A nie mówiłam...

Z Pamelą Fusco, wiceprezes CitiGroup ds. Global Information Security, gościem specjalnym naszej konferencji SEMAFOR, rozmawia Przemysław Gamdzyk.

Z Pamelą Fusco, wiceprezes CitiGroup ds. Global Information Security, gościem specjalnym naszej konferencji SEMAFOR, rozmawia Przemysław Gamdzyk.

Rośnie liczba incydentów naruszenia bezpieczeństwa informatycznego w firmach i wypadków włamań nagłaśnianych przez media, a jednocześnie liczba użytkowników sieci oraz wielkość samego ruchu i wykorzystania sieci. Co zatem rośnie szybciej? Czy jesteśmy teraz bardziej czy mniej bezpieczni niż kilka lat temu?

W takim ujęciu dynamiki zjawisk, o których Pan mówi, raczej jesteśmy bezpieczniejsi, ale zmieniła się też natura zagrożeń, z jakimi mamy do czynienia i tutaj na pewno występują zjawiska groźniejsze niż dawniej.

Niektórzy mówią o rosnącej sile tzw. podziemnej ekonomii - świecie sieciowych przestępców, którzy utrzymują się z nielegalnej działalności w Internecie, włamań, phisingu... Jak Pani ocenia skalę tego zjawiska?

Jest ogromne! Na pewno to biznes o wartości miliardów dolarów. W sieci jest podobnie jak w świecie rzeczywistym, jeśli chodzi o nasilenie negatywnych zjawisk, ale znacznie łatwiej tutaj transportować czy ukrywać "nielegalne dobra".

Specjaliści od bezpieczeństwa są w jakimś sensie na straconej pozycji, bo to tacy "smutni panowie", którzy ciągle czegoś chcą, w szczególności pieniędzy na inwestycje, a właściwie niczego nie tworzą, nie przykładają się do wypracowania zysku w firmie...

No wcale nie jesteśmy tacy smutni [śmiech]. Ale faktycznie kwestia komunikacji w pracy menedżera bezpieczeństwa IT odgrywa kluczową rolę. Nie można być dobrym menedżerem w tym obszarze, jeśli nie umie się do siebie i tego, co się robi, zjednywać innych. Tego niestety często w wielu przypadkach brakuje.

Jak wygląda obecnie sytuacja pod tym względem w dużych korporacjach?

Myślę, że coraz lepiej. Zarządy zaczynają zdawać sobie sprawę z tego, że konsekwencje słabości systemów bezpieczeństwa mogą oznaczać ich osobistą odpowiedzialność. Menedżer co prawda może się pytać, po co mi to, skoro do tej pory nic poważnego się nie stało? Po co inwestować, skoro doświadczenie wskazuje, że to inwestycja niepotrzebna? Problem tylko w tym, że nie mamy pewności, czy rzeczywiście nic się nie zdarzyło, czy faktycznie nie naruszono bezpieczeństwa IT, skoro nie mieliśmy dotąd ani rozwiązań organizacyjnych, ani odpowiednich narzędzi, które pozwalałaby na kontrolę i monitoring faktycznego stanu rzeczy.

Kluczową kwestią jest uświadomienie zarządu, jakie ryzyko ponosi się na skutek zaniechania podjęcia działań w zakresie bezpieczeństwa IT. Taka decyzja z biznesowego punktu widzenia może być słuszna, ale istotne, aby zarząd przed jej podjęciem wiedział, jaki jest faktyczny poziom ryzyka.

Czyli trzeba postraszyć? Dostawcy często tak robią...

Straszenie nie pomaga i raczej na dłuższą metę może tylko zniechęcać innych do ekspertów zajmujących się bezpieczeństwem IT. Nikt nie lubi być straszony. Z własnej praktyki wiem, że nic tak dobrze nie działa, jak faktyczne naruszenie bezpieczeństwa, które menedżer ds. bezpieczeństwa dobrze wykorzysta do zademonstrowania zarządowi, co się stało i dlaczego. Tyle razy miałam już wątpliwą satysfakcję, że mogłam powiedzieć decydentom "a nie mówiłam".

Czy firmy dążą obecnie do łączenia w rękach jednej osoby nadzoru nad bezpieczeństwem IT i bezpieczeństwem fizycznym?

I tak, i nie. Dzieje się to raczej na poziomie wyjścia poza sferę bezpieczeństwa, bo bezpieczeństwo IT i bezpieczeństwo fizyczne pozostają osobnymi obszarami, choć obie te rzeczy obejmuje coraz częściej swoją jurysdykcją menedżer na stanowisku Chief Risk Officer lub Chief Privacy Officer. Generalnie wszystko będzie tutaj wiązane pod zarządzanie ryzykiem. Oczywiście nie ma tu jednego schematu i bardzo różnie wygląda np. zależność CSO względem CIO, tudzież samego CIO względem CRO czy CEO.

PAMELA FUSCO zajmuje stanowisko wiceprezesa CitiGroup ds. Global Information Security. Jest jednym z najbardziej znanych na świecie ekspertów i menedżerów w zakresie bezpieczeństwa informatycznego i organizacyjnego oraz zarządzania ryzykiem — łączy podejście i wiedzę na poziomie technologii oraz zapewnienia bezpieczeństwa całej organizacji. Posiada certyfikaty CISSP, CISM i CHS-III. Wcześniej pełniła funkcję Chief Security Officer w firmach Merck & Co, Digex oraz MCI Security Solutions, a także podejmowała pionierskie prace w celu zapewnienia bezpieczeństwa teleinformatycznego w ramach usług świadczonych przez EDS na rzecz amerykańskiego Departamentu Obrony (jako oficer US Navy). Jest członkiem organizacji ISSA.