Η RSA, το τμήμα ασφαλείας της EMC, έδωσε στη δημοσιότητα την έκθεση με τα αποτελέσματα μιας νέας έρευνας του SBIC (Συμβούλιο για την Ασφάλεια της Επιχειρηματικής Καινοτομίας - Security for Business Innovation Council), στην οποία αποκαλύπτεται το τι θα πρέπει να περιέχει ένα πρόγραμμα ασφαλείας που φιλοδοξεί να καλύψει μελλοντικές ανάγκες των σύγχρονων οργανισμών – ξεκινώντας από το πώς μπορεί να κτιστεί μια ομάδα ασφαλείας επόμενης γενιάς, μέχρι το ποια είναι η σωστή διαχείριση ενός διαδικτυακού κινδύνου καθ’ όλη τη διάρκεια της ζωής του.
Σύμφωνα με την τελευταία έκθεση του SBIC, με τίτλο “Transforming Information Security: Designing a State-of-the Art Extended Team,” (“Μετασχηματίζοντας την Ασφάλεια των Πληροφοριακών Συστημάτων: Σχεδιάζοντας μια σύγχρονη ομάδα πολλαπλής κρούσης”), οι ομάδες που έχουν επιφορτιστεί με την προστασία των πληροφοριακών συστημάτων θα πρέπει να εμπλουτιστούν με δεξιότητες που μέχρι τώρα δεν συναντούσαμε σε μία τυπική ομάδα ασφαλείας, όπως η διαχείριση επιχειρηματικού κινδύνου, γνώση νομικών, το μάρκετινγκ, τα μαθηματικά και οι προμήθειες. Ο τομέας του information security θα πρέπει επίσης να υιοθετήσει ένα μοντέλο συν-υπευθυνότητας, σύμφωνα με το οποίο η ευθύνη για την προστασία των κρίσιμων πληροφοριών μιας επιχείρησης μοιράζεται μεταξύ διαφόρων ανώτερων και μεσαίων στελεχών, τα οποία αρχίζουν να αντιλαμβάνονται ότι, σε τελική ανάλυση, είναι υπεύθυνοι των δικών τους διαδικτυακών κινδύνων και ότι η σωστή διαχείριση τους αποτελεί πλέον κομμάτι της δουλειάς τους. Καθώς αυξάνονται οι απαιτήσεις για τις ομάδες ασφαλείας και διευρύνονται οι τομείς ευθύνης τους, επισημαίνεται ότι δεν είναι εύκολο να βρεθούν οι κατάλληλοι άνθρωποι που διαθέτουν τις προηγμένες δεξιότητες (τεχνικές και επιχειρηματικές) που απαιτούνται. Έτσι, απαιτείται μια νέα στρατηγική όσον αφορά τη διαμόρφωση και την εκπαίδευση ταλέντων, αλλά και η αξιοποίηση εξειδικευμένων εξωτερικών συνεργατών.
Το Συμβούλιο διαμόρφωσε ένα σύνολο από επτά βασικές συστάσεις, προκειμένου να βοηθήσει τους οργανισμούς να δημιουργήσουν μια σύγχρονη και ικανή ομάδας ασφαλείας ΙΤ. Περισσότερες λεπτομέρειες υπάρχουν στην τελευταία έκθεσή του Συμβουλίου.
1. Επικεντρωθείτε και εμβαθύνετε σε τέσσερις βασικούς τομείς – Βοηθήστε την κύρια ομάδα ασφαλείας να επικεντρωθεί σε τέσσερις βασικούς τομείς: συλλογή πληροφοριών για διαδικτυακούς κινδύνους (cyber risk intelligence) και ανάλυση δεδομένων ασφαλείας , διαχείριση δεδομένων ασφαλείας, παροχή συμβουλών για θέματα διαδικτυακών κινδύνων, σχεδιασμός ελεγκτικών μηχανισμών και δικλείδων ασφαλείας.
2. Αναθέστε σε κάποιον τρίτο τις καθημερινές λειτουργίες ασφαλείας – Αναθέστε τις επαναλαμβανόμενες, παραδοσιακές λειτουργίες ασφαλείας στην ομάδα λειτουργίας ΙΤ, στα διάφορα τμήματα της επιχείρησης και/ή σε εξωτερικούς παρόχους σχετικών υπηρεσιών.
3. Προσλάβετε ή συνεργαστείτε με ειδικούς – Για συγκεκριμένες ειδικότητες, ενισχύστε την βασική σας ομάδα με ειδικούς που θα βρείτε μέσα ή έξω από τον οργανισμό.
4. Μάθετε τους Risk Owners να κάνουν διαχείριση κινδύνου – Συνεργαστείτε με τα διάφορα τμήματα για θέματα διαχείρισης των διαδικτυακών κινδύνων και αναλάβετε το συντονισμό τους ώστε να υπάρχει μια συστηματική προσέγγιση στο θέμα. Διευκολύνετε τους risk owners να ανταποκριθούν στις απαιτήσεις διαχείρισης ρίσκου και καταστήστε τους υπεύθυνους.
5. Προσλάβετε ειδικούς για τη βελτιστοποίηση των διαδικασιών – Εντάξτε στην ομάδα ανθρώπους με αποδεδειγμένη εμπειρία στη διαχείριση ποιότητας, έργων και σύνθετων προγραμμάτων, τη βελτιστοποίηση διαδικασιών και την παροχή υπηρεσιών ΙΤ.
6. Αναπτύξετε σχέσεις - κλειδιά – Αναπτύξτε σχέσεις αμοιβαίας εμπιστοσύνης με βασικούς παίκτες που έχουν στη δικαιοδοσία τους τα κορυφαία προϊόντα του οργανισμού, με τα μεσαία στελέχη και με τους εξωτερικούς παρόχους υπηρεσιών.
7. Μην ακολουθείτε την πεπατημένη στην αναζήτηση μελλοντικών ταλέντων – Δεδομένης της απουσίας άμεσα διαθέσιμων εξειδικευμένων στελεχών, η ανάπτυξη τέτοιων ταλέντων αποτελεί τη μόνη σίγουρη μακροπρόθεσμη επιλογή για τους περισσότερους οργανισμούς. Αναζητείστε ταλέντα με προηγούμενη εμπειρία σε τομείς όπως η ανάπτυξη λογισμικού, η ανάλυση επιχειρησιακών δεδομένων, η οικονομική διαχείριση, η συλλογή στρατιωτικών πληροφοριών, η νομική, η προστασία προσωπικών δεδομένων και η σύνθετη στατιστική ανάλυση.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου