Рискове, бизнес, технологии – кой разбира от всичко
Информационната сигурност не е механически, а бизнес проблем. Тази максима все по-често се трансформира в разграничителна линия сред сполучливите и провалените планове, а цената на неуспехите пораства с всяка минала година и придобива от ден на ден измерения - финансови, регулаторни, репутационни. В същото време самото й осъзнаване надалеч не е решение на проблемите, в случай че то не се трансформира в основа на стратегически модел, който да подсигурява нейното използване на процедура. За да се случи това обаче, е нужно една организация да разполага с гений, който владее изкуството да ръководи риска - познание, присъщо за хората, които познават еднообразно добре бизнес процесите и софтуерните провокации пред осведомителната сигурност.
Директорът по сигурността излиза на сцената
Седемдесет % от интервюираните организации в профилираното проучване на ServiceNow и Oxford Economics - The Global CISO Study " How Leading Organizations Respond to Security Threats and Keep Data Safe " - изпитват компликации да приоритизират сигналите за проблеми със сигурността въз основа на значимостта на атакуваните данни. Опитите да се отговори с идентична мощ и приоритет на всички закани по едно и също време, изясняват анализаторите, може да сковава изцяло всяка компания. Тук на сцената излиза шефът по сигурността.
Директорът по сигурността е заварката сред бизнес хората и осведомителната сигурност. Той е посредник и в същото време дава отговор за цялостната тактика за ръководство на осведомителната сигурност, за препоръките към бизнес звената и тяхното образование, както и за това рискът да бъде ръководен сложно и изцяло. Ако няма вярно схващане за рисковете и то не потегля от бизнеса, това неизбежно води до проблеми.
" Тази позиция е извънредно значима, защото тя е връзката сред бизнеса и осведомителната сигурност. Без нея фокусът се измества към технологиите и се получава по този начин, че друг вид ИТ експерти се пробват да решат проблемите най-вече на софтуерно и продуктово равнище - осъществяват се разнообразни принадлежности, само че това не взема решение провокациите пред бизнес рисковете ", изяснява Борис Гончаров, Chief Strategy Officer в компанията за осведомителна сигурност Amatas. И прибавя: " Директорът по сигурността е заварката сред бизнес хората и осведомителната сигурност. Той е посредник и в същото време дава отговор за цялостната тактика за ръководство на осведомителната сигурност, за препоръките към бизнес звената и тяхното образование, както и за това рискът да бъде ръководен сложно и изцяло. Ако няма вярно схващане за рисковете и то не потегля от бизнеса, това неизбежно води до проблеми. "
И резултатите от проучването на ServiceNow и Oxford Economics удостоверяват това - 81% от участниците са мощно загрижени, че откритите нарушавания не се адресират в задоволителна степен от техните организации.
Отговорности на шефа по сигурността Бизнес - оценка на имплементираните технологии; съвещания във връзка с сигурността при цифрова трансформация; препоръки за сигурен преход към облачни технологии; подкрепяне на бизнес планове, нуждаещи се от насоки за сигурност; създаване на тактики, стратегии и проекти за сигурност по отношение на бизнес нуждите; изследване на зараждащите киберзаплахи и опасности. Управление - надзор на стратегиите и проектите за киберсигурност; ръководство на организацията за киберсигурност; контрол над интервенциите, свързани със сигурността; образуване на образования по киберсигурност, съгласуваност на отговора при киберинциденти; ръководство на връзките с доставчиците на принадлежности за киберсигурност. Контрол на риска - дефиниране на рамката и методологията за ръководство на риска; разбор и количествено установяване на риска; установяване и следене на главните знаци на риска; разбор на цената на киберрисковете; пресмятане на риска при веригата за доставки и снабдители от трети страни; мониторинг и докладване на рисковете пред сигурността. Съответствие - ръководство на одитите на сигурността и тестванията на системите; оценка на законовото сходство на трети страни; разработка на политики, процедури и ръководства; дефиниране на рамката за киберсигурност; оценка на контролите за сигурност. От всичко по доста
Многобройните и сложни условия, които би трябвало да покрива един шеф по сигурността, трансформират откриването на подобаващ гений в извънредно комплицирана задача. " Един сходен експерт би трябвало да е наясно с бизнеса - по какъв начин действа организацията в елементи, какви са процесите, по какъв начин протичат, какви са бизнес задачите ѝ и по какъв начин счита да ги осъществя, какви са нейните стратегически хоризонти. Също по този начин би трябвало да е наясно по какъв начин организацията се развива във финансово отношение. Това са бизнес умения от най-голям порядък, които се получават с опит, а освен с доктрина. От друга страна, са нужни механически умения, тъй като няма по какъв начин някой да поучава хората по тематики, които самичък не схваща или схваща незадълбочено. Разбира се, това не значи, че шефът по сигурността би трябвало да бъде експерт във всяка област. Той би трябвало да може да интерпретира, да схваща подтекста и детайлите ", изяснява специалистът по осведомителна сигурност от Amatas.
Но и това не е задоволително. За да бъде в действителност сполучлив, шефът по сигурността би трябвало да може да ръководи измененията и да възпитава и постанова организационна просвета във връзка с осведомителната сигурност, което стеснява значително кръга от експерти, които могат да влязат безпроблемно в тази роля.
Виртуалният шеф като решение
В тази обстановка пред фирмите има няколко благоприятни условия. На първо място, те могат да влагат в основаването на вътрешен експерт. За построяването на всички тези качества у един човек обаче са нужни години и съществени вложения, а голямото търсене на сходни фрагменти слага на дневен ред и казуса със запазването на към този момент построения гений.
Организациите също по този начин имат опция да наемат подготвен експерт, само че такива не се намират елементарно, а и са едни от най-скъпо платените в областта на киберсигурността.
В момента се намираме в тотално друга промишленост в общия смисъл на думата. Тази среда допуска да се раждат непрекъснато нови компании, които основават артикули или услуги. Трима души могат да основат артикул, който се употребява от милиони. Компанията сама по себе си е дребна, само че експозицията на риска е голяма. Това би трябвало да е отправната точка Четено Коментирано Препоръчвано 1 Пазар на труда 2 Банки и финанси 3 Политика 1 Банки и финанси 2 Политика 3 Право 1 Банки и финанси 2 Право 3 Свят
" Алтернативният вид е обвързван с наемането на външен експерт - виртуален шеф по сигурността. Това значи организацията да огледа от позиция на условията за длъжността, на дейностите, които би трябвало да бъдат изпълнявани, и те да бъдат дистрибутирани по отношение на някакъв екип от експерти, които разполагат с нужната експертиза. Това е самобитен аутсорсинг на сигурността, който се употребява от груповия опит, насъбран от профилираните в областта на киберсигурността компании. Тук скритата изгода идва от това, че този човек или група от хора работят с голям брой организации и непрекъснато вземат решение разнообразни проблеми. Получава се едно струпване на познания, което няма по какъв начин да се случи в различен вид компании ", безапелационен е Борис Гончаров.
По думите му всяко едно деяние в посока цифрова промяна, което не бъде премислено в подтекста на осведомителната сигурност, неизбежно води до колапс на организацията. Това осмисляне пък няма по какъв начин да се случи, " в случай че няма човек или група от хора, които могат да обвържат бизнес риска и решенията за осведомителна сигурност ".
Размерът няма значение
След като подсигуряването на сходен гений се оказва толкоз трудоемко начинание, разумно идва въпросът какъв вид организации в действителност има потребност от шеф по сигурността. Има ли значение размерът или сферата, в която оперират? Отговорът - изрично не! Значение има само експозицията на риска.
Директорът по сигурността излиза на сцената
Седемдесет % от интервюираните организации в профилираното проучване на ServiceNow и Oxford Economics - The Global CISO Study " How Leading Organizations Respond to Security Threats and Keep Data Safe " - изпитват компликации да приоритизират сигналите за проблеми със сигурността въз основа на значимостта на атакуваните данни. Опитите да се отговори с идентична мощ и приоритет на всички закани по едно и също време, изясняват анализаторите, може да сковава изцяло всяка компания. Тук на сцената излиза шефът по сигурността.
Директорът по сигурността е заварката сред бизнес хората и осведомителната сигурност. Той е посредник и в същото време дава отговор за цялостната тактика за ръководство на осведомителната сигурност, за препоръките към бизнес звената и тяхното образование, както и за това рискът да бъде ръководен сложно и изцяло. Ако няма вярно схващане за рисковете и то не потегля от бизнеса, това неизбежно води до проблеми.
" Тази позиция е извънредно значима, защото тя е връзката сред бизнеса и осведомителната сигурност. Без нея фокусът се измества към технологиите и се получава по този начин, че друг вид ИТ експерти се пробват да решат проблемите най-вече на софтуерно и продуктово равнище - осъществяват се разнообразни принадлежности, само че това не взема решение провокациите пред бизнес рисковете ", изяснява Борис Гончаров, Chief Strategy Officer в компанията за осведомителна сигурност Amatas. И прибавя: " Директорът по сигурността е заварката сред бизнес хората и осведомителната сигурност. Той е посредник и в същото време дава отговор за цялостната тактика за ръководство на осведомителната сигурност, за препоръките към бизнес звената и тяхното образование, както и за това рискът да бъде ръководен сложно и изцяло. Ако няма вярно схващане за рисковете и то не потегля от бизнеса, това неизбежно води до проблеми. "
И резултатите от проучването на ServiceNow и Oxford Economics удостоверяват това - 81% от участниците са мощно загрижени, че откритите нарушавания не се адресират в задоволителна степен от техните организации.
Отговорности на шефа по сигурността Бизнес - оценка на имплементираните технологии; съвещания във връзка с сигурността при цифрова трансформация; препоръки за сигурен преход към облачни технологии; подкрепяне на бизнес планове, нуждаещи се от насоки за сигурност; създаване на тактики, стратегии и проекти за сигурност по отношение на бизнес нуждите; изследване на зараждащите киберзаплахи и опасности. Управление - надзор на стратегиите и проектите за киберсигурност; ръководство на организацията за киберсигурност; контрол над интервенциите, свързани със сигурността; образуване на образования по киберсигурност, съгласуваност на отговора при киберинциденти; ръководство на връзките с доставчиците на принадлежности за киберсигурност. Контрол на риска - дефиниране на рамката и методологията за ръководство на риска; разбор и количествено установяване на риска; установяване и следене на главните знаци на риска; разбор на цената на киберрисковете; пресмятане на риска при веригата за доставки и снабдители от трети страни; мониторинг и докладване на рисковете пред сигурността. Съответствие - ръководство на одитите на сигурността и тестванията на системите; оценка на законовото сходство на трети страни; разработка на политики, процедури и ръководства; дефиниране на рамката за киберсигурност; оценка на контролите за сигурност. От всичко по доста
Многобройните и сложни условия, които би трябвало да покрива един шеф по сигурността, трансформират откриването на подобаващ гений в извънредно комплицирана задача. " Един сходен експерт би трябвало да е наясно с бизнеса - по какъв начин действа организацията в елементи, какви са процесите, по какъв начин протичат, какви са бизнес задачите ѝ и по какъв начин счита да ги осъществя, какви са нейните стратегически хоризонти. Също по този начин би трябвало да е наясно по какъв начин организацията се развива във финансово отношение. Това са бизнес умения от най-голям порядък, които се получават с опит, а освен с доктрина. От друга страна, са нужни механически умения, тъй като няма по какъв начин някой да поучава хората по тематики, които самичък не схваща или схваща незадълбочено. Разбира се, това не значи, че шефът по сигурността би трябвало да бъде експерт във всяка област. Той би трябвало да може да интерпретира, да схваща подтекста и детайлите ", изяснява специалистът по осведомителна сигурност от Amatas.
Но и това не е задоволително. За да бъде в действителност сполучлив, шефът по сигурността би трябвало да може да ръководи измененията и да възпитава и постанова организационна просвета във връзка с осведомителната сигурност, което стеснява значително кръга от експерти, които могат да влязат безпроблемно в тази роля.
Виртуалният шеф като решение
В тази обстановка пред фирмите има няколко благоприятни условия. На първо място, те могат да влагат в основаването на вътрешен експерт. За построяването на всички тези качества у един човек обаче са нужни години и съществени вложения, а голямото търсене на сходни фрагменти слага на дневен ред и казуса със запазването на към този момент построения гений.
Организациите също по този начин имат опция да наемат подготвен експерт, само че такива не се намират елементарно, а и са едни от най-скъпо платените в областта на киберсигурността.
В момента се намираме в тотално друга промишленост в общия смисъл на думата. Тази среда допуска да се раждат непрекъснато нови компании, които основават артикули или услуги. Трима души могат да основат артикул, който се употребява от милиони. Компанията сама по себе си е дребна, само че експозицията на риска е голяма. Това би трябвало да е отправната точка Четено Коментирано Препоръчвано 1 Пазар на труда 2 Банки и финанси 3 Политика 1 Банки и финанси 2 Политика 3 Право 1 Банки и финанси 2 Право 3 Свят
" Алтернативният вид е обвързван с наемането на външен експерт - виртуален шеф по сигурността. Това значи организацията да огледа от позиция на условията за длъжността, на дейностите, които би трябвало да бъдат изпълнявани, и те да бъдат дистрибутирани по отношение на някакъв екип от експерти, които разполагат с нужната експертиза. Това е самобитен аутсорсинг на сигурността, който се употребява от груповия опит, насъбран от профилираните в областта на киберсигурността компании. Тук скритата изгода идва от това, че този човек или група от хора работят с голям брой организации и непрекъснато вземат решение разнообразни проблеми. Получава се едно струпване на познания, което няма по какъв начин да се случи в различен вид компании ", безапелационен е Борис Гончаров.
По думите му всяко едно деяние в посока цифрова промяна, което не бъде премислено в подтекста на осведомителната сигурност, неизбежно води до колапс на организацията. Това осмисляне пък няма по какъв начин да се случи, " в случай че няма човек или група от хора, които могат да обвържат бизнес риска и решенията за осведомителна сигурност ".
Размерът няма значение
След като подсигуряването на сходен гений се оказва толкоз трудоемко начинание, разумно идва въпросът какъв вид организации в действителност има потребност от шеф по сигурността. Има ли значение размерът или сферата, в която оперират? Отговорът - изрично не! Значение има само експозицията на риска.
Източник: capital.bg
КОМЕНТАРИ