Napredak u tehnologiji doveo je do drastičnih promena u strukturi i načinu poslovanja mnogih kompanija, ali i do novih, sofisticiranijih, bezbednosnih rizika i pretnji. Informacioni sistemi sve više postaju vitalne komponente kompanija, zog čega je IT bezbednost postala prioritet. U vezi sa tim, veoma je važno KO je zadužen za informacionu bezbednost i KAKO obavlja svoje dužnosti. Imajući u vidu rapidan razvoj bezbednosnih rizika, donošenja i promene u zakonskoj regulativi, usklađenost sa standardima, postavljeni su visoki zahtevi u pogledu obavljanja poslova zaštite informacione bezbednosti.
Šta je CISO i koja je njegova uloga?
CISO (Chief Information Security Officer) je menadžer informacione bezbednosti u okviru kompanije, koji je odgovoran za bezebednost IT sistema i ima ključnu ulogu u koordinaciji svih aktivnosti koje se tiču bezbednosti informacija.
Koje su dužnosti i odgovornosti?
Danas, menadžeri informacione bezebednosti imaju širok spektar aktivnosti i odgovornosti, od angažovanja IT personala do rukovođenja i davanja smernica politike u cilju zaštite kompanije od novih pretnji. Od CISO se takođe zahteva upravljanje timom iz IT sektra, kako bi se obezbedilo adekvatno davanje prioriteta u određenim situacijama, upravljanje korporativne bezbednosne politike, pridržavanje standarda (prevashodno standard ISO 27001) i procedura, povećanje svesti o bezebdnosnoj kulturi, kontinuirano usavršavanje i obučavanje.
Zadužen je za uspostavljanje bezbednosne strategije, kreiranje bezbednosne politike, kako bi se ostvarili relevantni ciljevi kompanije – zaštita informacione tehnologije, informacija, glavnih informatičkih resursa i komponenti, i održavanje kontinuiteta poslovanja. Realizacija ciljeva usko je povezana sa drugim funkcijama u kompaniji i realizuje se kroz koordiniranu i kompatiblinu saradnju sa drugim menadžerima.
Menadžer informacione bezbednosti upravlja procesima i unapređuje sisteme koji treba da utiču na na manju podložnost sajber napadu, razume i upravlja rizicima, na takav način da u kontinuitetu održava infomratičku bezbednost, razume razvoj sajber pretnji i njene moguće implikacije na organizaciju. To dalje povlači da je potrebno umeće sveobuhvatnog sagledavanja rizika, počev od malicioznih softvera, hakovanja, pa do insajedrskih pretnji i ranjivosti sistema organizacije.
Postojeća IT infrastktura pravovremeno mora biti procenjena i revidirana za svaki bezbednosni rizik, a menadžeri – CISO odgovorni su za korišćenje svih podataka sa kojima raspolažu, da bi izvršili procenu i predvidli rizik, posebno prilikom procene ranjivosti i predlaganja mera u cilju spečavanja incidenta. Njihova dužnost je i konstituisanje politike bezbednosti u vezi sa incidentima, formiranje tima za reagovanje u hitnim situacijama koji reaguje kada dolazi do kršenja bezbednosti ili sajber napada. Pored toga, uz politiku incidenata, zaduženi su i za izradu plana oporavka od katastrofa kako bi se omogućio kontinuitet poslovanja i sve to u skladu sa finansijkom politikom i budžetom kompanije.
Kriterijumi koji opredeljuju kvalitetnog menadžera informacione bezbednosti:
- veštine dobre komunikacije i prezentacije
- inovativni nekonvencionalni način sagledavanja problematike
- sposobnost kreiranja i razvoja politike
- dobra organizacija
- sistematičnost
- multidisciplinarnost
- timski duh
- veštine fianansiranja, planiranja i strateškog upravljanja
- inicijativnost
- orjentisanost ka rešavanju problema
- nadzor, kontrola i upravljanje incidentima
- poznavanje propisa i poštovanje standarda
- iskustvo
O značaju ulaganja u IT sekotr govori i podatak da je čak 83% lidera kompanija povećalo investiranje na polju sajber bezbednosti u poslednjih godinu dana, jer je prioritet da IT sistemi budu sigurni, u skladu sa bezbednosnim i regulatornim zahtevima.