fbpx

Treść artykułu

Pod koniec lat dziewięćdziesiątych w siatkówce wprowadzono pozycję libero, co miało za zadanie zwiększenie ilości akcji i płynności gry.  Zawodnik grający na pozycji libero jest wyspecjalizowany w grze obronnej i w przyjęciu zagrywki oraz może zastąpić w grze każdego zawodnika strefy obrony. Wprowadzenie szybkich, dynamicznych, zwinnych i wyspecjalizowanych zawodników libero dodało kolorytu grze defensywnej. Poprawiło ciągłość gry, a także zwiększyło mobilność i skuteczność drugiej linii w obronie.

Bezpieczeństwo informacji to obronna funkcja w prawie każdej organizacji (pomijając może firmy etycznie atakujące infrastruktury klientów ofensywnie lub mniej etycznie wykradające im dane).

Zarządzanie bezpieczeństwem informacji

W procesach zarządzania bezpieczeństwem informacji w organizacji występuje szereg czynności, jakie muszą wykonywać różne role w organizacji. Dbanie o bezpieczeństwo to wysiłek zbiorowy wymagający współpracy i koordynacji. W związku z tym, że czynności związane z bezpieczeństwem zmieniają się w czasie organizacje nie zawsze dysponują odpowiednimi zasobami dostosowanymi do bieżących potrzeb.

Punkt ciężkości wykonywanych zadań będzie inny w przypadku przygotowywania budżetu za inwestycje w IT i bezpieczeństwo, inny w czasie przygotowywania się do audytu zewnętrznego (ISO 27001, SOC 2) czy wewnętrznego,  a jeszcze inny gdy organizacja wdraża zdefiniowaną politykę bezpieczeństwa informacji i skupia na zwiększeniu swojego poziomu dojrzałości lub wprowadza na rynek nową usługę, w ramach której przetwarza dane osobowe.

Ważny fragment

Wirtualny szef bezpieczeństwa (V-CISO) zapewniając elastyczne podejście oraz szeroki zestaw kompetencji niczym libero może wspomóc realizację procesów bezpieczeństwa w długim terminie dostosowując zakres realizowanych obowiązków do bieżących potrzeb.

Sprawdź Cyberbezpieczeństwo Grant Thornton

3 kluczowe funkcje programów bezpieczeństwa

Zadania związane z projektowaniem, implementacją i utrzymaniem programów bezpieczeństwa można podzielić na 3 kluczowe funkcje:

  1. Doradztwo – zestaw czynności strategicznych mających za zadanie modelowanie i zwiększanie dojrzałości procesów, definiowanie celów bezpieczeństwa informacji i ich znaczenia dla realizacji usług biznesowych, działania mające na celu planowanie zgodności z wymaganiami prawnymi i regulacyjnymi
  2. Wsparcie – czynności operacyjne mające za zadanie wdrożenie mechanizmów kontrolnych bezpieczeństwa i ich prawidłową realizację, pomoc pracownikom w realizacji ich bieżących zadań z zachowaniem zgodności z polityką bezpieczeństwa informacji
  3. Kontrola – zestaw czynności sprawdzających wspierających proces monitorowania bezpieczeństwa, sprawdzenie, czy zdefiniowane i wdrożone mechanizmy kontrolne realizowane są w sposób należyty przez pracowników organizacji

W zależności od bieżących potrzeb organizacji każda z wymienionych powyżej funkcji może stanowić wsparcie dla innej roli, przykładowo:

  • wyższe kierownictwo może uzyskać wsparcie doradcze na poziomie strategicznym aby odpowiednio zdefiniować cel i zakres procesów bezpieczeństwa informacji;
  • biznes, HR czy IT skorzystają z bieżącego wsparcia we wdrożeniu mechanizmów kontrolnych i pomocy w realizacji swoich obowiązków
  • CFO, audyt wewnętrzny czy inspektor ochrony danych odnajdzie korzyści w funkcji kontrolnej, która pomoże zidentyfikować poprawność realizacji zdefiniowanych procesów, ich skuteczność oraz efektywność

Przykładowe czynności realizowane przez wirtualnego szefa bezpieczeństwa to:

Doradztwo • Doradztwo strategiczne dla wyższego kierownictwa, managerów i osób odpowiedzialnych za zarządzanie ryzykiem • Wsparcie w zdefiniowaniu strategii zarządzania bezpieczeństwem informacji • Wsparcie w uzyskaniu zgodności z wymaganiami prawnymi, regulacyjnymi i wymaganiami klientów • Informowanie, doradzanie i rekomendowanie określonych działań w zakresie ochrony danych osobowych • Doradztwo w zakresie doboru technologii informatycznych wspierających cyberbezpieczeństwo • Doradztwo w zakresie bezpiecznej pracy zdalnej i telepracy • Modelowanie programu ciągłości działania oraz odzyskiwania danych po awarii • Doradztwo w zakresie bezpieczeństwa fizycznego i środowiskowego • Modelowanie procesu bezpieczeństwa w zarządzaniu projektami • Przygotowywanie wymagań dotyczących bezpieczeństwa informacji dla dostawców • Projektowanie kompleksowego programu podnoszenia świadomości personelu i bezpieczeństwa zasobów ludzkich • Przygotowanie polityki bezpieczeństwa informacji
Wsparcie • Koordynacja procesu analizy ryzyka i wsparcie w przygotowaniu planu postępowania z ryzykiem • Wsparcie w realizacji obowiązków administratora w zakresie ochrony danych osobowych • Utrzymanie polityki bezpieczeństwa informacji (rozbudowa, przeglądy, aktualizacje) • Realizacja programu podnoszenia świadomości personelu (np. szkolenia) • Wsparcie dla działu HR w weryfikacji kandydatów do pracy i przeprowadzaniu szkoleń wprowadzających dla nowych pracowników • Wsparcie w ochronie wizerunku - monitorowanie obecności pracowników i organizacji w sieci i mediach • Przeprowadzanie audytów dostawców • Przygotowanie planów ciągłości działania • Wsparcie w procesie zarządzania incydentami, w tym naruszeniami ochrony danych osobowych oraz pomoc w kontaktach z organami władzy oraz poszkodowanymi • Wykonywanie przeglądów uprawnień
Kontrola • Niezależny przegląd wyników przeglądów i audytów bezpieczeństwa • Testowanie, mierzenie oraz ocena skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych • Ocena spełnienia wymogu ograniczenia przechowywania danych osobowych (w ramach procedury retencji danych) • Audyt systemu zarządzania bezpieczeństwem informacji • Kontrola skuteczności planu podnoszenia świadomości personelu • Kontrola rejestru dostawców i wyników oceny dostawców • Testowanie planów ciągłości działania • Kontrola wyników testów odtworzeniowych • Wykonywanie skanów podatności technicznych • Koordynacja i wykonywanie testów penetracyjnych systemów informatycznych • Przegląd uprawnień systemu kontroli dostępu

Elastyczność usługi wirtualnego szefa bezpieczeństwa pozwala na swobodne łączenie funkcji doradczych, wsparcia oraz kontrolnych w zależności od bieżących potrzeb, które zmieniają się w czasie, a w różnych okresach udział każdej z funkcji może ulegać zmianie.

Dzięki takiemu podejściu zwiększa się dynamika organizacji bezpieczeństwa co wpływa na lepsze wsparcie kluczowych procesów przedsiębiorstwa przy jednoczesnej optymalizacji kosztów i zasobów.

AUTOR: Grzegorz Ciechomski, Starszy Manager, Cyberbezpieczeństwo

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.

Inne artykuły z kategorii: Cyberbezpieczeństwo Zobacz wszystkie

Usługi Grant Thornton z obszaru: Konsulting cyfrowy (Digital Drive)

Skorzystaj z wiedzy naszych ekspertów

Najczęściej czytane