CISO (Chief Information Security Officer) ili Menadžer informacione bezbednosti je menadžer unutar preduzeća zadužen za stvaranje i održavanje vizije, misije, ciljeva i strategije informacione bezbednosti preduzeća u svrhu zaštite informacija, informacionih resursa, tehnologije i kontinuiteta poslovanja. Uspostavljanje funkcije CISO unutar preduzeća je u današnje vreme standard, posebno kod preduzeća koje su dužne isto napraviti zbog regulatora ili sertifikacije u skladu sa ISO 27001 standardom. Menadžer za informacionu bezbednost se u nekim preduzećima naziva i Savetnik za informacionu bezbednost.
CISO je naročito bitan zbog dolaska nove EU regulative pod imenom GDPR – General Data Protection Regulation, vezane uz zaštitu ličnih informacija, koja se odnosi na sve članice Evropske unije, kao i na sva preduzeća koje posluju s članicama EU. CISO ima jednu od ključnih uloga u usklađivanju preduzeća s navedenom regulativom, kao i smanjenju rizika od visokih kazni koje ova regulativa propisuje.
Najvažnija pitanja koja se preduzeća pitaju:
- Kako da uspostavim funkciju menadžera informacione bezbednosti u preduzeću?
- Koje su odgovornosti menadžera informacione bezbednosti?
- Koji su najčešći problemi i izazovi menedžera informacione bezbednosti?
- Kako vršiti funkciju menadžera informacione bezbednosti?
- Kako uskladiti poslovanje i informacionu bezbednost novoj regulativi evropske unije, GDPR?
Glavni službenik za bezbednost informacija (CISO) je pozicija koja se pojavila u osamdesetim godinama, međutim svojo veliki procvat je doživela krajem devedesetih i od tada ga karakteriše konstatni I ubrzani razvoj.
Menadžeri inforamcione bezbednosti su u početku bili zapošljavani od strane velikih korporacija, međutim CISO se sada mogu naći u skoro svakom privatnom i javnom sektoru. Često, u saradnji sa glavnim službenicima za informisanje (CIO) i glavnim tehničkim službenicima (CTO), zaduženi su za zaštitu informacija i sistema koji omogućavaju poslovanje od zloupotrebe i kompromitovanja.
Kada su počeli da postaju deo strukture upravljanja organizacijom, CISO se nalazio u okviru IT sektora i bili su podređeni CIO-u. Tada se bezbednost poimala sasvim jednostavno – kao još jedan element IT infrastrukture, pored servera, aplikacija i mreža, koji je trebalo upravljati, potpuno drugačije od današnjeg shvatanja pojma informacione bezbednosti.
Zatim je došlo do prelomnog momenta u 2009. godini kada je Google, zajedno sa brojnim drugim visokoprofilabilnim kompanijama, priznao da su njegovi IT sistemi u Kini bili kompromitovani tokom operacije Aurora. Preko svih sektora kompanije su shvatile da, ako bi organizacija poput Google-a mogla da bude napadnuta, morale bi mnogo ozbiljnije uzeti sopstvenu sajber sigurnost.
Kao rezultat toga, sve veći broj organizacija je odlučio da izbaci CISO u odvojeno odeljenje, van IT-a, s obzirom da je deo sigurnosne funkcije bio revizija IT sektora. U nekim slučajevima, sigurnosna funkcija postala je deo grupe za upravljanje koja se sastojala od ljudi kao što su Glavni službenik za rizik i pravni savetnik. Smatralo se da bi, pristupajući novim izazovima na ovaj način, informaciona bezbednost privukla veću pažnju top menadžmenta, ali I dobila resurse potrebne za efikasno čuvanje od napada.
Ostvarivanje ovakvih strukturnih promena takođe je pomoglo CISO-u da bolje preduzmu jednu od svojih najvažnijih uloga – reviziju sigurnosnih alata i procesa u njihovoj organizaciji. Redovne i sveobuhvatne revizije predstavljaju osnovni element bilo koje strategije za zaštitu na nivou preduzeća.
Ovaj zadatak se često pokaže izuzetno teškim kada se sigurnosna funkcija čuva u širem krugu IT sektora. U toj situaciji, CISO se u suštini suočava sa neprijatnom situacijom u pogledu revizije svojih IT timova, ali i izradi statusnog izveštaja za CIO – koji je ujedno i njihov šef.
Kada je došlo do promene linije izveštavanja, CISO-u je omogućeno da više doprinese u postizanju sveobuhvatnijeg bezbednosnong stanja.
Posedovanje transparentnije bezbednosne uloge takođe može olakšati CISO-u da postigne traženo povećanje budžeta. Kad odbor jasno razume situaciju i sve neadekvatnosti koje mogu da postoje unutar organizacije, verovatnije će otvoriti torbice i ulagati u neophodne alate i veštine.
Još jedan pokazatelj koliko se uloga CISO razvila jeste da neke organizacije sada menjaju strukturu upravljanja, tako da IT sektor i CIO zapravo izveštavaju direktno u CISO. Ovo se radi tako da se sve odluke vezane za tehnologiju vide iz perspektive uticaja koji će imati na ukupnu bezbednost. Takođe pomaže u sprečavanju donošenja tehničkih odluka u jednoj oblasti IT-a koja ima štetan uticaj na bezbednost na drugu.
Kandidati za CISO poziciju u nekoj kompanije odnosno korporaciji trebaju imati kombinaciju tehničkih znanja i veština, kao i razumevanje uslova poslovanja u kojima njihova organizacija funkcioniše. Takva mešavina može biti izazovna za pronalaženje.
U budućnosti, najuspešniji CISO će biti oni koji postignu ravnotežu između razumevanja bezbrojnih sigurnosnih problema i pretnji, sve dok budu potpuno procenjeni kako poslovanje funkcioniše kako bi se osiguralo da se donose odgovarajuće odluke o rizicima. Ostaje složen ali vitalan posao.
