Jednym z głównych obszarów systemu zarządzania bezpieczeństwem informacji w każdym przedsiębiorstwie jest zabezpieczenie nowych projektów. Zazwyczaj przedsiębiorstwa wydają na ten cel zdecydowanie więcej pieniędzy niż jest to konieczne. Jak tego uniknąć?
Większość organizacji, by osiągnąć optymalny poziom bezpieczeństwa projektu, pokonuje ścieżkę złożoną z pięciu kroków. Ta droga powoduje, że budżet wydany na ostateczne rozwiązanie jest o wiele większy, niż mógłby być, gdyby firma od początku zdecydowała się na właściwe rozwiązanie.
Prześledźmy ją.
Etap 1 – ignorowanie.
Na tym etapie dojrzałości firma nie jest świadoma zagrożenia, uznaje je za akceptowalne lub uważa, że wdrożenie zabezpieczeń będzie nieopłacalne. Zazwyczaj problem ten dotyczy małych firm: niewielkich software house’ów, banków, kancelarii prawnych, firm księgowych czy innych.
Etap 2 – „papierowe” bezpieczeństwo.
Firma dostrzega ryzyko, zarząd deleguje obowiązki z obszaru bezpieczeństwa obecnemu zespołowi. Braki maskuje dokumentami. Szukając wsparcia, jego zakres definiuje zazwyczaj jedynie w oparciu o kryterium spełnienia wymagań regulacyjnych, posiłkując się głównie usługami kancelarii prawnych
Etap 3 – body leasing.
Wskutek niekompletnych lub nieumiejętnie zaprojektowanych procesów firma boryka się z bardzo dużą pracochłonnością zadań związanych z zapewnieniem bezpieczeństwa informacji. Adresuje problem ad-hoc, zasilając przeciążone jednostki zewnętrznymi pracownikami.
Nadal jednak pracuje w sposób mało wydajny, wiele obowiązków wykonywanych jest niepotrzebnie i mimo poniesionych kosztów realny poziom poprawy jest nadal niewystarczający.
Domeną tego poziomu dojrzałości jest również ograniczona zdolność adaptowania się do zmieniającej się charakterystyki zagrożeń lub wymagań regulacyjnych.
Etap 4 – przestoje, puchnące budżety.
Pojawiają się pierwsze skutki niedociągnięć w obszarze bezpieczeństwa. Zewnętrzni doradcy nie są w stanie uporać się z tym problemem, niezależnie od swojego poziomu eksperckości.
Pozycja dyrektora ds. bezpieczeństwa ulega osłabieniu.
Etap 5 – custom framework.
Dotychczasowe rozwiązania działają na zasadzie „zaślepek”. Ich łączny koszt znacznie przewyższa koszt wdrożenia zaprojektowanego od podstaw procesu.
Dopiero na tym etapie firmy decydują się na zbudowanie frameworku dostosowanego do ich potrzeb. Niestety – stać na to tylko nieliczne organizacje, najczęściej największe, takie jak duże banki, firmy telekomunikacyjne, duże firmy ubezpieczeniowe czy producentów automatyki przemysłowej.
Jak nie iść tą drogą?
Zabezpieczenie procesu wytwarzania zmian / zarządzania projektami to jeden z kluczowych obszarów systemu bezpieczeństwa informacji w każdej organizacji, i – podobnie jak zabezpieczenie firmy na poziomie operacyjnym czy planowanie i rozwój tego systemu w odniesieniu do całej organizacji, holistycznie – nie może być ignorowane.
Adresowanie jego wymagań w nieodpowiedzialny sposób wcześniej czy później odbije się negatywnie na kondycji finansowej firmy – nawet niekoniecznie wskutek incydentu.
Śledź SEDIVIO by dowiedzieć się więcej o rozwiązaniu, które pozwoli Osiągnąć rezultaty zbliżone do kosztownego frameworku projektowanego na zamówienie po znacznie niższej cenie.