Przeniesienie zarządzania ryzykiem danych na poziom zarządu

C-Level i zarządy

Od lat sektor cyberbezpieczeństwa zajmuje się promowaniem tej problematyki jako kluczowego zagadnienia dla osób podejmujących decyzja w firmach, tzw. C-Level i dla zarządów. Pomimo tego, że wiele jest jeszcze do zrobienia większość organizacji zdaje sobie sprawę, że zarządzanie ryzykiem danych i ich bezpieczeństwo powinno być priorytetem na szczeblu zarządu firmy.

Tradycyjne podejście nie działa

Pomimo rosnących inwestycji w bezpieczeństwo, z badań Ponemon Institute jasno wynika, że koszty działań cyberprzestępców są o wiele wyższe niż w przeszłości. Co więcej, na wykrycie incydentu trzeba tygodni, a nawet miesięcy. Średnio 100 dni jest potrzebnych, żeby firma zorientowała się, że naruszono jej bezpieczeństwo. Z tym pewnie wiąże się tak rosnąca wysokość strat, jakie ponoszą firmy z powodu cyberprzestępczości.

„Tradycyjne” firmy z obszaru bezpieczeństwa, a także te, przedstawiające się jako „next-gen” deklarują często zatrzymanie 99% wszystkich zagrożeń.  Należy jednak pamiętać o tym 1%. To te udane cyberwłamania reprezentują całą resztę i to z nich tworzone są później nagłówki w gazetach.

Dzisiejsze, cybernetyczne pole walki, wymaga nowego, warstwowego podejścia obejmującego:

– narzędzia,
– zapobieganie,
– wykrywanie,
– analizy i badania,
– naprawę ewentualnych szkód
– koordynacji działań.

Nowe podejście wymaga również nowego sposobu myślenia o tym, jak i gdzie poufne informacje są zarządzane i przechowywane. Przejście z rozwiązań bezpieczeństwa chroniących, na te pozwalające wykrywać i analizować zagrożenia posiada wektor rosnący. Jak szacuje Gartner do 2020 roku aż 60% budżetów dedykowanych bezpieczeństwu wydatkowanych będzie na rozwiązania do wykrywania i analizy. Jest to ogromny przyrost w stosunku do 10%, jakie notowano w 2014 roku.

Aby uczestniczyć w tej zmianie, organizacje powinny zmienić podejście i sposób myślenia o zagrożeniach, a także zacząć zarządzać bezpieczeństwem, na wyższym poziomie organizacji.

Zrozumieć kontekst danych

Brutalna prawda o cyberbezpieczeństwie jest taka, że działy IT Security często nie wiedzą gdzie znajdują się cenne dane, które mają chronić. Co gorsza, wiele firm nie jest w stanie odpowiedzieć na podstawowe pytania w związku z danymi. Nie wiedzą, jakimi dysponują, gdzie są przechowywane, a także które z informacji wyrządziłoby szkody w przypadku i utraty lub kradzieży.

Bez tych, podstawowych, informacji działy bezpieczeństwa nie mogą nadawać priorytetów w ochronie danych. W efekcie wszystkie dane mają taką samą wagę co powoduje, że ich ochrona jest nieskuteczna, a będzie jeszcze gorzej z uwagi na rosnące wolumeny danych, tzw. shadow IT, internet rzeczy czy polityki BYOD.

Osoby zarządzające firmą muszą dostarczyć zespołom ds. bezpieczeństwa IT kontekst danych umożliwiający im zrozumienie co chronią, a dzięki temu zastosować najsilniejszą ochronę do najcenniejszych informacji.

Zaangażowanie zarządu

Osoby z poziomu C i członkowie zarządu nie powinni pozostawiać podstawowych pytań dotyczących wrażliwych danych bez odpowiedzi. Nie w 2017 roku. Dzięki przeniesieniu dyskusji dotyczących bezpieczeństwa i zarządzania informacją na szczebel zarządu będzie można rozpocząć opracowywanie strategii ochrony danych skoncentrowanej na proaktywnych działaniach minimalizujących ryzyko cyfrowe w całej organizacji.

Pierwszy, właściwy krok, to przeniesienie odpowiedzialności na tzw. C-Level poprzez włączenie odpowiednich osób do zespołu zarządzania bezpieczeństwem informacji. Na przykład w osobie CISO, CIO lub CSO. Pomimo tego, że zarządzanie ryzykiem często jest rozporoszone po wielu departamentach, wyraźna struktura organizacyjna jest ważna, aby podejmować decyzje w sposób bezdyskusyjny oraz… terminowy.

Po ustaleniu odpowiedzialności, niezbędna wydaje się bieżąca edukacja. Większość firmowych zarządów nie ma doświadczeń z bezpieczeństwem IT i cyfrowym zarządzaniem ryzykiem. Żeby zbudować powszechne zrozumienie i efektywnie mapować ryzyko konieczne wydają się regularne sesje edukacyjne i koncepcyjne. Podczas mapowania ryzyka cyfrowego ocenia się dla poszczególnych ryzyk również skutki biznesowe. Powiązanie ryzyka cyfrowego z ryzykiem biznesowym tworzy wspólną podstawę i wspólne słownictwo.

Dobrym pomysłem jest współpraca z departamentem ds. Audytu. Jest wysoce prawdopodobne, że już obecnie prowadzą wewnętrzną dyskusję o ryzyku związanym z bezpieczeństwem cybernetycznym.

Testowanie procesów i rozwiązań

Przeprowadzenie testów zarówno technologii, jak i procesów jest doskonałym sposobem na pójście krok dalej w przypadku zarządów. Wiele dojrzałych organizacji przeprowadza symulacje celem przetestowania planów reakcji na incydenty i zaangażowania wszystkich zainteresowanych stron w program cyberryzyka. Nowe technologie nieustannie ewoluują, podobnie powinno być z obszarem proaktywnego zarządzania informacją. Ważne jest żeby regularnie oceniać priorytety w zakresie wydatków, istniejących rozwiązań i nowości rynkowych.

Źródło: Patrick Dennis, Elevating Data Risk Management to the Board Level, www.rmmagazine.com

2018-02-07T15:55:15+00:002017/08/29|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <