Η RSA, το Τμήμα Ασφαλείας της EMC, έδωσε στη δημοσιότητα την έκθεση με τα αποτελέσματα μιας νέας έρευνας του SBIC στην οποία αποκαλύπτεται το τι θα πρέπει να περιέχει ένα πρόγραμμα ασφαλείας.
Τους τελευταίους 18 μήνες έχουμε παρατηρήσει σημαντικές αλλαγές στις απαιτήσεις και τα κριτήρια επιτυχίας για τις ομάδες ασφαλείας ΙΤ, καθώς βρισκόμαστε σε ένα περιβάλλον που χαρακτηρίζεται από τη διασύνδεση όλων με όλους (hyper-connected), τη συνεχή μετάλλαξη των διαδικτυακών απειλών και την υιοθέτηση νέων τεχνολογιών, ενώ παράλληλα υπάρχει πολύ αυστηρός έλεγχος σε επίπεδο κανονιστικών ρυθμίσεων. Προκειμένου να μπορέσουν να ανταποκριθούν στις απαιτήσεις ενός περιβάλλοντος που αλλάζει διαρκώς, οι ομάδες ασφαλείας συστημάτων και πληροφοριών βρίσκονται σε ένα στάδιο επαναπροσδιορισμού των κύριων λειτουργιών τους και των τομέων ευθύνης τους.
Σύμφωνα με την τελευταία έκθεση του SBIC, με τίτλο “Transforming Information Security: Designing a State-of-the Art Extended Team,” (“Μετασχηματίζοντας την Ασφάλεια των Πληροφοριακών Συστημάτων: Σχεδιάζοντας μια σύγχρονη ομάδα πολλαπλής κρούσης”), οι ομάδες που έχουν επιφορτιστεί με την προστασία των πληροφοριακών συστημάτων θα πρέπει να εμπλουτιστούν με δεξιότητες που μέχρι τώρα δεν συναντούσαμε σε μία τυπική ομάδα ασφαλείας, όπως η διαχείριση επιχειρηματικού κινδύνου, γνώση νομικών, το μάρκετινγκ, τα μαθηματικά και οι προμήθειες. Ο τομέας του information security θα πρέπει επίσης να υιοθετήσει ένα μοντέλο συν-υπευθυνότητας, σύμφωνα με το οποίο η ευθύνη για την προστασία των κρίσιμων πληροφοριών μιας επιχείρησης μοιράζεται μεταξύ διαφόρων ανώτερων και μεσαίων στελεχών, τα οποία αρχίζουν να αντιλαμβάνονται ότι, σε τελική ανάλυση, είναι υπεύθυνοι των δικών τους διαδικτυακών κινδύνων και ότι η σωστή διαχείριση τους αποτελεί πλέον κομμάτι της δουλειάς τους. Καθώς αυξάνονται οι απαιτήσεις για τις ομάδες ασφαλείας και διευρύνονται οι τομείς ευθύνης τους, επισημαίνεται ότι δεν είναι εύκολο να βρεθούν οι κατάλληλοι άνθρωποι που διαθέτουν τις προηγμένες δεξιότητες (τεχνικές και επιχειρηματικές) που απαιτούνται. Έτσι, απαιτείται μια νέα στρατηγική όσον αφορά τη διαμόρφωση και την εκπαίδευση ταλέντων, αλλά και η αξιοποίηση εξειδικευμένων εξωτερικών συνεργατών.
Το Συμβούλιο διαμόρφωσε ένα σύνολο από επτά βασικές συστάσεις, προκειμένου να βοηθήσει τους οργανισμούς να δημιουργήσουν μια σύγχρονη και ικανή ομάδας ασφαλείας ΙΤ. Περισσότερες λεπτομέρειες υπάρχουν στην τελευταία έκθεσή του Συμβουλίου.
Επικεντρωθείτε και εμβαθύνετε σε τέσσερις βασικούς τομείς – Βοηθήστε την κύρια ομάδα ασφαλείας να επικεντρωθεί σε τέσσερις βασικούς τομείς: συλλογή πληροφοριών για διαδικτυακούς κινδύνους (cyber risk intelligence) και ανάλυση δεδομένων ασφαλείας , διαχείριση δεδομένων ασφαλείας, παροχή συμβουλών για θέματα διαδικτυακών κινδύνων, σχεδιασμός ελεγκτικών μηχανισμών και δικλείδων ασφαλείας.
Αναθέστε σε κάποιον τρίτο τις καθημερινές λειτουργίες ασφαλείας – Αναθέστε τις επαναλαμβανόμενες, παραδοσιακές λειτουργίες ασφαλείας στην ομάδα λειτουργίας ΙΤ, στα διάφορα τμήματα της επιχείρησης και/ή σε εξωτερικούς παρόχους σχετικών υπηρεσιών.
Προσλάβετε ή συνεργαστείτε με ειδικούς – Για συγκεκριμένες ειδικότητες, ενισχύστε την βασική σας ομάδα με ειδικούς που θα βρείτε μέσα ή έξω από τον οργανισμό.
Μάθετε τους Risk Owners να κάνουν διαχείριση κινδύνου – Συνεργαστείτε με τα διάφορα τμήματα για θέματα διαχείρισης των διαδικτυακών κινδύνων και αναλάβετε το συντονισμό τους ώστε να υπάρχει μια συστηματική προσέγγιση στο θέμα. Διευκολύνετε τους risk owners να ανταποκριθούν στις απαιτήσεις διαχείρισης ρίσκου και καταστήστε τους υπεύθυνους.
Προσλάβετε ειδικούς για τη βελτιστοποίηση των διαδικασιών – Εντάξτε στην ομάδα ανθρώπους με αποδεδειγμένη εμπειρία στη διαχείριση ποιότητας, έργων και σύνθετων προγραμμάτων, τη βελτιστοποίηση διαδικασιών και την παροχή υπηρεσιών ΙΤ.
Αναπτύξετε σχέσεις – κλειδιά – Αναπτύξτε σχέσεις αμοιβαίας εμπιστοσύνης με βασικούς παίκτες που έχουν στη δικαιοδοσία τους τα κορυφαία προϊόντα του οργανισμού, με τα μεσαία στελέχη και με τους εξωτερικούς παρόχους υπηρεσιών.
Μην ακολουθείτε την πεπατημένη στην αναζήτηση μελλοντικών ταλέντων – Δεδομένης της απουσίας άμεσα διαθέσιμων εξειδικευμένων στελεχών, η ανάπτυξη τέτοιων ταλέντων αποτελεί τη μόνη σίγουρη μακροπρόθεσμη επιλογή για τους περισσότερους οργανισμούς. Αναζητείστε ταλέντα με προηγούμενη εμπειρία σε τομείς όπως η ανάπτυξη λογισμικού, η ανάλυση επιχειρησιακών δεδομένων, η οικονομική διαχείριση, η συλλογή στρατιωτικών πληροφοριών, η νομική, η προστασία προσωπικών δεδομένων και η σύνθετη στατιστική ανάλυση.
