BezpieczeństwoBezpieczeństwo przyszłości > redakcja Opublikowane 3 listopada 20130 0 109 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Raport pokazuje zasady programu bezpieczeństwa począwszy od powołania nowoczesnego zespołu ds. bezpieczeństwa informacji, aż po zarządzanie cyklem życia zagrożeń z cyberprzestrzeni, występujących w dzisiejszych globalnych przedsiębiorstwach. W ciągu ostatnich 18 miesięcy odnotowano znaczne zmiany w ogólnych wymaganiach dotyczących skuteczności działania zespołów ds. bezpieczeństwa informacji. Zmiany te zostały wymuszone upowszechnieniem się w środowiskach biznesowych różnych form komunikacji sieciowej, pojawianiem się nowych zagrożeń, wdrażaniem nowych technologii oraz wprowadzaniem coraz bardziej restrykcyjnych przepisów. W związku z tym zmieniają się zakresy działań i obowiązków zespołów ds. bezpieczeństwa informacji w przedsiębiorstwach.W najnowszym raporcie pt. „Transforming Information Security: Designing a State-of-the Art Extended Team” (Zmiana zasad zapewniania bezpieczeństwa informacji: tworzenie nowoczesnego zespołu) stwierdzono, że zespoły ds. bezpieczeństwa informacji muszą się rozwijać i zdobywać kwalifikacje, które w dziedzinie zapewniania bezpieczeństwa nie były wcześniej potrzebne. Są to między innymi umiejętność zarządzania ryzykiem biznesowym oraz wiedza z zakresu prawa, marketingu, matematyki i zakupów.System zapewniania bezpieczeństwa informacji musi także obejmować model wspólnej odpowiedzialności, w ramach którego odpowiedzialność za zabezpieczanie zasobów informacyjnych jest ponoszona wspólnie z menadżerami i dyrektorami działów biznesowych przedsiębiorstwa. Kierownictwa firm zaczynają rozumieć, że w dzisiejszych czasach ryzyko biznesowe obejmuje również zagrożenia z cyberprzestrzeni. W zespołach ds. bezpieczeństwa występują braki w wielu kompetencjach technicznych i biznesowych niezbędnych do realizowania rozszerzonego zakresu obowiązków spoczywających na tych zespołach. Konieczne więc będzie opracowanie nowych strategii zdobywania i pogłębiania takich kompetencji we własnym zakresie, a także korzystania z wiedzy specjalistycznej usługodawców zewnętrznych.Aby pomóc przedsiębiorstwom w stworzeniu nowoczesnego zespołu ds. bezpieczeństwa, rada SBIC sformułowała siedem zaleceń:Ponowne zdefiniowanie i rozwój podstawowych kompetencji ―zespół główny powinien poszerzać kwalifikacje w czterech dziedzinach: analiza zagrożeń z cyberprzestrzeni oraz danych nt. bezpieczeństwa; zarządzanie danymi nt. bezpieczeństwa; doradztwo w zakresie ryzyka oraz projektowanie i wdrażanie mechanizmów kontroli.Delegowanie czynności rutynowych ― należy powierzać wykonywanie powtarzalnych, sprawdzonych procesów z zakresu zapewniania bezpieczeństwa działowi informatyki, jednostkom biznesowym i/lub usługodawcom zewnętrznym.Wypożyczanie lub wynajmowanie ekspertów ― w określonych specjalizacjach należy uzupełniać główny zespół ekspertami wewnętrznymi i zewnętrznymi.Kierowanie właścicielami ryzyka w zakresie zarządzania ryzykiem ― należy współpracować z jednostkami biznesowymi w zakresie zarządzania ryzykiem zagrażającym bezpieczeństwu w cyberprzestrzeni oraz koordynować wypracowywanie spójnego podejścia.Wynajmowanie specjalistów ds. optymalizacji procesów ― należy zadbać o to, aby w zespole znaleźli się specjaliści z doświadczeniem i certyfikatami w zakresie zarządzania jakością, projektami lub programami, optymalizacji procesów i świadczenia usług.Budowanie kluczowych relacji ― należy zdobywać zaufanie kluczowych podmiotów oraz możliwości wywierania na nie wpływu. Do podmiotów takich należą właściciele kluczowych procesów, kierownictwo średniego szczebla oraz usługodawcy zatrudniani na zasadzie outsourcingu.Dbałość o rozwijanie kwalifikacji pracowników z myślą o przyszłych potrzebach ― z uwagi na brak potrzebnych specjalistów, w przypadku większości przedsiębiorstw, jedynym przyszłościowym rozwiązaniem jest rozwój kwalifikacji pracowników. Szczególnie przydatne będzie zdobywanie umiejętności w dziedzinach, takich jak tworzenie oprogramowania, analiza biznesowa, zarządzanie finansami, wywiad wojskowy, prawo, ochrona danych osobowych, analityka danych oraz złożona analiza statystyczna.
