Pod koniec lat dziewięćdziesiątych w siatkówce wprowadzono pozycję libero, co miało za zadanie zwiększenie ilości akcji i płynności gry. Zawodnik grający na pozycji libero jest wyspecjalizowany w grze obronnej i w przyjęciu zagrywki oraz może zastąpić w grze każdego zawodnika strefy obrony. Wprowadzenie szybkich, dynamicznych, zwinnych i wyspecjalizowanych zawodników libero dodało kolorytu grze defensywnej. Poprawiło ciągłość gry, a także zwiększyło mobilność i skuteczność drugiej linii w obronie.
Bezpieczeństwo informacji to obronna funkcja w prawie każdej organizacji (pomijając może firmy etycznie atakujące infrastruktury klientów ofensywnie lub mniej etycznie wykradające im dane).
Zarządzanie bezpieczeństwem informacji
W procesach zarządzania bezpieczeństwem informacji w organizacji występuje szereg czynności, jakie muszą wykonywać różne role w organizacji. Dbanie o bezpieczeństwo to wysiłek zbiorowy wymagający współpracy i koordynacji. W związku z tym, że czynności związane z bezpieczeństwem zmieniają się w czasie organizacje nie zawsze dysponują odpowiednimi zasobami dostosowanymi do bieżących potrzeb.
Punkt ciężkości wykonywanych zadań będzie inny w przypadku przygotowywania budżetu za inwestycje w IT i bezpieczeństwo, inny w czasie przygotowywania się do audytu zewnętrznego (ISO 27001, SOC 2) czy wewnętrznego, a jeszcze inny gdy organizacja wdraża zdefiniowaną politykę bezpieczeństwa informacji i skupia na zwiększeniu swojego poziomu dojrzałości lub wprowadza na rynek nową usługę, w ramach której przetwarza dane osobowe.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Ważny fragment
Wirtualny szef bezpieczeństwa (V-CISO) zapewniając elastyczne podejście oraz szeroki zestaw kompetencji niczym libero może wspomóc realizację procesów bezpieczeństwa w długim terminie dostosowując zakres realizowanych obowiązków do bieżących potrzeb.
3 kluczowe funkcje programów bezpieczeństwa
Zadania związane z projektowaniem, implementacją i utrzymaniem programów bezpieczeństwa można podzielić na 3 kluczowe funkcje:
- Doradztwo – zestaw czynności strategicznych mających za zadanie modelowanie i zwiększanie dojrzałości procesów, definiowanie celów bezpieczeństwa informacji i ich znaczenia dla realizacji usług biznesowych, działania mające na celu planowanie zgodności z wymaganiami prawnymi i regulacyjnymi
- Wsparcie – czynności operacyjne mające za zadanie wdrożenie mechanizmów kontrolnych bezpieczeństwa i ich prawidłową realizację, pomoc pracownikom w realizacji ich bieżących zadań z zachowaniem zgodności z polityką bezpieczeństwa informacji
- Kontrola – zestaw czynności sprawdzających wspierających proces monitorowania bezpieczeństwa, sprawdzenie, czy zdefiniowane i wdrożone mechanizmy kontrolne realizowane są w sposób należyty przez pracowników organizacji
W zależności od bieżących potrzeb organizacji każda z wymienionych powyżej funkcji może stanowić wsparcie dla innej roli, przykładowo:
- wyższe kierownictwo może uzyskać wsparcie doradcze na poziomie strategicznym aby odpowiednio zdefiniować cel i zakres procesów bezpieczeństwa informacji;
- biznes, HR czy IT skorzystają z bieżącego wsparcia we wdrożeniu mechanizmów kontrolnych i pomocy w realizacji swoich obowiązków
- CFO, audyt wewnętrzny czy inspektor ochrony danych odnajdzie korzyści w funkcji kontrolnej, która pomoże zidentyfikować poprawność realizacji zdefiniowanych procesów, ich skuteczność oraz efektywność
Przykładowe czynności realizowane przez wirtualnego szefa bezpieczeństwa to:
| Doradztwo | • Doradztwo strategiczne dla wyższego kierownictwa, managerów i osób odpowiedzialnych za zarządzanie ryzykiem • Wsparcie w zdefiniowaniu strategii zarządzania bezpieczeństwem informacji • Wsparcie w uzyskaniu zgodności z wymaganiami prawnymi, regulacyjnymi i wymaganiami klientów • Informowanie, doradzanie i rekomendowanie określonych działań w zakresie ochrony danych osobowych • Doradztwo w zakresie doboru technologii informatycznych wspierających cyberbezpieczeństwo • Doradztwo w zakresie bezpiecznej pracy zdalnej i telepracy • Modelowanie programu ciągłości działania oraz odzyskiwania danych po awarii • Doradztwo w zakresie bezpieczeństwa fizycznego i środowiskowego • Modelowanie procesu bezpieczeństwa w zarządzaniu projektami • Przygotowywanie wymagań dotyczących bezpieczeństwa informacji dla dostawców • Projektowanie kompleksowego programu podnoszenia świadomości personelu i bezpieczeństwa zasobów ludzkich • Przygotowanie polityki bezpieczeństwa informacji |
| Wsparcie | • Koordynacja procesu analizy ryzyka i wsparcie w przygotowaniu planu postępowania z ryzykiem • Wsparcie w realizacji obowiązków administratora w zakresie ochrony danych osobowych • Utrzymanie polityki bezpieczeństwa informacji (rozbudowa, przeglądy, aktualizacje) • Realizacja programu podnoszenia świadomości personelu (np. szkolenia) • Wsparcie dla działu HR w weryfikacji kandydatów do pracy i przeprowadzaniu szkoleń wprowadzających dla nowych pracowników • Wsparcie w ochronie wizerunku - monitorowanie obecności pracowników i organizacji w sieci i mediach • Przeprowadzanie audytów dostawców • Przygotowanie planów ciągłości działania • Wsparcie w procesie zarządzania incydentami, w tym naruszeniami ochrony danych osobowych oraz pomoc w kontaktach z organami władzy oraz poszkodowanymi • Wykonywanie przeglądów uprawnień |
| Kontrola | • Niezależny przegląd wyników przeglądów i audytów bezpieczeństwa • Testowanie, mierzenie oraz ocena skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych • Ocena spełnienia wymogu ograniczenia przechowywania danych osobowych (w ramach procedury retencji danych) • Audyt systemu zarządzania bezpieczeństwem informacji • Kontrola skuteczności planu podnoszenia świadomości personelu • Kontrola rejestru dostawców i wyników oceny dostawców • Testowanie planów ciągłości działania • Kontrola wyników testów odtworzeniowych • Wykonywanie skanów podatności technicznych • Koordynacja i wykonywanie testów penetracyjnych systemów informatycznych • Przegląd uprawnień systemu kontroli dostępu |
Elastyczność usługi wirtualnego szefa bezpieczeństwa pozwala na swobodne łączenie funkcji doradczych, wsparcia oraz kontrolnych w zależności od bieżących potrzeb, które zmieniają się w czasie, a w różnych okresach udział każdej z funkcji może ulegać zmianie.
Dzięki takiemu podejściu zwiększa się dynamika organizacji bezpieczeństwa co wpływa na lepsze wsparcie kluczowych procesów przedsiębiorstwa przy jednoczesnej optymalizacji kosztów i zasobów.
AUTOR: Grzegorz Ciechomski
