Nauczanie zarządzania bezpieczeństwem informacji: standardy i sposoby nauczania

Rafał Leszczyna

Politechnika Gdańska, Wydział Zarządzania i Ekonomii

Eksperci zajmujący się bezpieczeństwem informacji podzielają stanowisko, że najbardziej krytycznym
ogniwem w ochronie informacji wewnątrz organizacji, sąjej pracownicy. Posiadają bowiem regularny
dostęp do zasobów informacyjnych i albo brakuje im wiedzy niezbędnej do ich zabezpieczenia albo
znają sposoby ominięcia środków bezpieczeństwa, co w obu przypadkach prowadzi do tego samego
rezultatu jakim jest narażenie aktywów informacyjnych na zagrożenia.
Jednocześnie, w większości organizacji środki finansowe przeznaczone na zapewnianie
bezpieczeństwa kieruje sięna rozwiązania techniczne. Wynika to z faktu, że metody techniczne są
dobrze zdefiniowane (w ten sposób – zrozumiałe) i dają złudzenie, że ich zastosowanie rozwiąże
wszystkie problemy bezpieczeństwa. Popularnym przekonaniem jest, że nabycie programu
antywirusowego, zapory ogniowej, czy ochrony przed złośliwym oprogramowaniem jest całkowicie
wystarczające do zapewnienia bezpieczeństwa informacji.
Takie podejście okazuje się jednak nieskuteczne. Badania pokazują, że pomimo stopniowo rosnących
inwestycji w techniczne środki bezpieczeństwa, liczba włamań zgłaszanych w ciągu roku nadal rośnie.
Dodatkowo większość naruszeń bezpieczeństwa jest spowodowanych przez osoby z wewnątrz
organizacji. W rezultacie okazuje się, że rozwiązania techniczne nie uczynią systemu informacyjnego
bardziej bezpiecznym niż działania ludzi, którzy z nich korzystają, bo niewłaściwe praktyki
użytkowników pokonają nawet najbardziej starannie zaplanowany system zabezpieczeń.
Znaczenie edukacji, szkoleń i podnoszenia świadomości jest dziś powszechnie uznane w dziedzinie
cyberbezpieczeństwa. Odpowiednie wymagania bezpieczeństwa oraz środki kontrole opisane są w
większości, jeśli nie wszystkich standardach bezpieczeństwa. Liczba inicjatyw edukacyjnych rośnie.
W artykule zaprezentowano wymagania bezpieczeństwa informacji i środki kontrolne zidentyfikowane
w obowiązujących standardach dotyczących bezpieczeństwa informacji, a następnie przedstawiono
studium przypadku nauczania zarządzania bezpieczeństwem informacji na Wydziale Zarządzania i
Ekonomii Politechniki Gdańskiej.