swojej klasie”, ale Gary Burnison, CEO Korn Ferry, przekonuje, że prawdziwe przywództwo zaczyna się tam, gdzie kończy się ego lidera. Czego biznes może nauczyć się od olimpijskich osad wioślarskich, w których wszyscy patrzą wstecz, by łódź mogła płynąć do przodu? Poznaj nieoczywistą filozofię zarządzania, w której Twoim największym sukcesem jest sukces ludzi, których prowadzisz.

Gary Burnison 2 lutego 2026
Deficyt zaufania: obligacje, waluty, złoto i bitcoin

Czy fundamenty globalnego systemu finansowego zaczynają pękać? Rok 2025 przyniósł serię wstrząsów, które uderzyły w samo serce zaufania do amerykańskich instytucji: od karnych ceł i paraliżu rządu, po ataki na niezależność Fed. Choć rynki akcji zdają się ignorować te sygnały, złoto i srebro wysyłają jasny komunikat – nadchodzi era „deficytu zaufania”. Sprawdź, dlaczego obligacje pozostają niewzruszone, podczas gdy dolar traci swój blask, a Bitcoin wciąż nie może odnaleźć swojej tożsamości w czasach kryzysu.

Aswath Damodaran 30 stycznia 2026
Zarządzanie efektywnością
Stwórz system wynagrodzeń, który napędza wyniki, a nie wypalenie

Choć model pay-for-performance jest powszechnie uważany za złoty standard przyciągania talentów i stymulowania wyników, najnowsze badania ujawniają jego destrukcyjny komponent: paraliżującą niepewność płacową. Liderzy, którzy pragną zbudować zrównoważoną i innowacyjną organizację, muszą nauczyć się balansować między zachętami finansowymi a psychicznym bezpieczeństwem pracowników, aby uniknąć pułapki wypalenia i toksycznej rywalizacji.

Gordon M. Sayre, Brice Corgnet, Roberto Hernán González, Simon Gächter 29 stycznia 2026
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!