Raport pokazuje zasady programu bezpieczeństwa począwszy od powołania nowoczesnego zespołu ds. bezpieczeństwa informacji, aż po zarządzanie cyklem życia zagrożeń z cyberprzestrzeni, występujących w dzisiejszych globalnych przedsiębiorstwach. W ciągu ostatnich 18 miesięcy odnotowano znaczne zmiany w ogólnych wymaganiach dotyczących skuteczności działania zespołów ds. bezpieczeństwa informacji. Zmiany te zostały wymuszone upowszechnieniem się w środowiskach biznesowych różnych form komunikacji sieciowej, pojawianiem się nowych zagrożeń, wdrażaniem nowych technologii oraz wprowadzaniem coraz bardziej restrykcyjnych przepisów. W związku z tym zmieniają się zakresy działań i obowiązków zespołów ds. bezpieczeństwa informacji w przedsiębiorstwach.
- W najnowszym raporcie pt. „Transforming Information Security: Designing a State-of-the Art Extended Team” (Zmiana zasad zapewniania bezpieczeństwa informacji: tworzenie nowoczesnego zespołu) stwierdzono, że zespoły ds. bezpieczeństwa informacji muszą się rozwijać i zdobywać kwalifikacje, które w dziedzinie zapewniania bezpieczeństwa nie były wcześniej potrzebne. Są to między innymi umiejętność zarządzania ryzykiem biznesowym oraz wiedza z zakresu prawa, marketingu, matematyki i zakupów.
- System zapewniania bezpieczeństwa informacji musi także obejmować model wspólnej odpowiedzialności, w ramach którego odpowiedzialność za zabezpieczanie zasobów informacyjnych jest ponoszona wspólnie z menadżerami i dyrektorami działów biznesowych przedsiębiorstwa. Kierownictwa firm zaczynają rozumieć, że w dzisiejszych czasach ryzyko biznesowe obejmuje również zagrożenia z cyberprzestrzeni. W zespołach ds. bezpieczeństwa występują braki w wielu kompetencjach technicznych i biznesowych niezbędnych do realizowania rozszerzonego zakresu obowiązków spoczywających na tych zespołach. Konieczne więc będzie opracowanie nowych strategii zdobywania i pogłębiania takich kompetencji we własnym zakresie, a także korzystania z wiedzy specjalistycznej usługodawców zewnętrznych.
Aby pomóc przedsiębiorstwom w stworzeniu nowoczesnego zespołu ds. bezpieczeństwa, rada SBIC sformułowała siedem zaleceń:
- Ponowne zdefiniowanie i rozwój podstawowych kompetencji ―zespół główny powinien poszerzać kwalifikacje w czterech dziedzinach: analiza zagrożeń z cyberprzestrzeni oraz danych nt. bezpieczeństwa; zarządzanie danymi nt. bezpieczeństwa; doradztwo w zakresie ryzyka oraz projektowanie i wdrażanie mechanizmów kontroli.
- Delegowanie czynności rutynowych ― należy powierzać wykonywanie powtarzalnych, sprawdzonych procesów z zakresu zapewniania bezpieczeństwa działowi informatyki, jednostkom biznesowym i/lub usługodawcom zewnętrznym.
- Wypożyczanie lub wynajmowanie ekspertów ― w określonych specjalizacjach należy uzupełniać główny zespół ekspertami wewnętrznymi i zewnętrznymi.
- Kierowanie właścicielami ryzyka w zakresie zarządzania ryzykiem ― należy współpracować z jednostkami biznesowymi w zakresie zarządzania ryzykiem zagrażającym bezpieczeństwu w cyberprzestrzeni oraz koordynować wypracowywanie spójnego podejścia.
- Wynajmowanie specjalistów ds. optymalizacji procesów ― należy zadbać o to, aby w zespole znaleźli się specjaliści z doświadczeniem i certyfikatami w zakresie zarządzania jakością, projektami lub programami, optymalizacji procesów i świadczenia usług.
- Budowanie kluczowych relacji ― należy zdobywać zaufanie kluczowych podmiotów oraz możliwości wywierania na nie wpływu. Do podmiotów takich należą właściciele kluczowych procesów, kierownictwo średniego szczebla oraz usługodawcy zatrudniani na zasadzie outsourcingu.
- Dbałość o rozwijanie kwalifikacji pracowników z myślą o przyszłych potrzebach ― z uwagi na brak potrzebnych specjalistów, w przypadku większości przedsiębiorstw, jedynym przyszłościowym rozwiązaniem jest rozwój kwalifikacji pracowników. Szczególnie przydatne będzie zdobywanie umiejętności w dziedzinach, takich jak tworzenie oprogramowania, analiza biznesowa, zarządzanie finansami, wywiad wojskowy, prawo, ochrona danych osobowych, analityka danych oraz złożona analiza statystyczna.
autor: Mariola Czapkiewicz/EMC