Polityka Bezpieczeństwa Informacji – to pojęcie od kilku lat cieszy się rosnącym zainteresowaniem biznesowych decydentów. Powierzchowne potraktowanie kwestii ochrony informacji może jednak przynieść więcej szkody niż pożytku. Mówiąc wprost: gorset nieprzemyślanej kontroli przepływu informacji może biznesowi w równym stopniu zaszkodzić, co zbagatelizowanie kwestii polityki bezpieczeństwa.
Stwierdzenie, że w czasach gospodarki opartej na wiedzy przepływ informacji powinien podlegać bezwzględnej ochronie i kontroli, wydaje się być czymś oczywistym. Chronimy i kontrolujemy inne cenne aktywa firmy. Istnieje jednak kilka zasadniczych różnic pomiędzy wiedzą a innymi chronionymi dobrami.
Kradzież wiedzy nie uszczupla stanu posiadania okradzionego, co więcej – wartość idei często zależy od stopnia jej upowszechnienia. Skradziona idea nie nadaje się na ogół donatychmiastowego wykorzystania – trzeba ją najpierw zrozumieć, zaadaptować i wdrożyć w nowym środowisku. Większość dóbr można chronić przed kradzieżą, nie naruszając w zasadniczy sposób ich fundamentalnej użyteczności. Wykorzystanie idei i wiedzy, szczególnie w procesach związanych z kreowaniem produktów i usług na rynkach silnie konkurencyjnych (na przykład nowoczesne usługi bankowe, media czy rynek IT), powoduje na ogół konieczność intensywnego ich komunikowania, co często stoi w sprzeczności z metodami ochrony informacji polegającymi na reglamentacji dostępu.
Poznaj historię największego portalu rekrutacyjnego w Polsce! »
Fundamenty ochrony wiedzy
Jak zatem chronić wiedzę? Oto kilka praktycznych rad:
Niska rotacja kluczowych kadr to podstawa do skutecznej ochrony wiedzy. Pomimo rozwoju metod i narzędzi zarządzania wiedzą, wciąż ogromna większość najcenniejszej wiedzy decydującej o skuteczności biznesowej to wiedza „zarządzana” w głowach pracowników. Jednocześnie, nawet w najbardziej wyrafinowanych systemach zabezpieczeń najsłabszym ogniwem pozostaje zawsze człowiek. Dlatego lojalność pracowników, ich motywacja do wspierania sukcesu własnej firmy oraz trwałość ich związku z firmą stanowią podstawowy sposób na ochronę kapitału intelektualnego.
Drugim fundamentem skutecznej ochrony wiedzy jest respektowanie intelektualnego dorobku pracowników. Wymaga to honorowania i promowania autorskiego wkładu pracowników oraz zespołów w opracowania firmy. Jeżeli firma dąży do anonimowości jej najważniejszych dokonań, a istniejący w praktyce firmy system wartości toleruje żerowanie przełożonych na sukcesach podwładnych, oznacza to w praktyce zgodę na przywłaszczanie kapitału intelektualnego. Tak „wychowany” pracownik przestaje dzielić się z firmą swoją wiedzą. Zaczyna traktować zdobytą w pracy wiedzę jako zabezpieczenie własnej pozycji i coś, co bez skrupułów można zaoferować nowemu pracodawcy, nie dbając o ochronę interesów firmy, która nie szanuje jego udziału w rozwoju kapitału intelektualnego.
Po trzecie, warto więcej uwagi poświęcać usprawnianiu własnych cykli adaptacyjnych niż usprawnianiu zabezpieczeń i mechanizmów kontroli dostępu do informacji. Warto zadać sobie pytanie – jakie będą konsekwencje poznania przez konkurencję naszych zamierzeń. Czy będzie kopiować nasze pomysły? Być może, jednak na wysoce konkurencyjnych, dynamicznych rynkach powielenie ruchów konkurencji rzadko bywa strategią wygrywającą. Wdrożenie nowych idei nie jest łatwe nawet w organizacjach, które są ich autorami. Rzeczywista innowacja rynkowa często stanowi wyzwanie dla status quo, zmusza ludzi do zmiany modeli mentalnych, prowadzi do przesunięć ośrodków władzy. Wywołuje tarcia, zwłaszcza w organizacji, która nie jest przygotowana do zmiany. Dlatego zachowanie inicjatywy rynkowej (właśnie poprzez intensywne komunikowanie nowych idei, a nie trzymanie ich pod kluczem), zmuszanie konkurencji do dostosowania się do naszych planów to w wielu przypadkach sytuacja bardzo atrakcyjna. Podobnie jak w regatach, to prowadzący stawkę ma w ręku najwięcej opcji wyboru kursu i wykorzystania sprzyjających wiatrów.
Interes klienta – kryterium oceny i najtrudniejsze wyzwanie
Kiedy mamy w ręku fundamenty – kulturę, lojalny zespół i zdolność do szybkich adaptacji – możemy mieć pewność, że wdrożenie polityki bezpieczeństwa informacji nie trafi w próżnię. Tworząc procedury i mechanizmy (prawne oraz techniczne) kontroli wykorzystania informacji, warto teraz skoncentrować się na ochronie informacji decydujących o satysfakcji klienta. Obok wymogów prawa, takich jak ustawy o ochronie tajemnicy państwowej, prawo autorskie lub ustawa o ochronie danych osobowych – to właśnie interesy klientów stanowią najważniejsze kryterium wyznaczające zakres informacji podlegających ochronie oraz adekwatność stosowanych zabezpieczeń. Ten aspekt będzie zupełnie inaczej wyglądał w banku, inaczej w firmie outsourcingowej, a jeszcze inaczej w przypadku instytucji świadczącej usługi medyczne. W każdym wypadku jednak należy w sposób jawny sformułować zasady ochrony informacji bilansujące korzyści oferowane klientowi z oferowanym poziomem ochrony związanych z nim informacji.
Na dzisiejszych rynkach, gdzie klient coraz częściej oczekuje personalizacji usług i produktów, pogodzenie wymagań zarządzania wiedzą o kliencie z ochroną jego prywatności nie jest łatwe. Jakość usług i zdolność ich dostosowania do indywidualnych potrzeb osób i organizacji wymaga przekuwania doświadczeń pochodzących ze współpracy z różnymi klientami na coraz doskonalsze „dobre praktyki”. To zaś narusza w jakimś sensie interes klienta, bo sprawia, że dostawca otrzymuje poza wynagrodzeniem również wiedzę, której beneficjentem będzie kolejny klient (być może konkurent, jeśli klientem jest firma). Dlatego tak bardzo ważne jest jawne zdefiniowanie zasad ochrony i wykorzystania informacji związanych ze współpracą z klientem, takich jak scoring klienta indywidualnego banku, komponenty powstałe w wyniku współpracy w projekcie informatycznym czy pomysły kreatywne powstałe na użytek kampanii reklamowej.
Ochrona tajemnic biznesowych, w tym ochrona kluczowych dla biznesu idei, to zadanie wymagające subtelnego podejścia. Polityka bezpieczeństwa często negatywnie wpływa na swobodę wymiany informacji, a zarządzanie wiedzą nie może istnieć bez otwartej, bogatej jakościowo komunikacji. Oczywiście to nie oznacza, że w gospodarce wiedzy nie ma tajemnic. Warto jednak pamiętać, że efektywność implementacji innowacyjnych idei jest często najlepszym sposobem na ochronę ich wartości, zaś kluczowym ogniwem w ochronie kapitału intelektualnego firmy są ludzie, nie procedury i technologie.
