Sve što ste hteli da znate o CISO – Chief Information Security Officer

Informaciona bezbednost je u današnje vreme prioritet svakog preduzeća, te ista predstavlja pravi izazov, ali i dodatno opterećenje. Novi standardi, regulative, zakoni, nove sofisticirane pretnje, tehnologija, kao i novi modaliteti poslovanja traže od preduzeća da se aktivno bave informacionom bezbednošću u svim aspektima poslovanja. Zato preduzeća imenuju osobu koja je zadužena za informacionu bezbednost i poseduje znanje i veštine potrebne za vršenje te funkcije.

2553
Chief Information Security Officer
- Sponzor članka -hikvision srbija

CISO (Chief Information Security Officer) ili Menadžer informacione bezbednosti je menadžer unutar preduzeća zadužen za stvaranje i održavanje vizije, misije, ciljeva i strategije informacione bezbednosti preduzeća u svrhu zaštite informacija, informacionih resursa, tehnologije i kontinuiteta poslovanja. Uspostavljanje funkcije CISO unutar preduzeća je u današnje vreme standard, posebno kod preduzeća koje su dužne isto napraviti zbog regulatora ili sertifikacije u skladu sa ISO 27001 standardom. Menadžer za informacionu bezbednost se u nekim preduzećima naziva i Savetnik za informacionu bezbednost.

CISO je naročito bitan zbog dolaska nove EU regulative pod imenom GDPR – General Data Protection Regulation, vezane uz zaštitu ličnih informacija, koja se odnosi na sve članice Evropske unije, kao i na sva preduzeća koje posluju s članicama EU. CISO ima jednu od ključnih uloga u usklađivanju preduzeća s navedenom regulativom, kao i smanjenju rizika od visokih kazni koje ova regulativa propisuje.

Najvažnija pitanja koja se preduzeća pitaju:

  • Kako da uspostavim funkciju menadžera informacione bezbednosti u preduzeću?
  • Koje su odgovornosti menadžera informacione bezbednosti?
  • Koji su najčešći problemi i izazovi menedžera informacione bezbednosti?
  • Kako vršiti funkciju menadžera informacione bezbednosti?
  • Kako uskladiti poslovanje i informacionu bezbednost novoj regulativi evropske unije, GDPR?

Glavni službenik za bezbednost informacija (CISO) je pozicija koja se pojavila u osamdesetim godinama, međutim svojo veliki procvat je doživela krajem devedesetih i od tada ga karakteriše konstatni I ubrzani razvoj.

Menadžeri inforamcione bezbednosti su u početku bili zapošljavani od strane velikih korporacija, međutim CISO se sada mogu naći u skoro svakom privatnom i javnom sektoru. Često, u saradnji sa glavnim službenicima za informisanje (CIO) i glavnim tehničkim službenicima (CTO), zaduženi su za zaštitu informacija i sistema koji omogućavaju poslovanje od zloupotrebe i kompromitovanja.

Kada su počeli da postaju deo strukture upravljanja organizacijom, CISO se nalazio u okviru IT sektora i bili su podređeni CIO-u. Tada se bezbednost poimala sasvim jednostavno – kao još jedan element IT infrastrukture, pored servera, aplikacija i mreža, koji je trebalo upravljati, potpuno drugačije od današnjeg shvatanja pojma informacione bezbednosti.

Zatim je došlo do prelomnog momenta u 2009. godini kada je Google, zajedno sa brojnim drugim visokoprofilabilnim kompanijama, priznao da su njegovi IT sistemi u Kini bili kompromitovani tokom operacije Aurora. Preko svih sektora kompanije su shvatile da, ako bi organizacija poput Google-a mogla da bude napadnuta, morale bi mnogo ozbiljnije uzeti sopstvenu sajber sigurnost.

Kao rezultat toga, sve veći broj organizacija je odlučio da izbaci CISO u odvojeno odeljenje, van IT-a, s obzirom da je deo sigurnosne funkcije bio revizija IT sektora. U nekim slučajevima, sigurnosna funkcija postala je deo grupe za upravljanje koja se sastojala od ljudi kao što su Glavni službenik za rizik i pravni savetnik. Smatralo se da bi, pristupajući novim izazovima na ovaj način, informaciona bezbednost privukla veću pažnju top menadžmenta, ali I dobila resurse potrebne za efikasno čuvanje od napada.

Ostvarivanje ovakvih strukturnih promena takođe je pomoglo CISO-u da bolje preduzmu jednu od svojih najvažnijih uloga – reviziju sigurnosnih alata i procesa u njihovoj organizaciji. Redovne i sveobuhvatne revizije predstavljaju osnovni element bilo koje strategije za zaštitu na nivou preduzeća.

Ovaj zadatak se često pokaže izuzetno teškim kada se sigurnosna funkcija čuva u širem krugu IT sektora. U toj situaciji, CISO se u suštini suočava sa neprijatnom situacijom u pogledu revizije svojih IT timova, ali i izradi statusnog izveštaja za CIO – koji je ujedno i njihov šef.

Kada je došlo do promene linije izveštavanja, CISO-u je omogućeno da više doprinese u postizanju sveobuhvatnijeg bezbednosnong stanja.

Posedovanje transparentnije bezbednosne uloge takođe može olakšati CISO-u da postigne traženo povećanje budžeta. Kad odbor jasno razume situaciju i sve neadekvatnosti koje mogu da postoje unutar organizacije, verovatnije će otvoriti torbice i ulagati u neophodne alate i veštine.

Još jedan pokazatelj koliko se uloga CISO razvila jeste da neke organizacije sada menjaju strukturu upravljanja, tako da IT sektor i CIO zapravo izveštavaju direktno u CISO. Ovo se radi tako da se sve odluke vezane za tehnologiju vide iz perspektive uticaja koji će imati na ukupnu bezbednost. Takođe pomaže u sprečavanju donošenja tehničkih odluka u jednoj oblasti IT-a koja ima štetan uticaj na bezbednost na drugu.

Kandidati za CISO poziciju u nekoj kompanije odnosno korporaciji trebaju imati kombinaciju tehničkih znanja i veština, kao i razumevanje uslova poslovanja u kojima njihova organizacija funkcioniše. Takva mešavina može biti izazovna za pronalaženje.

U budućnosti, najuspešniji CISO će biti oni koji postignu ravnotežu između razumevanja bezbrojnih sigurnosnih problema i pretnji, sve dok budu potpuno procenjeni kako poslovanje funkcioniše kako bi se osiguralo da se donose odgovarajuće odluke o rizicima. Ostaje složen ali vitalan posao.

5/5 - (3 votes)
Prethodni članakGDPR i korporativna bezbednost
Sledeći članakPostavljena pametna autobuska stajališta sa solarnim napajanjem u Pančevu