Kadra zarządzająca a bezpieczeństwo IT

Przeczytaj także: Bezpieczeństwo IT 2011

Pamiętajmy jednak, że bezpieczeństwo informatyczne nie jest tylko problemem osób odpowiedzialnych w organizacji za infrastrukturę IT to także sprawa istotna dla kadry zarządzającej. Z myślą o zarządach przedsiębiorstw firma FireEye przygotowała listę 10 zasad bezpiecznej firmy, wdrożenie których pozwoli na poprawę zarządzania i kontroli ryzyka w taki sposób aby sprostać dynamicznie zmieniającemu się środowisku cyberzagrożeń.

1. Aktualność – członkowie zarządu powinni być na bieżąco poinformowani o cyberzagrożeniach, a także powinni rozumieć ich potencjalny wpływ na działalność firmy, jak również swoich podwykonawców.
2. Odpowiedzialność – do zarządu firmy powinna dołączyć osoba odpowiedzialna za zarządzanie ryzykiem związanym z cyberprzestępczością.
3. Środki finansowe – należy przeznaczyć część środków finansowych, która pozwoli na odpowiednie zarządzanie ryzykiem cybernetycznym.
4. Regulacje prawne i ich stosowanie – należy na bieżąco monitorować zmiany w przepisach i regulacjach dotyczących cyberbezpieczeństwa i odpowiednio je stosować.
5. Komunikacja – zadaniem zarządu jest informowanie całej organizacji o istocie zarządzania ryzykiem cybernetycznym, a także wszystkich działaniach z nim związanych.
6. Raportowanie – zarząd firmy powinien otrzymywać regularne raporty o priorytetowych kwestiach w organizacji dotyczących ryzyka cybernetycznego.
7. Audyt – w ramach kwartalnych przeglądów, zarząd powinien wymagać przeprowadzenia wewnętrznego audytu w celu oceny możliwości zarządzania ryzykiem cybernetycznym.
8. Możliwości – zarząd powinien ustalić czy dostępne wewnętrznie zasoby pozwalają na aktywności związane z zarządzaniem ryzykiem cybernetycznym i jeśli to konieczne – nawiązać współpracę z zewnętrznym dostawcą takich usług.
9. Wskaźniki – należy ustalić wszelkie działania monitorujące i związane z nimi wskaźniki by zapewnić proaktywne możliwości cyberobrony i tym samym zmniejszenia wpływu cyberzagrożeń.
10. Integracja – wszystkie działania związane z zarządzaniem ryzykiem cybernetycznym powinny być zintegrowane z innymi kluczowymi procesami w organizacji jak ciągłość biznesowa, fuzje i przejęcia, komunikacja kryzysowa, a także działania marketingowe.

„Bezpieczeństwo systemów informatycznych firmy to kwestia istotna dla każdego pracownika. Nie tylko informatycy, ale również kadra zarządzająca powinna znać kondycję systemów zabezpieczeń organizacji i brać za nie odpowiedzialność. Nowa fala zaawansowanych, ukierunkowanych cyberataków powoduje, że firmy potrzebują innowacyjnych systemów zabezpieczeń, które będą mogły je ochronić przed tego typu zagrożeniami. Każda krytyczna sytuacja mogąca spowodować wyciek danych z organizacji może wpłynąć na utratę wpływów rynkowych i reputacji, a w rezultacie – stratę obecnych i potencjalnych klientów” – powiedział Robert Żelazo, dyrektor regionalny na Europę Środkowo-Wschodnia w firmie FireEye.