Kto Kształtuje Bezpieczeństwo w Firmie? Rola Interesariuszy w ISMS

W dzisiejszym dynamicznym świecie, gdzie cyberataki to codzienność, bezpieczeństwo informacji to już nie tylko domena działu IT. Aby skutecznie chronić nasze dane i systemy, potrzebujemy kompleksowego podejścia. Tutaj z pomocą przychodzi System Zarządzania Bezpieczeństwem Informacji (ISMS) – formalne ramy, które pomagają organizacji zarządzać ryzykiem związanym z bezpieczeństwem informacji.

ISMS to nie tylko technologia, ale przede wszystkim procesy, ludzie i kultura. Jego skuteczność zależy od zaangażowania wielu osób, ale kto właściwie powinien mieć głos w tej kwestii? Czy tylko Zarząd i specjaliści od cyberbezpieczeństwa? Zdecydowanie nie! W tym artykule przyjrzymy się, kto tak naprawdę ma wpływ na bezpieczeństwo w firmie i dlaczego jego głos jest kluczowy..

Kim właściwie jest interesariusz bezpieczeństwa informacji?

Interesariusz (ang. stakeholder) to każda osoba lub grupa, która ma wpływ na bezpieczeństwo informacji lub jest w jakikolwiek sposób przez te działania dotknięta.

Myśląc o interesariuszach, wykraczamy poza tradycyjne rozumienie „pracowników” czy „zarządu”, choć i oni znajdą się w tej grupie. W standardach ISMS mówi się o nich przy planowaniu, analizie ryzyka czy komunikacji – ale kim są w praktyce?

Wewnętrzni i zewnętrzni – kto się liczy?

Możemy podzielić interesariuszy na dwie główne grupy:

Interesariusze wewnętrzni

► Zarząd - wyznacza kierunek strategiczny i alokuje zasoby. Ich wsparcie jest fundamentalne dla każdej inicjatywy bezpieczeństwa. Bez ich zaangażowania, nawet najlepsze plany mogą skończyć na papierze.

► Pracownicy - każdy pracownik, od stażysty po senior managera, jest potencjalnym ogniwem w łańcuchu bezpieczeństwa. Ich świadomość, nawyki i przestrzeganie procedur mają bezpośrednie przełożenie na odporność organizacji.

► Dział IT i zespoły operacyjne - to oni wdrażają i utrzymują systemy bezpieczeństwa. Ich rola wykracza poza technologię - są pierwszą linią obrony i często doradcami dla innych działów.

► Działy Prawne i Compliance - odpowiadają za zgodność z przepisami i regulacjami (RODO, KSC itp.), co jest nieodłącznym elementem ISMS.

► Dział HR - mają kluczową rolę w procesach zatrudnienia, szkoleń z zakresu bezpieczeństwa oraz zarządzania dostępem pracowników.

► Użytkownicy systemów - niezależnie od ich formalnej roli, każdy, kto korzysta z systemów informatycznych firmy, jest interesariuszem. Ich doświadczenia i potrzeby powinny być brane pod uwagę przy projektowaniu rozwiązań bezpieczeństwa.

Interesariusze zewnętrzni

► Klienci - ich dane są często chronionym aktywem. Oczekują, że firma będzie dbała o ich prywatność i bezpieczeństwo informacji. Utrata zaufania klientów może być katastrofalna w skutkach.

► Partnerzy biznesowi / DostawcyFirmy - często integrują się z systemami partnerów lub korzystają z usług zewnętrznych. Bezpieczeństwo w takim łańcuchu dostaw jest równie ważne jak wewnątrz organizacji. W końcu „jesteś tak silny, jak najsłabsze ogniwo”.

► Regulatorzy i organy nadzoruNakładają na firmy obowiązki prawne i regulacyjne (np. UODO, KNF). Ignorowanie ich wymagań może prowadzić do poważnych konsekwencji prawnych i finansowych.

► Audytorzy (wewnętrzni i zewnętrzni) Oceniają skuteczność ISMS i wskazują obszary do poprawy. Ich perspektywa jest cenna w ciągłym doskonaleniu bezpieczeństwa.

Każdy z nich patrzy na bezpieczeństwo inaczej. I każdy może być kluczowy, jeśli chcemy, by ISMS realnie działał, a nie tylko istniał w procedurach.

Kto ma realny wpływ? Nie tylko ten, kto podpisuje

W wielu firmach przyjęło się, że bezpieczeństwo to sprawa IT, compliance i zarządu. Owszem, to oni formalnie uczestniczą w kształtowaniu ISMS, ale nie zawsze ten, kto ma formalne uprawnienia do podpisywania dokumentów, ma największy realny wpływ na bezpieczeństwo. Często najbardziej efektywne zmiany wynikają z działań na różnych poziomach organizacji.

Formalne uczestnictwo w kształtowaniu ISMS

► Zarząd i Rada Nadzorcza - odpowiadają za strategię i ogólną akceptację ryzyka. Zatwierdzają polityki, przyznają budżety, wyznaczają kierunki. Ich decyzje mają największy wpływ na kształt ISMS.

► Działy Compliance i Prawne - weryfikują zgodność z przepisami i wymaganiami regulatorów, dbają o poprawność polityk i procedur.

► Dział IT, Bezpieczeństwa Informacji i Cyberbezpieczeństwa - projektują, wdrażają i utrzymują rozwiązania techniczne oraz reagują na incydenty.

Kultura bezpieczeństwa kształtuje się także oddolnie

Nie wystarczy, że Zarząd zatwierdzi polityki, a dział IT wdroży zabezpieczenia techniczne. Kultura bezpieczeństwa powstaje tam, gdzie decyzje i procedury spotykają się z codzienną pracą ludzi. Kto odgrywa w tym kluczową rolę?

Działy HR

Odpowiadają za rekrutację, onboarding, mają ogromny wpływ na budowanie świadomości bezpieczeństwa od samego początku zatrudnienia, poprzez szkolenia i polityki dotyczące pracowników.

Dlaczego są ważne w kontekście bezpieczeństwa?
Mają realny wpływ na dobór osób o odpowiednich postawach i kompetencjach. To HR wprowadza nowych pracowników w kulturę organizacyjną, w tym zasady bezpieczeństwa. Jeśli procesy HR nie uwzględniają bezpieczeństwa (np. brak background check, brak szkoleń wstępnych, brak klauzul poufności w umowach), powstają luki trudne do załatania na późniejszych etapach.

Zespoły operacyjne i biznesowe (np. produkcja, obsługa klienta)

To oni na co dzień stykają się z danymi i systemami. Ich uwagi i doświadczenia są bezcenne w identyfikowaniu realnych zagrożeń i usprawnianiu procedur.

Dlaczego są ważne w kontekście bezpieczeństwa?
To pracownicy operacyjni decydują, czy polityki bezpieczeństwa będą stosowane w praktyce. Ich wiedza o realnych procesach wytwórczych i biznesowych jest kluczowa przy ocenie ryzyka i projektowaniu użytecznych zabezpieczeń. Często to oni znajdą luki w procesach, o których nikt wcześniej nie pomyślał.

Nieformalni liderzy

W każdej firmie są osoby, które, choć nie zajmują wysokich stanowisk, mają naturalny autorytet i wpływ na swoich współpracowników. Zaangażowanie ich w promowanie bezpieczeństwa może przynieść znacznie lepsze efekty niż odgórne nakazy.

Dlaczego są ważni w kontekście bezpieczeństwa?
Ponieważ ludzie podążają za autorytetami. Jeśli nieformalny lider wspiera politykę bezpieczeństwa, inni chętniej ją zaakceptują i wdrożą w codziennej pracy.

Sceptycy

Tak, nawet sceptycy są ważni! Pomimo, że ich opór może blokować wdrożenia, mogą być cennym źródłem informacji o realnych problemach i barierach.

Dlaczego są ważni w kontekście bezpieczeństwa?
Bo sceptycy pokazują, gdzie polityka rozmija się z rzeczywistością i zmuszają do weryfikacji rozwiązań. Ich pytania i wątpliwości mogą pomóc zidentyfikować słabe punkty w planach i sprawić, że rozwiązania będą bardziej przemyślane i odporne na krytykę. Ignorowanie sceptyków to prosta droga do oporu i braku akceptacji.

Co interesariusze wnoszą do bezpieczeństwa?

Każdy interesariusz, ze względu na swoją rolę i perspektywę, wnosi unikalne elementy, które wzbogacają ISMS.

Wartości i cele - jakie są ich oczekiwania wobec bezpieczeństwa?

► Zarząd - stabilność biznesowa, zgodność z regulacjami, ochrona reputacji, minimalizacja strat finansowych.

► Pracownicy - sprawność działania systemów, łatwość dostępu do zasobów, pewność, że ich dane (np. kadrowe) są bezpieczne, proste i zrozumiałe zasady, a także łatwość codziennej pracy z systemami.

► Klienci - ochrona ich danych osobowych i finansowych, zaufanie do firmy.

► Regulatorzy - pełna zgodność z obowiązującymi przepisami prawa.

Obawy i ograniczenia - co może ich blokować lub zniechęcać?

► Zarząd - wysokie koszty wdrożenia, spowolnienie procesów biznesowych, brak zrozumienia dla technicznych aspektów.

► Pracownicy - zbyt skomplikowane procedury, ograniczanie swobody działania, poczucie inwigilacji, obawa przed błędami i konsekwencjami.

► Działy biznesowe - konflikt między potrzebami bezpieczeństwa a elastycznością biznesową, opóźnienia w realizacji projektów.

► Dostawcy - potrzeba dostosowania się do restrykcyjnych wymagań klienta, dodatkowe koszty audytów.

Perspektywy i potrzeby - czego potrzebują, by włączyć się w działania?

► Zarząd - jasne raporty o ryzykach i korzyściach, uzasadnienie biznesowe dla inwestycji w bezpieczeństwo.

► Pracownicy - proste i intuicyjne narzędzia, regularne, zrozumiałe szkolenia, świadomość celu, dla którego wdrażane są procedury bezpieczeństwa.

► Działy IT - wystarczające zasoby (ludzkie i finansowe), wsparcie Zarządu, możliwość testowania nowych rozwiązań.

► Klienci - przejrzysta polityka prywatności, pewność, że w przypadku incydentu zostaną szybko poinformowani.

Jak ISMS powinien uwzględniać ich głos?

Skuteczny ISMS nie może być tworzony w oderwaniu od rzeczywistości organizacyjnej. Włączenie interesariuszy w proces jego budowy i doskonalenia jest kluczowe.

Etapy, w których interesariusze powinni być uwzględniani

► Identyfikacja ryzyka - kto lepiej oceni ryzyka niż ci, którzy na co dzień pracują z danymi i systemami? Warsztaty z udziałem różnych działów (np. sprzedaży, marketingu, HR) mogą ujawnić nieoczywiste zagrożenia.

► Tworzenie polityk i procedur - zasady powinny być praktyczne i wykonalne. Konsultacje z ich przyszłymi użytkownikami pomogą uniknąć tworzenia „martwych” dokumentów, których nikt nie przestrzega.

► Komunikacja i edukacja - informacje o bezpieczeństwie muszą być dostosowane do odbiorców. Szkolenia i kampanie uświadamiające powinny odpowiadać na realne potrzeby i obawy pracowników.

► Audyty i doskonalenie - informacje zwrotne od interesariuszy są bezcenne w procesie ciągłego ulepszania ISMS. Audyty to nie tylko sprawdzanie zgodności, ale też okazja do zrozumienia i weryfikacji, jak i czy procedury działają.

Jak ich angażować w praktyce?

Istnieje wiele narzędzi i metod, które mogą pomóc zebrać i uwzględnić głos interesariuszy.

Przykłady metod angażowania

► Warsztaty i spotkania robocze - doskonałe do identyfikacji problemów i wspólnego wypracowywania rozwiązań.

► Mapy interesariuszy - pomagają wizualizować, kto ma wpływ, kto jest zainteresowany i jakie są relacje między grupami. Umożliwiają systematyczne zarządzanie komunikacją.

► Ankiety i wywiady - pozwalają zebrać opinie na dużą skalę, zidentyfikować powtarzające się problemy i ocenić poziom świadomości.

► Burze mózgów - świetne do generowania kreatywnych rozwiązań i włączenia perspektyw różnych osób.

► Regularne kanały komunikacji - biuletyny, intranet, spotkania działowe - dbaj o to, by temat bezpieczeństwa był obecny
w codziennej komunikacji.

Ryzyko wykluczenia lub ignorowania

Co się dzieje, gdy budujemy ISMS w oderwaniu od rzeczywistości, przekonaniu o własnej nieomylności i bez konsultacji z interesariuszami? Konsekwencje mogą być znacznie poważniejsze niż tylko „niepowodzenie projektu”.

Co się dzieje, gdy ISMS powstaje bez konsultacji?

► Brak akceptacji i opór - pracownicy mogą sabotować procedury, bo nie rozumieją ich sensu lub uważają je za zbędne utrudnienie. W końcu nikt nie lubi, gdy coś jest mu narzucane, zwłaszcza jeśli jedyną zauważalną dla zwykłego pracownika różnicą jest utrudnienie codziennej pracy.

► Niska skuteczność wdrożeń - systemy mogą być teoretycznie bezpieczne, ale w praktyce nieefektywne, bo nie uwzględniają realnych potrzeb użytkowników lub procesów biznesowych. Może to prowadzić do obchodzenia procedur.

► Złudne poczucie zgodności - firma może mieć wszystkie wymagane dokumenty, ale w rzeczywistości jej bezpieczeństwo będzie dziurawe, bo procedury nie są stosowane lub są źle dopasowane do organizacji.

► Konflikty wewnętrzne - brak komunikacji i zrozumienia między działami prowadzi do napięć i niepotrzebnych sporów, np. między IT a działami biznesowymi.

► Ryzyko niezidentyfikowanych zagrożeń - brak perspektywy osób na co dzień stykających się z operacjami biznesowymi może skutkować pominięciem kluczowych zagrożeń, które mogą prowadzić do incydentów.

Przykłady konfliktów, oporu lub nieskutecznych wdrożeń

► Wdrożenie nowego systemu haseł z bardzo skomplikowanymi wymaganiami bez edukacji i wytłumaczenia sensu, co prowadzi do zapisywania haseł na karteczkach.

► Polityka „czystego biurka” wprowadzona bez konsultacji z pracownikami, którzy potrzebują notatek do codziennej pracy, co skutkuje frustracją i ignorowaniem zasad.

► System monitoringu aktywności pracowników bez jasnego określenia jego celów i zakresu, budzący poczucie inwigilacji
i spadek morale.

Lider bezpieczeństwa jako moderator głosu interesariuszy

Rola lidera cyberbezpieczeństwa (CISO) ewoluuje. Nie jest już tylko „informatykiem” odpowiedzialnym za technologię.
W dzisiejszej rzeczywistości musi on stać się zarówno strategiem, edukatorem, a przede wszystkim moderatorem. Co to tak naprawdę znaczy?

Rola lidera nie tylko jako eksperta, ale facylitatora

► Słuchanie aktywne - to kluczowa umiejętność. Trzeba słuchać nie tylko tego, co jest mówione, ale i tego, co jest przemilczane. Rozumienie obaw i perspektyw innych jest niezbędne.

► Tłumaczenie języka technicznego na język biznesu - umiejętność przedstawienia złożonych zagadnień bezpieczeństwa w sposób zrozumiały dla zarządu i innych działów to podstawa. Należy pokazywać ryzyka i korzyści w kontekście biznesowym.

► Przekładanie perspektyw na działania - zebrane opinie i obawy muszą być przetworzone na konkretne działania w ISMS. Zadaniem lidera bezpieczeństwa jest znalezienie balansu między różnymi potrzebami a zapewnieniem bezpieczeństwa.

► Budowanie mostów, nie murów - lider bezpieczeństwa powinien łączyć, a nie dzielić. Ważne jest, aby tworzyć kulturę współpracy i wzajemnego zrozumienia, zamiast narzucać rozwiązania.

Podsumowanie

Skuteczny ISMS to nie zestaw sztywnych reguł, ale żywy organizm, który wymaga ciągłego dialogu i adaptacji. Im więcej głosów, im więcej zrozumienia, tym silniejsze i bardziej odporne będzie nasze bezpieczeństwo.

Czy jesteś gotów, aby włączyć wszystkie głosy w Twojej firmie w dyskusję o bezpieczeństwie?

Marta Gach

Specjalistka PMO | Edukatorka cyberświadomości | Media i profilaktyka

CyberShieldON – gdy wiedza spotyka decyzję.
Tutaj cyberbezpieczeństwo to nie tylko technologia, ale też konsekwencje wyborów, ryzyko systemowe i odpowiedzialność.
Łączymy doświadczenie z projektów z refleksją nad tym, jak naprawdę działa organizacja i jak ją chronić.

Dzielimy się praktyką, która wytrzymała presję, oraz pytaniami, które zmieniły kierunek działania.

Jeśli tworzysz systemy, zarządzasz bezpieczeństwem, projektujesz architekturę – znajdziesz tu wsparcie, które nie zatrzymuje się na poziomie technologicznym.

Nowe artykuły – regularnie na cybershieldon.pl

Kto ma coś do powiedzenia w sprawie bezpieczeństwa?