BUSINESS BYTES

Hogyan teremthető egyensúly a kockázatvállalás és a biztonsági kiadások csökkentése között.

How can CIOs strike a balance between security reduction and accepting risk?

A legfrissebb „Gartner CIO Agenda Report” figyelmeztet arra a tényre, hogy a biztonsági kérdések messze az elemzések, az üzleti intelligencia, a felhőalapú infrastruktúra vagy a mobil megoldások támasztotta kihívások mögé kerültek az IT vezetők prioritásai között. Első ránézésre ez még érthető is, hiszen sokkal logikusabb olyan beruházásokra költeni, mely magas vagy azonnali megtérüléssel jár. Ezt pedig az információbiztonságról soha nem mondhattuk el. A hagyományos védelemre (mint a tűzfalak, az e-mailek biztonságát szolgáló eszközök és a webszűrők) szánt kiadásoknak köszönhetően a biztonság megteremtését inkább megelőzésnek, mint kézzel fogható előnynek tekintik sokan.

Ez azonban nem feltétlenül rossz megközelítés a kiberfenyegetésekkel szemben. A Gartner számaiból is látszik, hogy az informatikai igazgatók is felismerték, hogy a biztonság árnyaltabb megközelítése hatékonyabb módszer lehet a kockázatok hosszú távú kezelésére. Az első lépés persze az, hogy pontos képünk legyen a kibertámadások fajtáiról és veszélyeiről.

A biztonsági megoldásokkal foglalkozó szakembereknek az üzleti folyamatokat elősegítő, az első lépésektől aktívan jelenlévő személyként kell önmagukra tekinteniük, akiknek a feladata a legfontosabb eszközök védelme az esetleges támadások előtt és után. Az információbiztonsági kockázatokra pedig épp olyan kezelhető problémaként kell tekinteni, mint bármilyen egyéb üzleti kockázatra. Máshogy megfogalmazva: a biztonsági kockázatok kezeléséhez el kell fogadnunk, hogy bizonyos kockázatok örökké fennállnak, és bizonyos incidensek mindig megtörténnek, így a vállalkozásoknak megfelelő stratégiára van szükségük ezek kezeléséhez. A fenyegetések csökkentése helyett sok CIO ma már a fenyegetésekkel kapcsolatos oktató anyagokra helyezi a figyelmét.

A kockázatkezelés első lépése a megismerés. A hatékony kockázatkezelés első lépése tehát a vállalkozást fenyegető azonnali kockázatok beazonosítása, majd a vezetők tájékoztatása ezek formáiról és hatásairól. A hatékony kockázatkezelés közös felelősség. Az adatbiztonsági incidensek egyrészt jelentős pénzügyi károkat okozhatnak, másrészt ronthatják a vállalat hírnevét. Az igazgatóknak és az alkalmazottaknak tisztában kell lenniük az adatszivárgás potenciális költségeivel, és ismerniük kell az ilyen esetben szokásos lépéseket.

Egyes szervezetek incidens- vagy krízishelyzet-szimulációt alkalmaznak ennek elősegítésére. Így nemcsak a hiányosságok fedhetők fel, de a munkatársak is magabiztosabbá és felkészültebbé válnak az esetleges kellemetlen események bekövetkezésekor. 

A második lépés annak megértése, hogy a kockázatkezelés nem ér véget, azzal, hogy már tudjuk mit kell tennünk. Ahogyan a kiberbűnözők módszerei fejlődnek, ugyanúgy kell fejlődnie a vállalatirányításnak és a kapcsolódó szabályoknak is. Míg a felső vezetők felelőssége annak kezdeményezése, hogy a kockázatkezelési stratégia folyamatosan friss legyen, a szervezet minden tagjának kötelessége, hogy segítse a céget javaslataival, melyekkel megfelelő válaszlépéseket tehetnek a támadásokkal szemben. Ne feledjük, hogy az üzleti stratégia – jó esetben – folyamatosan változik. Az új piacokra való belépés új pénzügyi és információs kockázatokat hozhat. A közösségi média, a felhő és az egyéb digitális technológiák használata is következményekkel jár. A kockázatkezelési stratégiának a vállalkozás növekedésével együtt kell fejlődnie.

Végül pedig érdemes figyelembe venni, hogy a kockázat, illetve a kockázatvállalás eltérő lehet üzletáganként. A biztonságkezelési szabályoknak ezért lehetővé kell tenniük bizonyos mértékű kockázat vállalását a szervezeti kohézió fenntartása érdekében. Biztonsági incidensek történhetnek, és történnek is. A megelőzés mellett az is nagyon fontos, hogy mindenki által elfogadott és ismert folyamatokkal rendelkezzen a cég, ha a baj megtörténik. A kockázatkezelést egy átfogó program részeként kell alkalmazni, amelynek célja a kockázatvállalási hajlandóság felmérése, a kockázatkezelési elvek alkalmazása, végül pedig a vállalkozás rávezetése, hogy egy kockázat bekövetkezése nem hiba, hanem egy meglévő folyamat szükségességének az igazolása.

  • Canon
  • How can CIOs strike a balance between security reduction and accepting risk?