PORTAL WIEDZY MENEDŻERSKIEJ

gaining knowledge never stops

Chief Information Security Officer, czyli bezpieczeństwo w IT

bezpieczeństwo IT

W świetle nowych, ostrzejszych przepisów dotyczących cyberbezpieczeństwa niezbędne stało się powołanie i obsadzenie stanowiska szefa firmowego IT security. Jakie powinien mieć kompetencje, jakie działania realizować, czym powinien się zająć w pierwszej kolejności?

Kim jest CISO?

CISO (Chief Information Security Officer/Director) zapewnia bezpieczeństwo wszystkim danym należącym do firmy — podczas ich zbierania, przetwarzania, przechowywania i udostępniania. Do danych zaliczamy zbiory przetwarzane przez oprogramowanie użytkowane przez pracowników oraz wszelkie dokumenty, niezależnie od tego, czy istnieją one w postaci cyfrowej, czy analogowej. Bezpieczeństwo jest tożsame z zachowaniem wszystkich wymogów odnośnie dostępu do danych i korzystania z nich, co zwykle wiąże się z zakupem, instalacją i prawidłowym używaniem praktycznych rozwiązań organizacyjnych i technicznych. Wymogi te są zapisane w przeróżnych ustawach, rekomendacjach, regulaminach i rozporządzeniach. Eksperci są zgodni, że każda firma potrzebuje tu osoby odpowiadającej za ten obszar.

Dokumentów z wymogami jest mnóstwo. Począwszy od ustaw rządowych i europejskich, przez ogólne zalecenia jakości np. normy ISO, po regulacje branżowe np. Rekomendacja D dla instytucji finansowych i ubezpieczeniowych. Ponieważ nieznajomość przepisów nie zwalnia od odpowiedzialności, CISO musi znać je wszystkie. Chodzi tu o praktyczną znajomość wymagań i umiejętność tłumaczenia zapisów prawnych na rozwiązania informatyczne i procesy organizacyjne. Nie wystarczy, że CISO wie, co to jest GIODO. Musi jeszcze wykazać w raporcie praktyczne spełnienie zapisów ustawy o ochronie danych osobowych.

Choć CISO na co dzień ma wiele do czynienia z przepisami prawa, to — na szczęście — wykształcenie prawnicze nie jest tu ani wymagane, ani tak bardzo potrzebne. Ważniejsze jest kilkuletnie doświadczenie w pracy z systemami IT, żeby był w stanie określić, czy planowane rozwiązanie zapewnia odpowiednie bezpieczeństwo. Potrzebne są sumienność i dokładność, aby wcielić się w rolę specjalisty i audytora i nie przeoczyć nawet najmniejszego szczegółu. Ważne są też umiejętności negocjacyjne i komunikacyjne, ponieważ codzienna praca wymaga kontaktu z różnymi osobami.

… i czym się zajmuje?

W swojej pracy CISO realizuje kilkanaście głównych zadań. Można je zebrać w cztery główne grupy:

- nadzór nad stworzeniem i wdrożeniem polityk, standardów i procedur, określających czym jest bezpieczeństwo w firmie, jak jest mierzone, zapewniane, kontrolowane, raportowane,

- bieżące zarządzanie systemem bezpieczeństwa (w tym budżetowanie, audyt, rozwój),

- wspieranie pracowników w rozwoju postawy ukierunkowanej na bezpieczeństwo danych i całego systemu informacyjnego firmy,

- reprezentowanie firmy w sytuacjach kryzysowych, w negocjacjach i rutynowych okresowych kontrolach bezpieczeństwa, prowadzonych przez uprawnione instytucje.

Pierwsze działania po objęciu tego stanowiska to:

- stworzenie zespołu ds. bezpieczeństwa — aby rozpocząć właściwą pracę, CISO nie musi wszystkiego robić samodzielnie,

- audyt istniejących polityk i rozwiązań (aby określić punkt wyjścia do dalszych działań),

- audyt stanu świadomości pracowników, w tym kierownictwa, co do bezpieczeństwa informacyjnego (jw.),

- zapoznanie się z aktualnym stanem przepisów określających formalne wymagania nakładane na bezpieczeństwo informacyjne firm (żeby podejmowane działania odpowiadały aktualnym wymaganiom),

- przygotowanie budżetu i planu działań na najbliższy okres (aby mieć odpowiednie zasoby do pracy).

Raporty ze swojej działalności CISO składa zarządowi firmy. CISO powinien mieć dyrektorskie uprawnienia dostępu do różnych danych i systemów, a także prawo weta w przypadku wykrycia naruszenia zasad bezpieczeństwa. Skutkiem takiego sprzeciwu powinno być natychmiastowe zawieszenie danej czynności do czasu realizacji działań naprawczych. Dlaczego tak szerokie uprawnienia? Ponieważ zwykle CISO ponosi osobistą odpowiedzialność za bezpieczeństwo, musi mieć narzędzia, by się samemu zabezpieczyć.

Komentarze

Dodaj komentarz

Komentarze:

Witam. Mam zapytanie odnośnie Pańskiego artykułu. Czy ma Pan wiedzę odnośnie zastosowania tej technologii w warunkach polskiej biurokracji i typowo "polskich" przepisów nie należących do najbardziej przyjacielskich dla biznesu. Dziękuję za odpowiedź

dodany przez Mariusz Folman, 01-11-2016 01:33:44