W nowodębskiej przestrzeni publicznej pojawiła się zaskakująca krytyka szkolenia z zakresu ISO 27001 finansowanego przez gminę. Trudno zrozumieć kwestionowanie zasadności wydatkowania 3 tysięcy złotych na szkolenie tylko dlatego, że dotyczyło ono zastępcy burmistrza Marka Kopcia.
Problem polega na tym, że taka narracja pomija kilka istotnych faktów.
Po pierwsze: nie było to „dowolne szkolenie”. Dotyczyło cyberbezpieczeństwa, audytu i zarządzania ryzykiem – czyli obszarów bezpośrednio związanych z zakresem obowiązków zastępcy burmistrza, który nadzoruje projekt „Cyberbezpieczny Samorząd”.
Po drugie: zarzut, że „to polityk, a nie specjalista”, po prostu nie wytrzymuje zderzenia z rzeczywistością. W tym przypadku mówimy o osobie spełniającej wszystkie wymagane warunki formalne i merytoryczne do udziału w szkoleniu. Co więcej – jedynej w strukturze, która posiada kompetencje na tym poziomie w obszarze cyberbezpieczeństwa i audytu.
Po trzecie: audyt wewnętrzny ISO 27001 nie ma nic wspólnego z potocznym rozumieniem „kontrolowania samego siebie”. Jest to standardowy element systemu zarządzania bezpieczeństwem informacji, służący ocenie zgodności oraz doskonaleniu procesów wewnątrz organizacji. To narzędzie mające na celu poprawę funkcjonowania systemu i ograniczanie ryzyk.
Po czwarte: finansowanie szkoleń pracowników administracji publicznej nie jest niczym wyjątkowym ani kontrowersyjnym. To podstawowy sposób utrzymywania i rozwijania kompetencji tam, gdzie od podejmowanych decyzji zależy bezpieczeństwo danych i systemów informatycznych.
Po piąte: sugerowanie, że w szkoleniu powinien uczestniczyć informatyk, świadczy o całkowitym niezrozumieniu zasad funkcjonowania systemów zarządzania bezpieczeństwem informacji. Audytor wiodący nie pełni roli administratora IT, lecz zajmuje się oceną ryzyk, procesów, procedur oraz skuteczności całego systemu zarządzania wewnątrz organizacji. Szkolenia w tym zakresie są kierowane przede wszystkim do osób odpowiedzialnych za zarządzanie i kontrolę systemu, a nie do pracowników IT, choć wiedza informatyczna w tym obszarze jest konieczna.
Można i należy dyskutować o wydatkowaniu środków publicznych. Jednak trudno traktować poważnie krytykę, która sprowadza się do wniosku, że problemem jest fakt, iż osoba odpowiedzialna za nadzór nad cyberbezpieczeństwem podnosi kwalifikacje właśnie w tym zakresie.
To już nie jest spór o pieniądze. To spór o to, czy chcemy kompetentnej administracji.
Warto oceniać takie sytuacje przez pryzmat rzeczywistych potrzeb organizacji i zakresu wykonywanych obowiązków. W przeciwnym razie łatwo dojść do paradoksalnego wniosku, że problemem nie jest brak kompetencji, lecz sam fakt ich zdobywania.
Redakcja naszanowadeba.pl, obraz wygenerowany przez sztuczną inteligencję CHATGPT
