Odpowiedzialność za bezpieczeństwo przechodzi do biznesu

Rola dyrektora ds. bezpieczeństwa informacji w firmie gwałtownie się zmienia. Skoro nie może opanować wszystkich pojawiających się technologii, będzie musiał ocenić ich przydatność od strony biznesowej.

W dniach 27-28.03.2014 odbyła się siódma edycja konferencji SEMAFOR – Forum Bezpieczeństwa i Audytu IT. Branżowi eksperci rozmawiali na niej o wyzwaniach w kontekście aktualnych zagrożeń i trendów.

O jednym z najważniejszych wyzwań tego typu mówił Andrew Rose, główny analityk ds. zarządzania bezpieczeństwem w firmie Forrester Research. Rose prognozował, jak w ciągu najbliższych lat zmieni się rola nowoczesnego CISO (Chief Information Security Officer).

Zobacz również:

Czy to koniec klasycznego CISO?

Analityk Forrester Research twierdzi, że rola klasycznego CISO całkowicie się zmienia. Nie zmienia się natomiast to, że CISO jest potrzebny. Jest wręcz potrzebny bardziej, niż kiedykolwiek do tej pory. W roku 2014, taka osoba – zdaniem Rose’a - często ma bardzo małą wiedzę na temat bezpieczeństwa informacji, lub nie ma jej wcale. Współczesny CISO jest natomiast dobrze zorientowany w sprawach biznesowych – potrafi rozmawiać z liderami biznesu.

W najbliższych latach technologia na tyle się rozrośnie i skomplikuje, że jej dokładne zrozumienie straci kluczowe znaczenie. Niektórzy twierdzą wręcz, że będzie to wiedza uzupełniająca, opcjonalna. Na pierwszym miejscu stawiane będzie za to rozumienie biznesu. Rose twierdzi, że ktoś, kto chciałby sięgnąć po tytuł CISO roku 2018, musi szybko na nowo określić swoje miejsce i zadania w organizacji. Kto tego nie zrobi, może mieć problem z utrzymaniem swojego stanowiska.

Nowe zagrożenia

Rose wymienił kilka zagrożeń, rzeczy, na nadejście których trzeba być gotowym. Są to:

Zatrudnienie – organizacje mają problem ze znalezieniem odpowiednich pracowników, ci zaś przenoszą się z firmy do firmy, kuszeni chociażby wyższymi zarobkami.

Nowe interfejsy – jako przykład podał Google Glass będący wzorem nowego sposobu wchodzenia w interakcję z technologią, ale jednocześnie nowym zagrożeniem.

Coraz większe oczekiwania klientów – są oni coraz bardziej przyzwyczajeni do nowoczesnych technologii i wymagają, by ich prywatność i bezpieczeństwo zawsze były gwarantowane.

Nowe rodzaje transakcji biznesowych – jako przykład Rose podał Bitcoin. Organizacje będą zmuszone korzystać z nowości, ponieważ będą to robili klienci. Kto nie podąży za klientem, ten narazi się na jego utratę.

M2M/internet rzeczy – technologie, które całkowicie zmienią świat. CISO musi sprawić, by ich wykorzystanie było właściwie zabezpieczone

Ewolucja zagrożeń zewnętrznych – jako przykład Rose wskazał działalność hakerów pracujących na zlecenie państw. Choć jeszcze bardziej cofną się oni w cień, to istnieje ryzyko, że zaawansowane narzędzia, z których korzystają, wpadną w ręce zwyczajnych przestępców.

Mobile/Cloud/Big Data/Social – większość organizacji będzie z nich korzystała, lub już korzysta, ale nie zdaje sobie sprawy z tego, jakie wiążą się z tym zagrożenia.

Wskazując na te wyzwania Forrester Research pytało CISO o to, jak widzą swoją rolę w roku 2018. Odpowiedzi były w zasadzie jednoznaczne. Praktycznie wszyscy ankietowani odpowiedzieli, że wszystkie rzeczy, które są dla nich priorytetem obecnie, pozostaną priorytetem w roku 2018. Różnica jest taka, że tych priorytetów przybędzie.

Zmieni się również sama piramida priorytetów. O ile obecnie zagadnienia technologiczne mogą znajdować się obecnie na jej szczycie, to w niedalekiej przyszłości spadną na samo dno. Istotne staną się aspekty biznesowe pracy. I to pomimo tego, że jak wskazują powyższe punkty – wzrośnie także zapotrzebowanie na zrozumienie i umiejętne zabezpieczenie nowoczesnych technologii.

Zdaniem Rose’a, CISO w roku 2018 będzie przede wszystkim kimś w rodzaju łącznika między działem bezpieczeństwa, a działami odpowiedzialnymi za rozwój biznesu i inwestycje. Jego priorytetem staną się rozmowy z biznesem, z którym będzie musiał porozumiewać się językiem biznesu, a nie językiem technologicznym.

Jak to pogodzić

Odpowiedź na powyższe pytanie, jest bardzo prosta. Nie da się tego zrobić. Rose twierdzi zatem, że CISO, jakim znamy go w roku 2014, przestanie istnieć. Jego rola się rozmyje, a poszczególne obowiązki zostaną przejęte przez takie osoby, jak ekspert ds. technologii, analityk bezpieczeństwa, konsultanci i doradcy (prawni i ds. zgodności). Nad nimi wszystkimi czuwał będzie natomiast Corporate Information Risk Manager.

Obecnie CISO mogą albo spróbować objąć jego rolę, albo pogodzić się z tym, że zostaną przesunięci o jeden poziom niżej w strukturze organizacji i będą konkurowali z wieloma osobami o awans, a nawet utrzymanie się w firmie. Z osobami, które często będą posiadały umiejętności bardziej cenione od typowych umiejętności technologicznych.

Wyjście jest jedno

Rose ma jedną radę – uczyć się. Zaleca, by dzisiejszy CISO opanował język biznesu, nauczył się czytać i analizować raporty finansowe, sam stał się liderem biznesu i zaangażował w proces podejmowania decyzji biznesowych. Nowoczesny CISO musi wiedzieć, na czym firma osiąga przychody i co konkretnie biznes stara się osiągnąć. Nawet jeśli sam zazwyczaj nie posiada dyplomu MBA, to o pozycję będzie walczył z osobami, które mogą taki dyplom mieć.

Nadejście zmian jest nieuniknione, niezależnie od tego czy się ich chce, czy nie. Rose poleca, by przed lustrem zadać sobie proste pytanie – czy jest się CISO z krwi i kości czy tylko kimś, kto przypadkiem znalazł się w tym miejscu. Jeśli jest się tym pierwszym, należy zdobyć nową wiedzę i zwiększać swoją odpowiedzialność, przechodząc w konsekwencji ku wyższym stanowiskom.


TOP 200