Revista >> Bank Watch Iunie 2009 [Nr. 4] >> Securitate

CISO Strategii comune

Razvan Grigorescu

12 Martie 2010

Pe parcursul perioadei de implementare a strategiei de securitate şi datorită dinamicii crescute în acest domeniu, CISO trebuie să manifeste flexibilitate, fiind posibile ajustări repetate, ca răspuns la modificări în strategia generală de afaceri a organizaţiei.

O abordare fericită presupune existenţa unor proiecte pe termen scurt, aliniate cu obiectivele pe termen lung, existând posibilitatea unor verificări şi corecţii pe parcurs. Situaţia descrisă este cea care trebuie să stea la baza elaborării politicilor şi standardelor de securitate ce vor fi utilizate în sprijinul strategiei.

Resurse & Constrângeri

În elaborarea unei strategii de securitate, se impune trecerea în revistă şi analiza resurselor disponibile în cadrul organizaţiei. Ca parte integrantă a misiunii CISO de a sprijini mediul de afaceri şi maximiza profitul, este de la sine înţeles că în procesul de cristalizare a strategiei, vor fi utilizate în cât mai mare măsură resurse deja existente.

Aceste resurse vor include dar nu se vor limita la:

- Politici, standarde, proceduri, îndrumare de bune practici
- Arhitecturi, mijloace de control (fizice, tehnice, procedurale), contra-măsuri
- Apărare structurată pe nivele (în adâncime), tehnologie, securitatea personalului
- Structura organizaţională, roluri şi responsabilităţi
- Abilităţi, formare profesionala, conştientizare şi educare
- Misiuni de audit şi control, asigurarea conformităţii
- Analiza de riscuri, evaluarea impactului asupra afacerii, analiza asupra relaţionării existente între resurse
- Furnizori externi de servicii
- Clădiri operaţionale/administrative şi logistica aferentă
- Securitatea mediului de afaceri

Printre constrângerile de care trebuie să se ţină cont în elaborarea unei strategii:

- Cadrul legislativ
- Limitări fizice (capacitate, spatiu, etc)
- Etice
- Cultura
- Costuri
- Personal (rezistenţă la schimbare etc)
- Structura organizaţională (scala decizională)
- Resurse (capital, tehnologie, oameni)
- Capabilităţi (cunoştinţe, pregătire profesională, abilităţi, experienţă)
- Timp (oportunităţi, termene etc)
- Apetitul la risc (ameninţări, vulnerabilităţi, impact)

Analiza decalajelor (Gap analysis)

Implementarea unei strategii presupune unul sau mai multe planuri de acţiune. Analiza decalajelor între situaţia prezentă şi cea dorită va conduce la identificarea necesităţilor şi priorităţilor unui plan de acţiune. Acest proces va avea un caracter permanent, va furniza informaţii tangibile asupra performanţei şi va permite adaptarea rapidă la modificările survenite în mediul de afaceri. O abordare tipică pentru analiza decalajelor este de a pleca de la starea dorita (finala) şi prin iteraţii succesive în direcţia situaţiei prezente, să se determine paşii intermediari necesari îndeplinirii obiectivelor.

Un cadru reglementat

Unul dintre cele mai importante aspecte ale unui plan de acţiune menit să ducă la îndeplinirea obiectivelor strategiei, se referă la crearea, modificarea, abrogarea, după caz, a politicilor şi standardelor de securitate din cadrul organizaţiei. Politicile stau la baza guvernanţei, standardele sunt legea.

Politici

Politicile de securitate trebuie să surprindă intenţia, aşteptările şi directivele de management. Pe măsură ce strategia evoluează, este esenţial ca politicile să vină în susţinerea acesteia. Politicile trebuie să fie fără echivoc, asumate de managementul superior şi comunicate în mod eficient în cadrul organizaţiei. Pentru a scrie o politică de securitate de calitate trebuie ţinut cont de mai multe considerente: