Biztonság vs. üzlet

Kristóf Csaba
2010. január 7., 08:49
Nyomtatás
Információbiztonsági vezetők megkérdezése után kiderült, hogy a vezetők közötti szakadék komolyan gátolja a biztonsági és az üzleti szempontok összehangolását.

Az EMC egy új kutatásról számolt be, amelyben a cégvezetői prioritások és az információbiztonsági stratégia közötti kapcsolatot vizsgálta. Különösen arra volt kíváncsi, hogy mennyire káros a megosztottság a kockázati profil és az általános üzleti siker szempontjából.

Az RSA "Security for Business Innovation" (Biztonság az üzleti innováció szempontjából) sorozatának ötödik részeként a Bridging the CISO-CEO Divide (A cégvezető és az információbiztonsági vezető közötti szakadék áthidalása) című jelentés részletesen áttekinti, hogyan szerezhető igazgatói támogatás a stratégiai információbiztonsági feladatokhoz. A jelentés arra készteti a cégvezetőket, hogy gondolják végig, hogy akaratlanul is mekkora veszélybe sodorhatják a cégüket, ha nem támogatják a stratégiai információbiztonsági kezdeményezéseket.

"Az, hogy a biztonsági beruházásokat a vállalati tervekhez kell igazítani, mostanra világossá vált" - mondta Art Coviello, az EMC Corporation vezető alelnöke és az RSA (az EMC biztonsági részlegének) elnöke. "Ennek az előrelépésnek a dacára a legtöbb biztonsági vezető továbbra is küzd azzal, hogy hogyan győzhetné meg a cégvezetőjét arról, hogy a biztonságnak feltétlenül az üzleti stratégia központi elemének kell lennie. Ideje, hogy megoldjuk ezt a problémát. A sikerhez mind a vezetőknek, mind a biztonsági szakembereknek változtatniuk kell azon, ahogyan gondolkodnak a cégről, valamint ahogy viselkednek és működtetik a szervezeteket."

Tennivalók az informatikai biztonsági vezetők és a cégvezetők számára
A Bridging the CISO-CEO Gap jelentés szerint nem szabad figyelmen kívül hagyni azt a tényt, hogy amit a szervezetek a jelen gazdasági nehézségek túléléséért tesznek, annak nagy része innovatív, de kockázatos is. Az EMC szerint az információbiztonsági szakemberek eddig még soha nem voltak ilyen jó helyzetben ahhoz, hogy segíthessenek a cégüknek a megfelelő módon bevállalni a kockázatokat. Ehhez azonban meg kell szerezniük a vezérigazgató bizalmát és támogatását. A vállalatvezetőknek pedig fel kell ismerniük, hogy a cég annyira fog tudni magához térni a gazdasági visszaesés után, és úgy fog prosperálni, amennyire jól kezeli majd a vállalat kockázatokat.

Az EMC legfontosabb ajánlásai az igazgató támogatását elnyerni kívánó biztonsági szakértők számára:
- Szerezzen szószólókat a biztonság számára a vezérigazgató bizalmasai között: nyerjen meg olyan személyeket, akik gyakran kommunikálnak a cégvezetővel vagy hatással vannak rá.
- Alakítson ki világos szervezeti struktúrát: a biztonsági szervezetnek teljesen kristálytiszta, átlátható szervezeti felépítéssel kell rendelkeznie. Muszáj világosan kijelenteni, valamint az egész cégben közösségi és intézményi szinten tudatosítani, hogy az emberek ugyanúgy "kapják" a biztonsági részleg szolgáltatásait, ahogy a többi osztály (pl.: könyvelés, pénzügy) szolgáltatásait.
- Törekedjen arra, hogy a cégvezető jobban megérthesse a kockázatot. Az információbiztonsági szakembernek - amennyire csak lehetséges - számszerűsítenie kell a kockázatok mértékét. Ködös magyarázatok helyett említsen meg valós példahelyzeteket, valós számokkal írja le a valószínűségeket, a hatást és a pénzügyi veszteségeket. Vesse össze mindezt a szervezet piaci pozíciójával, majd helyezze el a vertikális iparág és a szabályozási követelmények kontextusában.

"Úgy kell gondolni a kockázatelemzésre, mint előfeltételre" - mondta Michael Capellas, a First Data elnöke és vezérigazgatója. "Az üzlet nyelve másról sem szól, mint a kockázatról. Ha Ön a biztonsági szakértő székében ül, és nem képes értelmesen beszélni a kockázat méréséről és szintjeiről, akkor valószínűleg nem fog sikerrel járni." - tette hozzá a szakember.

Az EMC jelentése a cégvezetőkhöz is szól. Hangsúlyozza, mennyire fontos, hogy értsék, milyen jelentősen befolyásolják cselekedeteik és hozzáállásuk a cég információvédelmi erőfeszítéseit. Ennek érdekében néhány olyan gyakran előforduló tévutat is bemutat, amelyet követve a vállalatvezető akaratlanul is veszélybe sodorhatja a cég információs biztonságát:

- Rossz hangvétel a felsővezetésben: ha a szervezet vezetői apatikusan viszonyulnak az információk védelméhez, akkor az egész szervezet követni fogja őket. Az igazgató akkor jár el helyesen, ha aktívan szót emel ennek a feladatnak a stratégiai fontossága mellett, és mindenkitől megköveteli az információk védelmét a szervezetnél.

- Hiba azt hinni, hogy az információbiztonság pusztán technológiai vagy megfelelési probléma: az információk biztonságára kockázatkezelési problémaként kell tekinteni.

- A megfelelő felelősségi körök kialakításának elmulasztása: ha az információbiztonságnak nincs gazdája a vállalat felsőbb szintjén, akkor azt nem veszik komolyan. Ez egy olyan feladat, amely közvetlenül befolyásolja a márka hírnevét, a cég jó hírét és az információvagyon értékét. Emiatt az erre kinevezett személynek információbiztonsági igazgatói vagy hasonló szintű ranggal kell rendelkeznie.

Az információbiztonsági vezetők és a cégvezetők az RSA weboldalán tízkérdéses interaktív eszközzel mérhetik fel, hogy mennyire haladtak a biztonsági és az üzleti szempontok stratégiai összehangolásával.

Kapcsolódó linkek:
EMC

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)