Gdy w zeszłym roku analizowałem opini moich kolegów z firmy na temat tego, na czym firma powinna się skupić i jakie dostrzegają problemy w branży, miałem mieszane uczucia. Rok później okazało się, że wyniki naszego nowego badania (dostępne poniżej) są jeszcze ciekawsze.
Porównując wyniki tych dwóch badań można odnieść wrażenie, że bezpieczeństwo informacji ogólnie, a zwłaszcza rola szefa działu bezpieczeństwa informacji (ang. Chief Information Security Officer, CISO), stają się w firmie coraz ważniejsze — a przynajmniej według około 300 moich kolegów z tej branży. To zdecydowanie dobry objaw. Podobnie jak fakt, że coraz więcej ankietowanych wymienia obok najważniejszych umiejętności biznesowych zarządzanie ryzykiem.
W jednym punkcie nie mogę się jednak zgodzić z żadnym z moich kolegów. Według niektórych z nich kompetencje techniczne oraz intymna wiedza o firmowych systemach IT to kluczowe umiejętności zarówno w ich pracy, jak i przyszłym rozwoju. Z mojego punktu widzenia nawet jeśli wiedza techniczna jest podstawowym wymogiem dla CISO branża musi uświadomić sobie, że współczesne systemy IT są na tyle skomplikowane, aby mieli oni pełen obraz sytuacji.
Co więcej, systemy informacyjne stają się coraz bardziej wyszukane (i utrzymania się tego trendu spodziewa się większość ankietowanych). Dlatego kompetencje techniczne CISO, mimo że są ważne, ustępują miejsca takim umiejętnościom jak zarządzanie ryzykiem, skuteczne zarządzanie zespołem czy komunikacja biznesowa. Dziś liczy się personel.
Zrozumieć ludzi, nie systemy
W rzeczywistości zarówno systemy IT, jak i technologie zabezpieczające są dziś zbyt wyszukane, aby dać wolną rękę wysoko wyspecjalizowanym zawodowcom w podejmowaniu decyzji kluczowych dla firmy. Oczywiście ta zmiana sprawia, że zaufanie do zespołu jest ważniejsze niż kiedykolwiek wcześniej. Z jednej strony, szef działu bezpieczeństwa informacji musi potrafić zaufać specjalistom z działu. Z drugiej strony jednak, oni również muszą wierzyć w słuszność decyzji CISO — nie mówię tu o ślepej wierze ani braku możliwości wyrażania swojej opinii, ale o dążeniu do dobra wspólnego i wzajemnym szacunku zawodowym.
Według ankietowanych zwiększenie budżetu na zakup systemów jest czasami łatwiejszy niż zatrudnienie kolejnych zawodowców z dziedziny bezpieczeństwa informacji. Możliwość zakupu tylu nowych systemów, ile tylko dusza zapragnie, wydaje się wspaniała, jednak znacznie ważniejsze jest zidentyfikowanie kluczowych umiejętności i kompetencji niezbędnych dla ekspertów pracujących w firmie, jak i tych zatrudnianych z zewnątrz. Biorąc pod uwagę niedobór specjalistów na rynku, uważam, że dobrym pomysłem jest postrzeganie outsourcingu jako możliwości rozszerzenia możliwości działu i szybszego reagowania na potrzeby firmy.
Od reagowania na incydent po zarządzanie ryzykiem
Chociaż rola CISO zyskała na znaczeniu dla kluczowych osób w firmie, np. dyrektorów czy dyrektora generalnego, przeważnie proszą oni o pomoc, gdy już się coś wydarzy. (Na szczęście wygląda na to, że najczęściej zdarza się to konkurencji czy kolegom z branży. Niemniej jednak pokazuje to, że wiele firm nie traktuje bezpieczeństwa informacji jako narzędzia do zarządzania zagrożeniem dla firmy.) Gdy zapytaliśmy, w jaki sposób zarząd mierzy wydajność bezpieczeństwa informacji, wiele CISO nadal utrzymuje, że kluczowymi wskaźnikami jest tu liczba incydentów i czas reagowania na nie.
Z pewnością są to istotne czynniki, jednak we współczesnej koncepcji cyberodporności stosowanej przez firmę Kaspersky dobrze chroniona firma to nie taka, która jedynie minimalizuje liczbę destrukcyjnych ataków czy potrafi szybko analizować incydenty, ale taka, której biznes może rozwijać się mimo wystąpienia takich incydentów.
Ostatecznie dopuszczalne ryzyko i akceptowalne straty potencjalne są różne dla różnych firm. Czasami opłaca się poluzować nieco zasady ochrony, aby przyspieszyć rozwój firmy. W pozostałych sytuacjach nie jest to dobre rozwiązanie. Liczba incydentów nie może być absolutnym sposobem wydajności bezpieczeństwa informacji. Istotne jest również, na ile sposoby mierzenia bezpieczeństwa informacji zmniejszają szybkość przetwarzania zadań biznesowych i zwiększają koszty. Z tego względu moim zdaniem osoby pracujące na stanowisku szefa działu bezpieczeństwa informacji muszą przede wszystkim potrafić adekwatnie oceniać zagrożenia i budować system bezpieczeństwa informacji idealnie dostosowany do firmy i procesów biznesowych, a nie nadmiernie skupiać się na ochronie przed incydentami.
Poświęcaj więcej czasu na rozmowę z prawnikami
Zaskoczyła mnie jeszcze jedna rzecz: odpowiedzi odnośnie znaczenia komunikacji z innymi działami w firmie. Prawnicy powinni mieć większy priorytet niż mają. Dziś coraz większa złożoność systemów IT oraz ich wzajemnych powiązań z usługami zewnętrznymi oraz skomplikowane przepisy prawa międzynarodowego sprawiają, że nikt nie może ignorować potencjalnych konsekwencji prawnych decyzji, jakie podejmują osoby odpowiedzialne za bezpieczeństwo informacji.
Respondenci umieścili kontakty z prawnikami na czwartym miejscu — po menedżerach ds. finansów, osobach decyzyjnych i dziale IT. Uważam, że kontakty z prawnikami powinny mieć wyższy priorytet niż przynajmniej kontakty z menedżerami ds. finansów. Jeśli postrzegasz bezpieczeństwo informacji jako narzędzie do zarządzania ryzykiem biznesowym, jest to logiczne.
Badanie zawiera znacznie więcej ciekawych danych, zatem polecam zapoznanie się z całością. Aby pobrać raport, wypełnij formularz dostępny na stronie: https://www.kaspersky.com/blog/ciso-2019/29014/.