Vse več podjetij ima virtualnega CISO-ja. Razlog ni le zakonodaja
Zakonodaja od vodstva podjetij zahteva aktivno upravljanje tveganj, ob morebitnem varnostnem incidentu pa se presoja predvsem, ali je podjetje ravnalo skrbno in sprejemalo utemeljene odločitve.
To pomeni, da direktorji ne odgovarjajo več le za poslovne rezultate, temveč tudi za ustrezno upravljanje informacijske varnosti. Ker zaposlitev lastnega strokovnjaka za številna srednje velika podjetja predstavlja velik organizacijski in finančni zalogaj, se vse več organizacij odloča za virtualnega CISO-ja oziroma storitev vCISO.
Nova realnost za vodstva podjetij
Odgovornost za kibernetsko varnost danes sega precej dlje od izbire tehničnih rešitev. Če pride do incidenta, je seveda pomembno vprašanje, ali je podjetje uporabljalo ustrezno zaščito, še bolj pa, ali je vodstvo poznalo tveganja, sprejelo ustrezne ukrepe in lahko svoje odločitve tudi utemelji.
Prav zato številna podjetja iščejo strokovnjaka, ki pomaga pri sprejemanju odločitev, pripravi varnostnih politik, ocenjevanju tveganj in komunikaciji z regulatorji. To vlogo prevzame virtualni CISO, ki podjetju zagotavlja strokovno podporo brez potrebe po zaposlitvi lastnega vodje informacijske varnosti.
Zakaj zanimanje tako hitro narašča?
V Telemachu Slovenija opažajo izrazito rast zanimanja za storitev vCISO. Povpraševanje je naraslo do te mere, da se že pojavljajo izzivi z razpoložljivostjo terminov.
Dejan Trop, svetovalec za kibernetsko varnost pri Telemachu pojasnjuje, da podjetja, ki so pred letom ali dvema še razmišljala, ali sploh sodijo med zavezance po Zakonu o informacijski varnosti (ZInfV-1), danes to že vedo. Zdaj jih zanima predvsem, kako bodo zahteve zakona tudi dejansko izpolnila.
Gre za pomembno spremembo v razmišljanju vodstev. Kibernetska varnost ni več področje, s katerim se podjetje ukvarja šele po incidentu, ampak postaja del vsakodnevnega upravljanja poslovnih tveganj.
vCISO je več kot le zunanji IT-svetovalec
Storitev vCISO pogosto napačno razumemo kot občasno svetovanje zunanjega IT-strokovnjaka. V resnici gre za celovito funkcijo. Virtualni CISO sodeluje pri upravljanju informacijskih tveganj, pripravlja varnostne politike, pomaga pri izpolnjevanju regulatornih zahtev in vodstvu svetuje pri sprejemanju ključnih odločitev.
Podjetje tako pridobi izkušenega strokovnjaka, ki razume tako tehnični kot poslovni vidik kibernetske varnosti. Njegova naloga ni le opozarjanje na pomanjkljivosti, ampak predvsem pomoč pri oblikovanju procesov, ki zmanjšujejo tveganja in povečujejo odpornost organizacije.
Kot poudarja Trop, večina srednje velikih podjetij ne potrebuje CISO-ja za polni delovni čas, potrebuje pa nekoga, ki zna tveganja prepoznati, jih predstaviti vodstvu v razumljivem jeziku ter podjetje usmerjati pri izpolnjevanju zakonskih obveznosti in učinkovito komunicirati z regulatorji.
Pregled stanja, načrt, ukrepi
Sodelovanje se začne s pregledom obstoječega stanja. Virtualni CISO analizira informacijsko infrastrukturo, oceni tveganja in skupaj z vodstvom določi ključna področja, ki jih je treba zaščititi. Pri tem ne gre zgolj za tehnologijo, ampak predvsem za razumevanje poslovnih procesov.
Na podlagi analize pripravi načrt aktivnosti, nato pa spremlja izvajanje ukrepov, sodeluje na sestankih vodstva, pomaga pri posodabljanju varnostnih politik ter svetuje ob spremembah zakonodaje ali poslovnega okolja.
Pomembna je tudi njegova vloga ob varnostnem incidentu. Vodstvo mora takrat hitro dobiti odgovore na vprašanja, kaj se je zgodilo, kakšne so posledice in kateri bodo naslednji koraki. Takšnih odločitev ni mogoče sprejemati na podlagi ugibanj, temveč na podlagi vnaprej pripravljenih postopkov in jasno določenih odgovornosti.
vCISO je pogosto najboljša odločitev
Za številna srednje velika podjetja je zaposlitev lastnega vodje informacijske varnosti težko izvedljiva. Model vCISO omogoča hitrejšo vzpostavitev ustreznega upravljanja informacijske varnosti, dostop do širšega nabora strokovnega znanja ter večjo prilagodljivost, hkrati pa podjetje ohrani nadzor nad stroški.
Časa za odlašanje je vse manj
Pomemben razlog za že omenjeno povečano zanimanje za storitev vCISO ostaja tudi Zakon o informacijski varnosti (ZInfV-1), ki je jasno opredelil odgovornost poslovodstva za področje kibernetske varnosti. Če se po incidentu izkaže, da vodstvo ni ravnalo z ustrezno skrbnostjo, ima to lahko neposredne posledice za odgovorne osebe.
Vzpostavitev ustreznih procesov zahteva čas, zato odlašanje ni dobra odločitev. Podjetja, ki bodo z uvedbo potrebnih rešitev čakala predolgo, se lahko soočijo z omejeno razpoložljivostjo strokovnjakov in daljšimi čakalnimi roki.
Vprašanje danes zato ni več, ali podjetje potrebuje CISO-ja, temveč ali si lahko še privošči, da te funkcije nima oziroma da njeno vzpostavitev prelaga v prihodnost.
Več lahko najdete na www.telemach.si. (P.R.)
Prijavi napako v članku

























