System zarządzania bezpieczeństwem informacji (SZBI) w każdej organizacji można podzielić na trzy zasadnicze obszary, choć nie jest to jedyny możliwy podział. Jeden z nich dotyczy nowych projektów wdrażanych w firmie.
I to właśnie on stanowi największe wyzwanie dla organizacji, które pokonują zwykle drogę od zaprzeczenia, że problem bezpieczeństwa w ogóle istnieje, aż po stworzenie frameworku pochłaniającego olbrzymi budżet.
Trzy obszary systemu bezpieczeństwa informacji
Zespoły od bezpieczeństwa pełnią w firmach funkcję wspierającą. Ich działania wpływają na wszystkie obszary biznesu, ingerując w sposób ich pracy i nakładając dodatkowe obowiązki.
Całościowo, system bezpieczeństwa informacji w dowolnej organizacji, można podzielić się na trzy obszary.
- Planowanie i rozwój obszaru bezpieczeństwa (strategia).
- Zabezpieczenia na poziomie operacyjnym.
- Zabezpieczenie zmian i nowych, wdrażanych projektów.
Planowanie i rozwój obszaru bezpieczeństwa
Wyzwania na poziomie strategicznym rozwiązywane są zazwyczaj przy wykorzystaniu usług doradczych. Wymagają one doświadczenia i łączenia niszowych kompetencji.
Consultingu nie da się oczywiście zautomatyzować.
Problemu strategicznego planowania i rozwoju obszaru bezpieczeństwa nie można zatem rozwiązać, kupując gotowy produkt.
Zabezpieczenia na poziomie operacyjnym
Zabezpieczanie podstawowej działalności operacyjnej to domena największych graczy na rynku bezpieczeństwa. Istnieje w tym obszarze szereg specjalistycznych narzędzi służących do monitorowania poziomu bezpieczeństwa.
Są też usługodawcy zdolni do przejęcia niemal wszystkich obowiązków lokalnego zespołu bezpieczeństwa. Chronią oni systemy informatyczne oraz ustrukturyzowane i powtarzalne procesy.
Rozwiązania z tego obszaru można zatem outsource’ować. Wsparciem służy software.
Zabezpieczenie zmian i nowych, wdrażanych projektów
Zabezpieczenia na poziomie projektów i zmian są szczególnie trudne. Każdy większy projekt wymaga indywidualnego podejścia do analizy ryzyka, projektowania i budowy odpowiedniego rozwiązania. Silna presja kosztowa uniemożliwia zaangażowanie konsultantów w celu przejęcia całości obowiązków.
Dorywcze wsparcie jest natomiast kłopotliwe dla dostawców. Brak kompetencji prowadzi do nadmiernych uproszczeń, a te generują ryzyko. Nawarstwiające się wymagania regulacyjne dodatkowo komplikują proces.
Zazwyczaj organizacje, w zależności od dojrzałości, zabezpieczają ten obszar, korzystając z frameworków. Ścieżka, jaką pokonują, zanim osiągną optymalny poziom zabezpieczeń, jest jednak nie tylko długa i skomplikowana, lecz także może pochłonąć znaczne budżety.
Co to oznacza dla ciebie i twojej firmy?
Dbałość o bezpieczeństwo produktów i usług stanowi dziś kryterium jakości i przekłada się na zdolność organizacji do budowy przewagi konkurencyjnej, sukcesywnie stając się obligatoryjnym elementem biznesu w coraz większej liczbie gałęzi gospodarki.
Planowanie systemu zarządzania bezpieczeństwem informacji wymaga podejścia holistycznego. Znajomość obszarów, które musisz zabezpieczyć, pozwoli Ci oszacować budżet, jaki należy na to przeznaczyć. W wielu firmach są to po prostu koszty wewnętrzne wynikające z dodatkowego nakładu pracy delegowanego lokalnym pracownikom (czasami uruchamia się nowe role). Consulting to nadal domena największych, małych firm na to nie stać.
Ostatni z obszarów, czyli zabezpieczenie nowych projektów, przynajmniej częściowo podatny jest na automatyzację. Tutaj znajduje się też największy potencjał oszczędnościowy. Wszystko jednak zależy od tego, jaką drogą dojdziesz do rozwiązania (zwykle frameworku), które zapewni odpowiedni poziom bezpieczeństwa projektu.
O tym, jak zazwyczaj wygląda ta ścieżka, i jakich błędów uniknąć, by niepotrzebnie nie rozdmuchiwać budżetu, przeczytasz w odrębnym wpisie.