BUSINESS BYTES

W jaki sposób CIO mogą poprawić bezpieczeństwo informacji i ograniczyć ryzyko?

  • Opublikowano rok temu
  • 3 min lektury

Według ostatniego raportu „Agenda Report” firmy Gartner, priorytety inwestycyjne dyrektorów ds. informatyki zmieniają się. W ostatnim czasie, na liście najważniejszych kwestii, „Bezpieczeństwo” ustąpiło miejsca „analizom” (w tym również biznesowym) chmurze obliczeniowej i rozwiązaniom mobilnym. Na pierwszy rzut oka wydaje się to zrozumiałe — to logiczne, że firmy inwestują w obszarach, które przynoszą im wysoki lub natychmiastowy zwrot. Bezpieczeństwo informacji nigdy nie było takim obszarem. Inwestowanie w tradycyjne techniki zabezpieczeń, takie jak zapory, narzędzia do ochrony poczty e-mail i filtrowania sieci Web sprawia, że bezpieczeństwo zaczyna być traktowane jako inwestycję prewencyjną, nie zaś jako korzyść.

Takie podejście do zagrożeń cybernetycznych nie musi być jednak złe. Według wskaźników firmy Gartner, wielu dyrektorów ds. informatyki już teraz dostrzega, że „subtelniejsze” podejście do bezpieczeństwa na dłuższą metę może być efektywniejszym sposobem zarządzania ryzykiem. W praktyce podstawą tego podejścia jest lepsze zrozumienie cybernetycznych zagrożeń bezpieczeństwa i ich skutków dla działalności biznesowej.

Specjaliści ds. zabezpieczeń powinni wspierać procesy zarządzania przedsiębiorstwem od samego początku. Jednak zagrożenia bezpieczeństwa powinny być traktowane jako coś, z czym można sobie poradzić – jako problem nie większy niż inne rodzaje ryzyka związanego z prowadzeniem działalności. Innymi słowy, zarządzanie ryzykiem dotyczącym zabezpieczeń wymaga zaakceptowania faktu, iż niektóre formy ryzyka będą istnieć zawsze, podobnie jak sytuacje naruszenia bezpieczeństwa. W związku z tym należy także opracować strategię radzenia sobie z problemami, gdy te już się pojawią. Wielu CIO obecnie nie skupia się na redukcji zagrożeń, a na popularyzowaniu stosownej wiedzy.

Pierwszym krokiem na drodze do zarządzania ryzykiem jest zrozumienie go. Aby zarządzanie było efektywne, należy zidentyfikować bezpośrednie zagrożenia i ocenić ich skutki, a następnie powiadomić o tym zarząd i kadrę kierowniczą. Każdy jest odpowiedzialny za efektywne zarządzanie ryzykiem. Wyciek informacji może wyrządzić ogromne szkody finansowe i negatywnie wpłynąć na reputację firmy, dlatego kadra zarządzająca i szeregowi pracownicy muszą znać potencjalne skutki oraz model działań, jakie zostaną podjęte w przypadku wystąpienia zagrożenia.

Niektóre organizacje prowadzą symulacje incydentów i sytuacji kryzysowych. Pomaga to nie tylko wyeksponować wszelkie niedociągnięcia, ale również zapewnia zespołom większą pewność i lepsze przygotowanie w razie ewentualnych naruszeń bezpieczeństwa.

Drugim krokiem jest zrozumienie, że zarządzanie ryzykiem nie kończy się na ustaleniu metody reagowania. Zagrożenia cybernetyczne ewoluują i to samo powinno dotyczyć związanych z nimi zasad zarządzania. Kadra zarządzająca powinna kierować działaniami mającymi na celu modyfikację strategii zarządzania ryzykiem, ale każda osoba w strukturze organizacji powinna zgłaszać sugestie i pomagać w stworzeniu jak najlepszych mechanizmów zaradczych. Należy pamiętać, że ogólna strategia biznesowa szybko może się zmieniać. Wejście na nowe rynki może prowadzić do powstania nowych zagrożeń finansowych i informacyjnych. Wpływ na te kwestie może też mieć korzystanie z technologii cyfrowych, takich jak media społecznościowe czy chmura. Strategia zarządzania ryzykiem musi rozwijać się wraz z rozwojem technologii obecnych w przedsiębiorstwie.

Na koniec należy rozważyć fakt, czy skłonność do ryzyka może znacznie różnić się w zależności od jednostki biznesowej. Zasady bezpieczeństwa muszą więc dopuszczać pewne ryzyko w celu utrzymania spójności w organizacji. Przypadki naruszenia bezpieczeństwa mogą się zdarzyć, i zdarzają się. Równie ważne jak zapobieganie im, jest posiadanie wypracowanych wcześniej procesów przeciwdziałania, które pozwolą na rozwiązanie problemów, gdy już do nich dojdzie. Zarządzanie ryzykiem powinno być częścią całościowego programu oceny podatności na ryzyko, stosowania zasad zarządzania ryzykiem i informowania o tym, że wystąpienie problemu nie świadczy o porażce i potwierdza zasadność ustalonego procesu.