Directorii şi rolul lor în securitatea informaţiei
În cadrul primului studiu care a implicat directori pentru securitatea informatiei, centrul IBM Center for Applied Insights a intervievat peste 130 de lideri ai departamentelor de securitate şi a identificat trei tipuri de lideri în funcţie de gradul de pregătire împotriva breşelor de securitate şi de maturitatea sistemelor de securitate. Reprezentând aproximativ un sfert din directorii intervievaţi, directorii de securitate de tip “Influencer” influenţează strategiile de afaceri ale companiilor şi sunt mai încrezători şi pregătiţi decât celelalte două tipuri de directori – de tip “Protector” şi de tip “Responder”.
În prezent directorii de securitate sunt supuşi unor presiuni imense, deoarece trebuie să securizeze cele mai importante active ale companiilor – resurse financiare, date referitoare la clienţi, proprietate intelectuală şi brand. Aproximativ două treimi dintre Directorii pentru Securitatea Informatiei (CISO) intervievaţi au relevat faptul că directorii generali sunt mai interesaţi de securitatea sistemelor comparativ cu acum doi ani; o serie de atacuri de profil înalt şi breşe de securitate i-au convins de rolul important pe care îl ocupă securitatea în cadrul companiilor. Peste jumătate dintre participanţii la studiu au identificat securitatea dispozitivelor mobile în topul priorităţilor tehnologice în următorii doi ani. Aproximativ două treimi dintre participanţi estimează că bugetele departamentelor de securitate vor creşte în următorii doi ani, iar dintre aceştia, 87% estimează creşteri de două cifre.
Rolul îndeplinit de directorii de securitate se schimbă de la soluţionarea reactivă a breşelor de securitate către managementul inteligent şi holistic al riscurilor – anticiparea şi diminuarea breşelor de securitate. Printre caracteristicile emergente identificate în practicile de securitate ale directorilor de tip “Influencer” se numără:
Securitatea privită ca o cerinţă de business: Una dintre cele mai importante atribuţii ale unei organizaţii de top este de a capta atenţia liderilor de business şi a consiliilor de administraţie. Securitatea nu este un subiect ad hoc, ci face parte din agenda de afaceri şi, din ce în ce mai mult, din cultura organizaţiei. De fapt, 60% dintre organizaţiile avansate au identificat securitatea ca un subiect discutat frecvent la întâlnirile dintre membrii consiliului de administraţie, comparativ cu doar 22% dintre organizaţiile mai puţin avansate. Aceşti lideri înţeleg nevoia de practici vigilente împotriva riscurilor – şi sunt mai concentrate asupra instruirii, colaborării şi comunicării la nivel enterprise. Organizaţiile de securitate vizionare sunt mai predispuse să stabilească un comitet de securitate pentru a încuraja o abordare sistemică asupra problemelor de securitate ce apar la nivelul departamentelor juridice, de operaţiuni de business, financiare şi de resurse umane. 68% dintre organizaţiile avansate prezintă un comitet de evaluare a riscurilor, comparativ cu doar 26% dintre organizaţiile mai puţin avansate.
Utilizarea datelor în procesele decizionale şi de evaluare: Organizaţiile de top sunt de două ori mai predispuse să folosească datele pentru a monitoriza progresul, arată concluziile studiului (59% comparativ cu 26%). Urmărirea conştienţei utilizatorilor, instruirea angajaţilor, abilitatea de a rezolva ameninţări viitoare şi integrarea noilor tehnologii poate ajuta la crearea unei culturi conştientă asupra riscurilor. Monitorizarea automată a procedurilor standardizate permite directorilor de securitate să dedice mai mult timp pentru a se concentra asupra riscurilor sistemice.
Responsabilitate partajată împreună cu ceilalţi directori pentru stabilirea bugetelor: Studiul a identificat că în cadrul multor organizaţii, directorii IT deţin controlul asupra bugetelor departamentelor de securitate. Cu toate acestea, printre organizaţiile de top, investiţiile se află în responsabilitatea liderilor de business. În cadrul celor mai avansate organizaţii, directorii executivi stabileau bugetele departamentelor de securitate, şi nu directorii IT. Organizaţiile mai puţin avansate nu deţineau bugete dedicate pentru securitate, indicând o abordare mai tactică şi mai fragmentată asupra securităţii. 71% dintre organizaţiile avansate deţin bugete de securitate dedicate, comparativ cu 27% dintre organizaţiile mai puţin avansate.
“Aceste informaţii au creat profilul unei noi clase de directori de securitate ce dezvoltă o voce strategică şi creează o abordare mai proactivă şi mai integrată asupra securităţii informaţiilor”, a precizat David Jarvis, autor al studiului şi senior consultant la IBM Center for Applied Insights. “Observăm cum rolul directorilor de securitate devine mai complex, similar rolurilor ocupate de directorii financiari în anii 1970, de directorii IT în anii 1980 – de la un rol tehnic la un rol strategic pentru dezvoltarea afacerilor. Acest lucru demonstrează gradul de importanţă pe care îl deţine securitatea IT în cadrul organizaţiilor”.
Recomandări pentru dezvoltarea rolului securităţii în cadrul companiilor
Pentru a crea o organizaţie de securitate a informatiei mai încrezătoare şi mai capabilă, IBM recunoaşte că liderii de securitate trebuie să construiască un plan de acţiune bazat pe capabilităţile curente şi pe cele mai importante nevoi. Studiul oferă sfaturi prescriptive bazate pe evaluarea modului în care organizaţiile pot evolua în funcţie de nivelul actual de maturitate.
De exemplu, directorii de securitate de tip „Responder” aflaţi la începutul stadiului de maturitate de securitate pot evolua faţă de orientarea tactică prin stabilirea unui rol dedicat de lider în securitate; prin crearea unui comitet de securitate şi riscuri care să evalueze progresul; şi prin automatizarea proceselor de securitate de rutină pentru a dedica mai mult timp şi resurse către inovaţia de securitate.
„Într-o eră hiperconectată, securitatea prezintă un nou set de provocări, dar acestea pot fi rezolvate uşor prin implementarea practicilor inovative şi prin adoptarea unor abordări mai integrate şi holistice”, a menţionat Marc van Zadelhoff, autor al studiului şi vicepreşedinte al departamentului de Strategie, IBM Security Systems. „Directorii de securitate ce prioritizează aceşti factori pot ajuta organizaţiile să îmbunătăţească semnificativ procesele de business şi să obţină succes notabil în progresul către crearea unei culturi conştiente de riscuri ce este agilă şi echipată pentru a rezolva ameninţările viitoare”.