Bezpieczeństwo IT – o czym powinien wiedzieć dyrektor generalny?

Jako kierownik bezpieczeństwa oczekujesz zapewne na odrobinę uwagi dyrektora generalnego. Jeśli tak jest, powinieneś rozważyć doinformowanie dyrektora na temat bezpieczeństwa, nie skupiając się na strachu, niepewności i zwątpieniu. Kultura niepewności i zwątpienia nie pomoże zdobyć odpowiedniego budżetu lub zasobów, potrzebnych dla nowych inicjatyw bezpieczeństwa.

Większość dyrektorów nie potrzebuje też kolejnej lekcji o potencjalnych zagrożeniach.

Dyrektorzy generalni sązainteresowani rozwojem ich biznesu, dlatego jest to najlepsze miejsce do rozpoczęcia ważnej rozmowy o bezpieczeństwie. Jeśli potrzebujesz więcej zainteresowania i wsparcia dla bezpieczeństwa, zacznij od pokazania dyrektorowi jak bezpieczeństwo może pomóc w osiągnięciu głównych celów biznesu, w napędzeniu innowacji i rozwoju.

Wszystko brzmi dobrze, ale prawdopodobnie nie jesteś pewny jak właściwie zacząć taki proces. Oto lista czterech rzeczy, których powinieneś nauczyć swojego dyrektora generalnego o bezpieczeństwie IT.

  1. Znaleźć balans pomiędzy bezpieczeństwem a produktywnością. Dobre programy bezpieczeństwa są zbudowane by zoptymalizować naturalne napięcie pomiędzy bezpieczeństwem i produktywnością. Zbyt często bezpieczeństwo ma złą reputację, ponieważ hamuje innowacje, produktywność i zdolność biznesu do podejmowania ryzyka. Nie daj się złapać w tę pułapkę. Zacznij ze świeżym podejściem. Przyznaj, że bezpieczeństwo może stanowić hamulec. Zadeklaruj, że stworzysz program zarządzania ryzykiem, który doda wartość do biznesu, który jest zbudowany na zrozumieniu celów, procesów oraz ludzi. Skup rozmowę z kierownictwem na dobrych stronach bezpieczeństwa. Wykorzystaj każdą możliwość do tego, aby bezpieczeństwo stało się widzialną częścią biznesu, która wspiera cele. Dobry program zarządzania ryzykiem może pomóc firmie wejść na nowe rynki lub podjąć nowe ryzyko.
  2. Compliance to nie to samo co bezpieczeństwo. Za pewne słyszałeś to wcześniej. Problem w tym, że jest to bardzo popularny błąd i może wpływać na dyrektora generalnego. Ludzie, którzy mają takie zdanie wierzą w historię, która toczy się mniej więcej tak: Twoja firma była zmuszona aby zastosować się do zestawu regulacji i zasad bezpieczeństwa. W rezultacie, kierownicy zlecili IT ustalenie listy wymagań i stosowali się do każdego. Bez względu na to ile bezpieczeństwa stworzył ten proces, po odznaczeniu każdego z wymagań z listy, dyrektor mógł zachwalać „bezpieczeństwo” swojej firmy. Dyrektorzy wiedzą o regulacjach i wymaganiach. Znają koszty, jakie trzeba ponieść by spełnić wymagania PCI, HIPAA, SOX orazlokalnych przepisów. Problem w tym, że dyrektor skupia się na kosztach i zakłada, że compliance wystarczy. Powinieneś porozmawiać z dyrektorem o minimalnych wymaganiach, które mogą okazać się wystarczające dla audytora, ale nie wystarczające do ochrony biznesu. Jest to najtrudniejsza rozmowa, szczególnie w firmach, w których dyrektor generalny zna zasadę „80/20” i proces rozwoju produktu, skupiającym się na dostarczeniu minimalnej ilości funkcji, potrzebnych do stworzenia dobrego produktu. Problem w tym, że obie te strategie mają minimalny zestaw celów. Ty powinieneś edukować swojego dyrektora o tym, że biznes powinien poświęcić więcej zasobów na bezpieczeństwo. Dobra wiadomość jest taka, że takie rozwiązanie jest łatwiejsze do zrozumienia dla kierownictwa. Prościej mówiąc - compliance to zły cel dla bezpieczeństwa IT. Celem dla bezpieczeństwa IT jest ustanowienie programu, który aktywnie wybiera inwestycje, oparte o ryzyko biznesowe.
  3. Bezpieczeństwo to nie problem technologii. Zbyt często liderzy biznesu wpadają w pułapkę kupowania widgetów, rozwiązań, oprogramowania lub aplikacji, aby rozwiązać problemy bezpieczeństwa. Prawda jest taka, że nie można kupić dostatecznie dużo technologii, aby rozwiązać problem bezpieczeństwa. Jest to ciągły, cykliczny proces, który wymaga kombinacji zmian w procesach biznesowych i kulturze korporacyjnej, w dodatku do technologii.
  4. Bezpieczeństwo to proces, który najlepiej rozpocząć teraz. Najlepiej od razu rozpocząć proces rozwoju programu zarządzania ryzykiem. Kiedy nadchodzą złe wieści dotyczące bezpieczeństwa, łatwo jest być przerażonym i się poddać. Szczególnie dla ludzi, bez zaplecza technicznego, zarządzanie ryzykiem może wydawać się zbyt trudnym zadaniem do wykonania. Jednakże nie należy odkładać rozwoju bezpieczeństwa. Im szybciej się tym zajmiesz, tym szybciej twój biznes będzie się rozwijał.


Źródło

www.tripwire.com