Řízením rozumíme proces s cílem dosáhnout a udržet potřebnou úroveň informační bezpečnosti s ohledem na podnikatelské cíle společnosti. Příkladem nesprávného pochopení je řízení ztotožněné s činnostmi administrátora IT, který nastavuje různé bezpečnostní mechanismy anebo požaduje další investice do bezpečnosti bez ohledu na potřeby klíčových byznys procesů.
Jaké činnosti, za které zodpovídá CISO, jsou nejdůležitější? Jde hlavně o dosáhnutí informační bezpečnosti formou:
* zřízení a udržování politiky, cílů, procesů a procedur vztahujících se k řízení rizika a zvýšení informační bezpečnosti s ohledem na cíle společnosti,
* implementace a provoz politiky bezpečnosti, řízení, procesů a procedur,
* hodnocení; podle možností také měření skutečného stavu oproti očekávané politice a cílům; reportování zjištění managementu,
* vykonávání opravných a preventivních činností založených na hodnocení stavu s cílem dosáhnout zlepšení systému.
CISO také zodpovídá následně za činnosti, které vyplývají z hlavních činností řízení, jako je například: zabezpečení souladu s platnou legislativou, řízení realizace projektů na pokrytí bezpečnostních slabin, zlepšování bezpečnostního povědomí zaměstnanců, řešení bezpečnostních incidentů atd.
Koho pověřit rolí bezpečnostního manažera? Bude to šéf IT, IT specialista, administrátor, finanční ředitel anebo jiný, případně nový zaměstnanec? Mají tito zaměstnanci předpoklady a hlavně čas na výkon role CISO? Pokud odhlédneme od použití interních zaměstnanců nebo náboru nového zaměstnance, alternativním řešením je outsourcing CISO.
Jaké by byly důvody outsourcingu CISO?
* Rozsah využití CISO nevyžaduje samostatného pracovníka zaměstnaného na plný úvazek.
* Využití znalostí a zkušenosti specializované společnosti.
* Eliminování chyb souvisejících s neznalostí problematiky.
* Získaní „know – how“ procesu řízení informační bezpečnosti.
* Zkrácení času vynaloženého na zřízení a správu informační bezpečnosti.
* Zkrácení času na případné získání certifikace řízení bezpečnosti např. podle ISO 27000.
* Smluvní sankce na straně dodavatele jsou obvykle vyšší než standardní náhrady podle zákoníku práce.
* Nezatížení komunikace CISO ve společnosti kvůli umístění v organizační struktuře.
* Nezávislý pohled na problematiku.
Je na rozhodnutí managementu společnosti, kterou z možností zabezpečení řízení přijme. Zodpovědnost za návrh správných kroků na dosáhnutí informační bezpečnosti nese CISO. Jejich přijetí a uplatnění v praxi je však už věcí celé organizace v čele s vrcholovým managementem.
Autor pracuje ve společnosti ESET Services
P. R.