Az RSA "Security for Business Innovation" (Biztonság az üzleti innováció szempontjából) sorozatának ötödik részeként a Bridging the CISO-CEO Divide (A cégvezető és az információbiztonsági vezető közötti szakadék áthidalása) című jelentés részletesen áttekinti, hogyan szerezhető igazgatói támogatás a stratégiai információbiztonsági feladatokhoz. E tanácsok mellett ajánlásokat ad arra nézve, mit ne tegyenek az információbiztonsági szakemberek, elfogulatlanul végiggondolva néhány potenciálisan kirúgással fenyegető módszert is a vezérigazgató elidegenítésére. És ami talán a legfontosabb: a jelentés arra készteti a cégvezetőket, hogy gondolják végig, akaratlanul is mekkora veszélybe sodorhatják a céget, ha nem támogatják a stratégiai információbiztonsági kezdeményezéseket.
A jelentés a Security for Business Innovation Council nevű szervezettel részletesen egyeztetve készült, amelynek tagjai a világ legnagyobb szervezeteinek biztonsági vezetői, például Michael Capellas, a First Data elnöke és vezérigazgatója. (A hivatkozásra kattintva meghallgathatja azt az anyagot, amelyben Michael Capellas ismerteti álláspontját a jelentéssel kapcsolatban.)
"Az, hogy a biztonsági beruházásokat a vállalati tervekhez kell igazítani, mostanra mindenki számára világos" - mondta Art Coviello, az EMC Corporation vezető alelnöke és az RSA (az EMC biztonsági részlege) elnöke. "Ennek az előrelépésnek a dacára a legtöbb biztonsági vezető továbbra is küzd azzal, hogyan győzhetné meg a cégvezetőjét arról, hogy a biztonságnak feltétlenül az üzleti stratégia központi elemének kell lennie. Ideje, hogy megoldjuk ezt a problémát és a sikerhez mind a vezetőknek, mind a biztonsági szakembereknek változtatniuk kell azon, hogyan gondolkodnak a cégről, hogyan viselkednek és hogyan működtetik a szervezetet."
Tennivalók az informatikai biztonsági és a cégvezetők számára
A Bridging the CISO-CEO Gap jelentés szerint nem szabad figyelmen kívül hagyni azt a tényt, hogy amit a szervezetek a jelen gazdasági nehézségek túléléséért tesznek - például az új technológiák és globális üzleti modellek használata a hatékonyság növeléséért -, annak nagy része innovatív, de kockázatos is. Az információbiztonsági szakemberek eddig még soha nem voltak ilyen jó helyzetben ahhoz, hogy segíthessenek a cégüknek a megfelelő kockázatokat bevállalni, a megfelelő módon. Ehhez azonban meg kell szerezniük a vezérigazgató bizalmát és támogatását. A vállalatvezetőknek pedig fel kell ismerniük, hogy a cég annyira fog tudni magához térni a gazdasági visszaesés után és úgy fog prosperálni, amennyire jól kezeli majd a vállalt kockázatokat.
A legfontosabb ajánlások az igazgató támogatását elnyerni kívánó biztonsági szakértők számára:
- Szerezzen szószólókat a biztonság számára a vezérigazgató bizalmasai között: Nyerjen meg olyanokat, akik gyakran kommunikálnak a cégvezetővel vagy hatással vannak rá (pl. az igazgatótanács tagjai vagy C-szintű vezetők közvetlen alárendeltjei)
- Alakítson ki világos szervezeti struktúrát: A biztonsági szervezetnek teljesen kristálytiszta, átlátható szervezeti felépítéssel kell rendelkeznie. Muszáj világosan kijelenteni, az egész cégben közösségi és intézményi szinten tudatosítani, hogy az emberek ugyanúgy "kapják" a biztonsági részleg szolgáltatásait, ahogy a többi (még elszigeteltebb) osztály (könyvelés, pénzügy) szolgáltatásait "kapják".
- Tegye valóságossá: Hogy a cégvezető jobban megérthesse a kockázatot, tegye azt valóságossá. Az információbiztonsági szakembernek - amennyire csak lehetséges - számszerűsítenie kell a kockázatok mértékét. Ködös magyarázatok helyett említsen meg valós példahelyzeteket, valós számokkal írja le a valószínűségeket, a hatást és a pénzügyi veszteségeket. Vesse össze mindezt a szervezet piaci pozíciójával, és helyezze el a vertikális iparág és a szabályozási követelmények kontextusában.
"Úgy kell gondolni a kockázatelemzésre, mint előfeltételre" - mondta Michael Capellas, a First Data elnöke és vezérigazgatója. "Innen lehet elindulni: a kockázatoktól. Az üzlet nyelve másról se szól, mint a kockázatról. Ha Ön a biztonsági szakértő székében ül és nem képes értelmesen beszélni a kockázat méréséről és szintjeiről, akkor valószínűleg nem fog sikerrel járni."
A jelentés szeretné felrázni a cégvezetőket is. Hangsúlyozza, mennyire fontos, hogy értsék, milyen jelentősen befolyásolják cselekedeteik és hozzáállásuk a cég információvédelmi erőfeszítéseit. Ennek érdekében a Council néhány olyan gyakran előforduló tévutat is bemutat, amelyet követve a vállalatvezető akaratlanul is veszélybe sodorhatja a cég információs biztonságát:
- Rossz hangvétel a felsővezetésben: Ha a szervezet vezetői apatikusan viszonyulnak az információk védelméhez, akkor az egész szervezet követni fogja őket. Az igazgató akkor jár el helyesen, ha aktívan szót emel ennek a feladatnak a stratégiai fontossága mellett és mindenkitől megköveteli az információk védelmét a szervezetnél.
- Hiba azt hinni, hogy az információbiztonság pusztán technológiai vagy megfelelési probléma: Az információk biztonságára kockázatkezelési problémaként kell tekinteni. Ha a cégvezető nem látja a biztonsági döntéseket is magába foglaló átfogó képet, akkor a vállalat elkerülhetetlenül ki lesz téve minden más kockázatnak is.
- A megfelelő felelősségi körök kialakításának elmulasztása: Ha az információbiztonságnak nincs gazdája a vállalat megfelelően magas szintjén, akkor azt nem veszik komolyan. Ez egy olyan feladat, amely közvetlenül befolyásolja a márka hírnevét, a cég jó hírét és az információvagyon értékét - emiatt az erre kinevezett személynek információbiztonsági igazgatói vagy hasonló szintű ranggal kell rendelkeznie.
Az információbiztonsági vezető és a cégvezető saját tízkérdéses interaktív eszközzel mérheti, mennyire haladtak a biztonsági és az üzleti szempontok stratégiai összehangolásával.
A Security for Business Innovation Council bemutatása
A Security for Business Innovation Council ("Biztonság az üzleti innováció szolgálatában" tanács) a Global 1000 listában szereplő legsikeresebb cégek biztonsági vezetőinek egy csoportja. Tagjai elhatározták, hogy megosztják tudásukat és tapasztalataikat azért, hogy támogassák az információbiztonság előmozdítását a szervezeteknél, a világ minden táján.
A tanács tagjai:
- Anish Bhimani, ügyvezető igazgató és információs kockázatkezelési igazgató, JP Morgan Chase;
- Roland Cloutier, alelnök, biztonsági igazgató, EMC Corporation;
- Dave Cullinane, alelnök és információbiztonsági igazgató, eBay Marketplaces;
- Dr. Paul Dorey, volt alelnök, digitális biztonsági és információbiztonsági igazgató, BP, valamint igazgató, CSO Confidential;
- Renee Guttmann, alelnök, információbiztonsági és adatvédelmi igazgató, Time Warner;
- David Kent, alelnök, Global Risk and Business Resources részleg, Genzyme;
- Dr. Claudia Natanson, információbiztonsági igazgató, Diageo;
- Vishal Salvi, információbiztonsági igazgató és vezető alelnök, HDFC Bank;
- Craig Shumard, információbiztonsági igazgató, Cigna Corporation;
- Denise Wood, információbiztonsági igazgató és vállalati alelnök, FedEx Corporation.
Különleges közreműködőként a jelentés elkészítésében részt vett Michael Capellas, a First Data elnöke és vezérigazgatója. A Fortune 500 listában szereplő vállalat vezetőjeként - amely az egyik legnagyobb kártyás fizetéskezelő a világon - Capellas számára nem idegen a kockázat.
A jelentés a sorozat ötödik része. Az RSA az eljövendő hónapok során várhatóan a Tanács további eredeti jelentéseit is közzéteszi majd. A Security for Business Innovation Council jelentések részletesebben is tanulmányozhatók az RSA Thought Leadership webhelyén - itt az összes tanulmány elolvasható és letölthető.
