Steve Katzt 25 éve vették fel információbiztonsági vezérigazgató-helyettesként (Chief Information Security Officer, CISO) a Citi Corphoz, egy olyan adatbiztonsági incidenst követően, amelynek kezelése több százezer dollárjába került a vállalatnak. Állítólag ő volt az első ilyen pozíciót betöltő szakember.
A technológia azóta exponenciális növekedésen ment keresztül. A CISO szerepköre is folyamatosan változott, és számos vállalat bízott meg információbiztonsági vezetőt internetbiztonsági feladatai kezelésével.
Bár a CISO, mint pozíció elfogadottá vált az üzleti életben, az igazgatósági üléseken jellemzően perifériára szorultak az információbiztonsági szakemberek. A vezérigazgatók elismerik az információbiztonság fontosságát, de azt jellemzően a védelem utolsó vonalának tekintik, nem pedig a működés támogatójának.
Ennek meg kell változnia. A CISO-t nemcsak akkor kell bevonni a folyamatokba, ha támadás éri a vállalatot, és a cég internetbiztonsági funkciójának jóval többről kell szólnia a reagálásnál. Hiszen a CISO a vállalat növekedésében is fontos szerepet játszik.
Az információbiztonsági vezetők eleinte műszaki háttérrel rendelkeztek. De az idők során a pozíció egyre inkább üzleti szemléletűvé vált, és azok, akik most végeznek az egyetemeken ezen a területen, jellemzően adattudományra és adatkezelésre szakosodtak.
A modern CISO pozíciójának megformálása kihívásokkal teli feladat, hiszen a jövő információbiztonsági vezetőjének aktívan elő kell segítenie a biztonságot prioritásként kezelő stratégia kidolgozását, és ezen keresztül a vállalat növekedését.
A CISO-t üzleti szempontból is megéri támogatni
Napjaink üzleti környezete egyre erősebben támaszkodik a digitális módszerekre. Ebből eredően az internetbiztonság minden eddiginél fontosabb szerepet játszik a vállalati célok elérésében.
A felsővezetés számára mindenütt a beruházások megtérülése, a ROI a legfontosabb szempont. Ám nem feltétlenül vannak tudatában annak, hogy a megtérülés szempontjából az információbiztonsági vezető is épp olyan fontos szerepet tölt be, mint az igazgatóság többi tagja.
És ez nem merül ki az adatbiztonsági incidensek elleni védekezésben. A Modern CISO-k olyan növekedési stratégia kidolgozásával járulnak hozzá az üzleti sikerhez, amely előre azonosítja és enyhíti a lehetséges kockázatokat.
Így a szervezet proaktívan kezelheti az internetbiztonságot. Nem passzívan várja a támadást, hanem először is megvizsgálja, milyen módokon lehetne megelőzni az incidenst. Ezzel segít a vállalatnak megőrizni hírnevét és fenntartani ügyfelei bizalmát.
A CISO-k nem hiába kaptak helyet az igazgatóságban. A digitális működés felügyelete kritikus tényezővé vált, figyelembe véve, mekkora szerepet játszik a technológia a vállalatok napi szintű működésben. A növekedéssel párhuzamosan a stratégiában is erősödnie kell a CISO szerepének.
Az internetbiztonság átfogó jellege
Fontos, hogy a CISO közelebb kerüljön a vállalati döntéshozókhoz. Ehhez azonban újra kell definiálni a biztonsági vezető tevékenységét.
A jelenlegi percepció szerint a CISO-nak leegyszerűsítve az a dolga, hogy létrehozza és kezelje a vállalatot védő tűzfalakat. Ez természetesen fontos része a munkájának – de ennél azért többről van szó.
Az információbiztonsági vezető kiemelt feladata azoknak az oktatási és tájékoztatási programoknak a lebonyolítása, amelyek hozzájárulnak a vállalat egészséges biztonsági kultúrájának kialakulásához, és növekedés közben is segítenek fenntartani a védelmet.
Mindez nem merülhet ki egyszeri, illetve ismeretfrissítő biztonsági oktatásban. Folyamatosan csepegtetni kell az információt, hogy a munkatársakat állandóan emlékeztessék a felelősségükre. Így alakul ki a szervezetnél a hatásos internetbiztonsági háttér megteremtéséhez szükséges kultúra.
Az igazgatóságon belül egyedül a CISO állhat ennek a folyamatnak az élére. A sikeres megvalósításhoz azonban a teljes igazgatóság támogatására szükség van. A többi vezető értékes tanácsokkal és meglátásokkal szolgálhat az olyan biztonsági kultúra kidolgozásához, amely ösztönzi a dolgozók körében a biztonságtudatos munkavégzést. Ez a CISO fő hivatása: be kell építenie az internetbiztonságot a vállalati szokásokba, folyamatokba és mechanizmusokba – hasonlóan ahhoz, ahogy az ember a bejárati ajtót is automatikusan kulcsra zárja, amikor elmegy otthonról.
Az internetbiztonság szerepe az üzleti növekedésben
Nem szerencsés, ha az internetbiztonság bevált gyakorlatának alkalmazását „feladatnak” tekintik. Automatizmussá, az üzleti működés természetes részévé kell válnia, az új belépőktől a vezérigazgatóig, minden szinten.
A CISO részére megfelelő költségvetést kell biztosítani a hatásos internetbiztonságot támogató és a szervezeti kultúrához illeszkedő program bevezetéséhez. Ehhez pedig az igazgatóság minden tagjának pontosan meg kell értenie, miért gyakorol a biztonság pozitív hatást az üzleti növekedésre.
A digitális technológia korában a vállalatoknak „beépített” (by design) biztonsági és adatvédelmi szemléletre lesz szükségük. Csak így működhetnek sikeresen és nyereségesen a hálózatokkal mindinkább átszőtt, digitális társadalomban.
Olvassa el a Fujitsu friss jelentését az ügyfelek igényeit és üzleti céljait szem előtt tartó, ütőképes biztonsági stratégia kialakításáról.