V současnosti jsou organizace závislé na informacích, které zpracovávají. Proto by měla být informační bezpečnost předmětem zájmu každé firmy nebo organizace státní či veřejné správy. Efektivní řízení informační bezpečnosti umožňuje efektivní rozložení výdajů na informační bezpečnost.
Z pohledu prosazování a řízení informační bezpečnosti tvoří malé a střední firmy (SMB) specifické prostředí. Rozdíly oproti velkým společnostem jsou následující, přičemž tyto rozdíly jsou tím větší, čím je společnost menší. Většinou firma nemá žádný nebo minimální bezpečnostní tým, rozpočet na bezpečnost je součástí rozpočtu na IT nebo není vytvářen vůbec a řízení zabezpečení bývá prováděno samotným oddělením IT. Celkový rozsah finančních, časových a lidských zdrojů přidělených na informační bezpečnost je nižší a kvůli minimalizaci výdajů je potřeba využívat open-source projekty.
Vytvoření pozice zodpovědné za řízení informační bezpečnosti přináší organizacím posun od náhodného reagování na vzniklé problémy a incidenty k systematickému řízení a účelnému vynakládání výdajů na informační bezpečnost. Název této pozice se v různých publikacích liší, proto budeme dále v článku používat název Chief Information Security Officer (dále jen „CISO“).
Role CISO
V rámci informační bezpečnosti v SMB organizaci je zapotřebí provádět širokou škálu činností, které může, ale i nemusí provádět přímo CISO:
Řídit bezpečnostní rizika, což znamená pravidelně provádět analýzu rizik a přiměřeně reagovat na zjištěná rizika.
Provádět publikační činnost; vydávat, revidovat a aktualizovat interní předpisy, které vytvářejí firemní kulturu ve vztahu k informační bezpečnosti. V některých případech bývá tato činnost minimalizována na dokumenty požadované zákonem na ochranu osobních údajů.
Vzdělávat zaměstnance v oblasti informační bezpečnosti a provozovat program budování povědomí o informační bezpečnosti. Opět v některých případech minimalizováno na zaškolení oprávněných osob.
Řídit a implementovat projekty v rámci informační bezpečnosti, které jsou odvozeny z reakce na zjištěná rizika. CISO může vystupovat v roli projektového manažera, bezpečnostního specialisty nebo nemusí být vůbec zahrnut do implementace daného projektu.
Provozovat bezpečnostní technologie. Zejména v menších firmách může CISO vystupovat i jako bezpečnostní administrátor, který provozuje bezpečnostní technologie a pomáhá ostatním členům IT personálu aplikovat bezpečnostní opatření na systémech mimo jeho správu.
Zjišťovat a reportovat stav bezpečnosti a aktuální potřeby vedení společnosti. SMB organizace si zřídkakdy mohou dovolit pravidelný celoplošný bezpečnostní audit. Proto je CISO nucen sáhnout po jiných metrikách bezpečnosti – logy, výstupy z IDS a VA nástrojů, tickety na helpdesku,…
Řešit bezpečnostní incidenty ve spolupráci se všemi dotčenými organizačními jednotkami.
Tyto činnosti je možné všeobecně rozdělit na činnosti související s řízením bezpečnosti (ty zahrnují analýzu rizik, návrh ošetření zjištěných rizik a pravidelné reportování stavu) a ty ostatní, které zahrnují tvorbu firemní bezpečnostní kultury pomocí interních standardů a vzdělávání, implementaci projektů, provoz bezpečnostních opatření a řešení bezpečnostních incidentů.
Všechny tyto činnosti nemusí nutně provádět přímo CISO, ale mohou být pokryty vícero rolemi v rámci organizace nebo mohou být zabezpečovány externími službami. Rozdělení náplně práce CISO mezi více osob ale přináší riziko, že v konečném důsledku nebude za informační bezpečnost odpovědný nikdo.
Pokud má CISO efektivně řídit bezpečnost, je vhodné, aby byl zodpovědný za výkon činností souvisejících s řízením bezpečnosti a měl pravomoc vyžádat si jejich vykonání prostřednictvím managementu společnosti v potřebném čase, rozsahu a kvalitě v případě, že je sám nevykonává. Přidělení ostatních prací mezi odpovědnosti CISO je přínosem při budování jednotné bezpečnostní strategie a architektury SMB organizace, není však nevyhnutelně potřebné pro řízení bezpečnosti.
Závisí na požadavcích každé SMB organizace, zda CISO bude odpovídat za provádění všech uvedených činností nebo jejich částí, nebo zda kromě vyjmenovaných činností budou do jeho odpovědnosti zahrnuty i jiné činnosti (např. je osobou pověřenou dohledem nad ochranou osobních údajů).
Průzkum stavu informační bezpečnosti za rok 2008 uvádí, že nejvíc oceňovány jsou u role CISO znalost problematiky informační bezpečnosti, technologické znalosti IS/IT, flexibilita a konstruktivní přístup k řešení problémů, schopnost efektivní komunikace s vedením organizace, analytické a manažerské schopnosti. Z toho pak vyplývají požadavky na náplň práce CISO.
Některé z uvedených činností jsou ale nárazové (např. provedení auditu nebo implementace opatření) a jmenování zaměstnance pouze do role CISO může znamenat jeho neefektivní využívání v průběhu roku. Pokud se SMB organizace rozhodla řídit bezpečnost a zřídit roli CISO, je velmi pravděpodobné, že první analýza rizik nebo audit odkryje problémy ve všech oblastech popisovaných normou ISO 27002.
Pokud organizace dynamicky nevyroste, bude po odstranění počátečních problémů rozsah činností CISO snížen na udržování dosažené úrovně bezpečnosti. V takovém případě jsou dvě možnosti – buď kombinovat roli CISO s jinou rolí v rámci organizace, nebo roli CISO outsourcovat.
Přístupy k obsazení role CISO
CISO může být obsazen interním zaměstnancem nebo externím konzultantem. V případě organizací typu SMB s menšími kapacitními požadavky na roli CISO může být problém udržet a vytížit zaměstnance, který má požadované znalosti a výše uvedené schopnosti. O to víc, jestliže má být CISO kombinací technika (správa bezp. technologií), manažera (vedení projektů, komunikace s vedením) a odborníka na bezpečnost (řízení rizik, tvorba interních předpisů a vzdělávání).
Výhodou naopak je to, že zaměstnanec je interní, a je tedy více spjatý s lidmi v organizaci, bude u nich jednodušeji prosazovat zásady informační bezpečnosti a bude citlivěji vnímat jejich potřeby a problémy, protože je s nimi v každodenním kontaktu. Dobré vztahy se zaměstnanci společnosti se ale stávají problémem v okamžiku, kdy je potřeba vyvodit odpovědnost a sankce za způsobený bezpečnostní incident nebo implementovat tvrdší pravidla v rámci organizace.
Role CISO může být obsazena následujícími interními zaměstnanci:
1. Vedoucí IT – výhodou je znalost IT a manažerské schopnosti. Nevýhodou může být znalost řešení bezpečnostních problémů mimo IT – např. v oblasti personální a fyzické bezpečnosti. Navíc je takový člověk v první řadě vedoucím IT a až potom CISO. Protože se u SMB organizací předpokládá, že vedoucí IT má v týmu více specialistů, není provoz bezpečnostních technologií problémem.
2. IT specialista – výhodou IT specialistů je hluboká znalost IT a rychlé pochopení možností technických bezpečnostních opatření. Nevýhodou mohou být manažerské schopnosti a komunikace, ať už při vzdělávání zaměstnanců nebo ve vztahu s vedením organizace.
3. Bezpečnostní administrátor – podobná možnost jako IT specialista s hlubokou znalostí bezpečnostních technologií. I zde mohou být nedostatkem manažerské schopnosti a komunikace.
4. Dedikovaný manažer bezpečnosti – podobná možnost jako vedoucí IT, avšak dedikovaný pouze na řízení bezpečnosti. Nevýhodou může být provádění provozu bezpečnostních technologií a využitelnost i mimo nárazové činnosti.
5. Finanční ředitel – výhodou této možnosti je přímý kontakt na vrcholný management. V případě, že organizace řídí např. finanční rizika, má finanční ředitel dobré předpoklady k řízení bezpečnostních rizik. Nevýhodou může být znalost IT a bezpečnostních technologií, především v případě, kdy CISO odpovídá také za provoz bezpečnostních technologií.
6. Neobsazeno – nejhorší z možností, která znamená, že za řízení informační bezpečnosti není odpovědný nikdo.
V případě personálního sourcingu CISO jsou odpovědnosti a pravomoci stanoveny smlouvou. Ta by měla zaručit, že CISO je využíván podle potřeb organizace k dohodnutým aktivitám a za přijatelnou cenu. Smluvně by měla být definována odpovědnost za vykonávání řídicích činností, které byly zmíněny výše. Zařazení ostatních činností je možné realizovat např. možností volitelně doplňovat činnosti CISO podle aktuální potřeby.
Pokrytí požadavků organizace ze strany sourcingové firmy by mělo být samozřejmostí, především co se týká zkušeností, vědomostí a schopností outsourcovaného CISO. Odpadají problémy s nárazovými činnostmi, protože při flexibilní smlouvě není problém doobjednat činnosti CISO. Ale to, že CISO není součástí organizace, může přinést problémy s orientací v kultuře společnosti, problémy ve spolupráci s organizačními jednotkami v rámci společnosti a vázání činností a odpovědností na uzavřenou smlouvu.
Závěrem
Řízení bezpečnosti je nutno svěřit do rukou zkušené osobě, která dokáže přetavit i menší zdroje, které má organizace k dispozici, do efektivního bezpečnostního programu. To, zda bude pro roli CISO zřízena specifická pozice, jeho odpovědnost bude přidělena některému ze zaměstnanců nebo outsourcovaná, závisí na požadavcích společnosti.
Kladné a záporné stránky těchto přístupů, které jsou shrnuty v tabulce, je potřeba brát jako orientační. Ředitel IT může mít zálibu v tvorbě interních předpisů nebo bezpečnostní administrátor ve školení zaměstnanců. To, jakou kvalitu, zkušenosti a efektivitu při provádění svěřených činností CISO přinese, vždy závisí na konkrétním člověku, který je do této pozice vybrán.
Tento text vyšel v tištěném SecurityWorldu.