Kontrola dostępu to nie system, lecz proces

W świecie, w którym bezpieczeństwo często sprowadza się do zakupu technologii czy odhaczenia formalnych wymogów, łatwo przeoczyć sedno – odporność organizacji. Grzegorz Szulc, prezes Vemco, przekonuje, że prawdziwa kontrola dostępu to nie zestaw urządzeń, lecz proces wpisany w codzienne funkcjonowanie firmy. Opowiada o zmianie myślenia o bezpieczeństwie, nowych regulacjach i o tym, dlaczego kontrola dostępu to inwestycja w rozwój, a nie koszt.

„Nie system. Proces” – co kryje się za tym hasłem?

To przede wszystkim zmiana perspektywy. Kontrola dostępu nie powinna zaczynać się od planu architektonicznego obiektu i zakupu urządzeń, lecz od analizy tego, co w organizacji jest naprawdę istotne. Najpierw musimy zrozumieć, jakie procesy chcemy chronić, jakie są zagrożenia i jakie konsekwencje może nieść ich materializacja. Dopiero potem dobieramy środki techniczne, organizacyjne czy prawne.

Unijne dyrektywy CER i NIS2 to wyzwanie czy szansa?

Zdecydowanie szansa. Te regulacje pozwalają spojrzeć na bezpieczeństwo w sposób całościowy – obejmują procesy, procedury i dopiero w ostatnim kroku technologie. Owszem, nakładają obowiązki, ale też dają przestrzeń do planowania i stopniowego podnoszenia odporności. Ustawodawca stawia na racjonalność i proporcjonalność środków, a także na długofalowe planowanie. To zmiana myślenia z reaktywnego na proaktywne. Firmy zyskują impuls, by uporządkować procesy i budować odporność krok po kroku.

Czy w takim razie można dziś mówić o bezpieczeństwie bez myślenia w kategoriach procesu długofalowego?

Dziś to niemożliwe. Dynamika zmian – od geopolityki, przez akty sabotażu, po rozwój technologii – sprawia, że system wdrożony „tu i teraz” szybko się dezaktualizuje. Dlatego potrzebne jest podejście iteracyjne: ciągłe doskonalenie, dostosowywanie do nowych warunków i rozwój. Ważny jest też czynnik ludzki – świadomość i odpowiedzialność pracowników przesądzają o skuteczności systemów.

Wielu menedżerów uważa kontrolę dostępu za koszt. Jak ich przekonać, że to inwestycja w rozwój organizacji?

Najlepiej obrazowo: pasy bezpieczeństwa czy poduszki powietrzne wydają się kosztem – dopóki nie uratują życia. Systemy bezpieczeństwa chronią przed stratami, które mogą być wielokrotnie wyższe niż sama inwestycja. Co więcej, ich wdrożenie zwykle porządkuje procesy i eliminuje nieefektywności, co przekłada się na lepsze wyniki finansowe. Ważne jest też oszacowanie ryzyka i policzenie, ile będą kosztować konsekwencje braku działania. Warto też pamiętać o sankcjach przewidzianych za zaniedbania – to mocny argument w rozmowie z zarządami.

Jak wygląda cykl inwestycyjny w praktyce?

Zaczynamy od identyfikacji kluczowych aktywów i analizy ryzyka, które wyznaczają priorytety działań. Następnie planujemy rozwiązania – techniczne i organizacyjne – a potem przechodzimy do decyzji inwestycyjnych, wdrożenia, testów i szkoleń. Kolejne etapy to codzienna eksploatacja, monitoring i raportowanie, pozwalające utrzymać system w sprawności. Najczęstsze pułapki to przecenianie technologii kosztem ludzi i procedur, presja czasu oraz brak mierników skuteczności.

Od czego zatem zacząć budowanie odporności?

Od świadomości. To fundament. Bez niej nawet najlepsze narzędzia nie zadziałają. Pierwszym krokiem powinien być rzetelny audyt – wewnętrzny lub z udziałem ekspertów –który pokaże zagrożenia i ryzyka. Dopiero na tej podstawie można planować działania i dobierać rozwiązania adekwatne do potrzeb oraz możliwości organizacji. •