Kiedy zastanawiamy się nad zarządzaniem bezpieczeństwem informacji pojawiają nam się rożne pojęcia, z których 3 można szczególnie podkreślić: strategia, program i projekt. Bardzo często pojęcia te są mylone, a zakresy się przenikają. Wprowadza to zupełnie niepotrzebny bałagan, rozmycie odpowiedzialność, a w konsekwencji osłabienie naszej firmy pod względem bezpieczeństwa.

Aby uniknąć takich problemów, należy uświadomić sobie, czym te 3 pojęcia się różnią i jak ich odpowiednie zaadresowanie i przydzielenie do odpowiedniej roli pomoże w podniesieniu bezpieczeństwa w obszarze cyberbezpieczeństwa.

ANKEITA CYBERBEZPIECZEŃSTWO

Po pierwsze: strategia, czyli najwyższy poziom zarządzania bezpieczeństwem

Strategia stanowi najwyższy poziom zarządzania bezpieczeństwem w organizacji, uchwalana jest na poziomie Zarządu i często stanowi element strategicznego podejścia do zarządzania ryzykiem. Jej ustalanie zaczyna się na określeniu aktualnych ryzyk w organizacji i „apetytu na to ryzyko”. Na tej podstawie Zarząd określa ogólne cele, budżety i podejście do zarządzania nimi w dłuższym horyzoncie czasowym (najczęściej na okresy 2, 3, czy 5 letnie).

Po drugie: program, czyli najważniejszy element zarządzania bezpieczeństwem

Z punktu widzenia organizacji najważniejszy element. Jest to bowiem sposób na realizację strategii. Bardzo często opiera się na wymaganiach branżowych, standardach, czy najlepszych praktykach, jak np. normy z rodziny ISO/IEC 27000, na wymogach NIST, COBIT, czy PCI/DSS. Program ustalany jest w oparciu o konkretny kontekst biznesowy i wskazuje dokładne kierunki, które pozwolą na realizacje ustalonej wcześniej strategii bezpieczeństwa. Posiadanie silnego programu bezpieczeństwa pomaga zapewnić poufność, integralność i dostępność danych i informacji, a dzięki usystematyzowanemu wdrażaniu wspomnianych norm i standardów pozwala na kontrolę zarządzania bezpieczeństwem.

Do ustaleniu najbardziej optymalnej formy takiego programu dla organizacji niezwykle pomocna jest rola V-CISO. Skupia on bowiem w swoich rękach, wiedze wielu ekspertów, którzy wielowymiarowo potrafią ocenić potrzeby organizacji. Ponadto jest to rola, która z jednej strony może w znacznym stopniu poznać organizację i rządzące nią mechanizmy, a z drugiej strony zachować bezstronność i obiektywną ocenę sytuacji i potrzeb. Jest to także rola dostępna w każdym momencie, nawet najtrudniejszym, jak na przykład koniec roku, gdzie organizacja może w pełni skupić się na obowiązkach, mając jednocześnie pewność, że jest osoba, która dba o kwestie bezpieczeństwa i realizację projektów w ramach programu bezpieczeństwa.

Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik

Skorzystaj z naszych usług w zakresie: Cyberbezpieczeństwo
Dowiedz się więcej

Po trzecie – projekt zarządzania bezpieczeństwem

Każdy projekt rozpisany jest na realizację mniejszych czynności, których wykonanie prowadzi do osiągania wyznaczonych w programie założeń, a tym samym celów strategicznych. Dla przykładu projektem może być przeprowadzenie testów penetracyjnych dla krytycznych systemów w organizacji, czy zapewnienie szkolenia uświadamiającego dla wszystkich pracowników korporacji.

Dlatego też dzisiejszy świat bezpieczeństwa znacznie bardziej skupia się na określeniu kompleksowego programu bezpieczeństwa informacji, a nie projektu. Projekty stanowią jedynie metodę realizacji zadań wskazanych w programie. Sam program jest natomiast sumą projektów, a rola V-CISO, zapewnia pełną realizację tego programu, przy niezakłóconym działaniu organizacji.

AUTOR: Anna Andruszkiewicz

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Cyberbezpieczeństwo i outsourcing IT

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.