Bez silnej kontroli ani rusz

opublikowano: 30-07-2019, 22:00

Jeśli odpowiedzialna jest więcej niż jedna osoba, nikt nie poczuwa się do odpowiedzialności, a oszuści mogą sobie hulać

Wydarzyło się to 55 lat temu w Queens, śródmiejskiej dzielnicy Nowego Jorku. Przed swoim domem została brutalnie zamordowana Kitty Genovese. Napastnik rzekomo ścigał i kłuł nożem 29-letnią kobietę na oczach jej 38 wyglądających przez okna sąsiadów — tylko jeden zadzwonił na policję, gdy ofiara była już martwa. Ta wersja morderstwa mija się z faktami, ale o tym później. Co się działo dalej? Po nagłośnieniu sprawy politycy bili na alarm, że amerykańskie społeczeństwo pogrąża się w znieczulicy.

Większe firmy potrzebują komórek, które wszystkim oddziałom i spółkom
córkom wyznaczają standardy radzenia sobie z zagrożeniami — mówi Paweł Łąka,
który w spółce e-point sprawuje pieczę nad rozwiązaniami związanymi z
bezpieczeństwem.
Zobacz więcej

TAK TO WIDZĘ:

Większe firmy potrzebują komórek, które wszystkim oddziałom i spółkom córkom wyznaczają standardy radzenia sobie z zagrożeniami — mówi Paweł Łąka, który w spółce e-point sprawuje pieczę nad rozwiązaniami związanymi z bezpieczeństwem. Fot. WM

Natomiast psycholodzy tłumaczyli bierność obserwatorów syndromem rozproszenia odpowiedzialności lub efektem widza: jeśli na coś złego patrzy wiele osób, nikt nie reaguje, oczekując, że inni przejmą inicjatywę. Niezależnie od tego, jak sprawy w Queens miały się naprawdę, rozproszenie odpowiedzialności to zjawisko potwierdzone badaniami — i dotyczy wielu sfer życia. Przykładem jest cyberbezpieczeństwo w firmach.

Technologie nie wystarczą

Pamiętacie czasy, gdy informatycy tłoczyli się jak sardynki w małym pokoju? Teraz dział IT liczy nie pięć, ale 25 osób i ma do dyspozycji kilka dużych sal. W jednej jest serwerownia, w innej help desk, w jeszcze innej rupieciarnia pełna zużytych komputerów, drukarek i kabli. Nie sposób natomiast znaleźć pomieszczenia oznaczonego jako IT security. Najwidoczniej przedsiębiorstwo zakłada, że każdy informatyk w ramach swojej specjalności będzie dbał o bezpieczeństwo. Dlaczego takie podejście jest szkodliwe?

— Firmy zbroją się na potęgę. Pojęcie DDoS stało się powszechnie znane. Mamy frontowe inteligentne firewalle, IPS-y, IDS-y, honeypoty, WAF-y, ochronę przeciw botnetom. Nie brakuje dostawców kompleksowych narzędzi do powstrzymania ataków z zewnątrz i minimalizowania zagrożeń wewnętrznych. Mimo technologicznego potencjału nie można spać spokojnie: najsłabszym ogniwem wciąż pozostaje człowiek — uświadamia Paweł Łąka, który w spółce e-point sprawuje pieczę nad rozwiązaniami związanymi z bezpieczeństwem.

Za bezpieczeństwo cyfrowe są odpowiedzialni wszyscy pracownicy, a nie tylko dział IT. Michał Gembal, dyrektor marketinguArcusa, zgadza się z tym stwierdzeniem warunkowo: firma musi wyznaczyć kogoś, kto będzie koordynował i nadzorował wszystkie działania służące cyberochronie.

— Nie musi to być szef IT. Ważne, by dysponował kompetencjami, mocą decyzyjną i miał jasno określone obowiązki. Wszyscy pracownicy powinni słuchać tego eksperta i stosować się do jego wytycznych — zaznacza Michał Gembal.

Ale trąci to centralizmem, który wielu z nas się nie podoba.

— Większe przedsiębiorstwa dobrze znają ten dylemat: postawić na autonomię poszczególnych jednostek organizacyjnych czy silną kontrolę. Najdotkliwiej problem odczuwają firmy składające się z kilkudziesięciu spółek. Zmuszenie wszystkich do podporządkowania się oznacza ogromne koszty dodatkowe. Z drugiej strony trzeba pamiętać, że siłę bezpieczeństwa wyznacza wspomniane najsłabsze ogniwo: człowiek — tłumaczy Paweł Łąka.

Wiele korporacji — dodaje — ma silne działy centralne, które wyznaczają standardy swoim oddziałom lub spółkom córkom. Od specyfiki i wielkości firmy zależy szczegółowość wytycznych.

— Niekiedy wystarczą ogólne wskazówki, które przedsiębiorstwo dopasowuje do swoich realiów. W wielu przypadkach wprowadza się jednak niskopoziomowe, specyficzne rozwiązania — podkreśla Paweł Łąka.

Trudno powiedzieć, które rozwiązanie jest lepsze. Weźmy jako przykład Rozporządzenie o ochronie danych osobowych (RODO). Przedstawiciel e-pointu zwraca uwagę, że cechuje je duży poziom ogólności, aby każdy kraj UE wprowadził zmiany z uwzględnieniem swojego prawa. Brzmi rozsądnie. Niemniej po roku od startu reformy połowa przedsiębiorców nie wiedziała, czy są przygotowani na ewentualną kontrolę przestrzegania unijnych regulacji — wynika z badania EY.

— Mało konkretne przepisy są niejasne dla pracowników, co czasem prowadzi do ich lekceważenia. Duży rygoryzm może zaś wywoływać opór. Nie lubimy, gdy się nam coś narzuca. Jaka na to rada? Powołajmy osobę odpowiedzialną za bezpieczeństwo, ale pozwólmy zatrudnionym na współdecydowanie i dyskusję — komentuje Michał Gembal.

Lider musi być

Wracając do przypadku Kitty Genovese — wcale nie było tak, że przez pół godziny 38 „szacownych, praworządnych obywateli” stało w oknach i obserwowało, jak morderca kłuje ją nożem. Miejsca, w którym dokonano zbrodni, nie było widać z okien. Słysząc hałasy, sąsiedzi myśleli, że to zwykła kłótnia. Mimo to wykonali aż dwa telefony na policję. Jeden z mężczyzn nawet przegonił bandytę, nie przypuszczając, że ten wróci.

Tezy o znieczulicy nie da się obronić. Ale gdyby wśród tych ludzi znalazł się ktoś o cechach lidera, może nie doszłoby do tragedii. W każdej innej dziedzinie życia, ale także biznesu, jest tak samo: przynajmniej jedna osoba musi wziąć na siebie odpowiedzialność, inaczej sprawy pójdą w złą stronę.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mirosław Konkel

Polecane

Inspiracje Pulsu Biznesu