Według mojej oceny, Bezpieczeństwo Informacji i reputacja organizacji stają się strategicznymi zasobami o kluczowym znaczeniu, zarówno w sektorze publicznym, jak i prywatnym. Rola kadry kierowniczej w tym procesie jest nieoceniona, gdyż to ona ustanawia i zarządza kontrolą nad Bezpieczeństwem Informacji. W pierwszej części przedstawiłem argumenty, które tę tezę popierają. Teraz, w tej części, skoncentruję się na trzech filarach efektywnej kontroli Bezpieczeństwa Informacji – ludziach, procesach i technologii.
Skuteczny model nadzoru – czyli jaki?
Planujesz wystartować w długodystansowym biegu, dajmy na to w półmaratonie, żeby nie przesadzać. Doskonale, że masz już kilkuletnie doświadczenie w startach i biegasz przynajmniej 3 razy w tygodniu. To dwa istotne czynniki, które mogą decydować o powodzeniu Twojego biegu. Ale nic z tego, jeżeli pobiegniesz … boso. Spróbujmy w odwrotną stronę. Przeanalizowałeś rynek i nabyłeś obuwie do biegania. Najlepsze z możliwych. Bezapelacyjnie posiadasz też doświadczenie, w końcu dużo biegałeś i startowałeś w trakcie studiów. Sęk w tym, że Twój organizm poddany był wysiłkowi ostatni raz podczas … koszenia trawnika.
Po pierwsze. Bez względu na to, czy planujesz rozpocząć prace nad nadzorem w obszarze Bezpieczeństwa Informacji, czy w innym obszarze Twojej organizacji (lub instytucji) sukces nadzoru korporacyjnego w moim odczuciu będzie opierał się na wszystkich filarach wybranego modelu jednocześnie.
Po drugie. Skuteczny Governance nowoczesnej organizacji skupia się wokół trzech szczególnych filarów: Ludzie, Procesy i Technologia. Chcę przez to powiedzieć, że optymalną skuteczność uzyskasz przy zaadresowaniu tych trzech elementów równolegle. Najlepiej wdrażając je w ramach jednego programu lub projektu – bowiem są od siebie zależne. Dodam, że ekonomiści nie bez powodu mawiają: skuteczne restrukturyzacje to takie, które implementowane są kompleksowo.
Grafika: opracowanie własne
Ludzie i organizacja
W tym miejscu mówimy zarówno o konkretnych rolach i odpowiedzialnościach, jak i o strukturze organizacyjnej. Po pierwsze zdefiniuj, a następnie powołaj brakujące role i funkcje, które będą odpowiadały za nadzór oraz będą odpowiedzialne za egzekwowanie i realizację procesów. Definicje powinny obejmować włącznie Radę Nadzorczą (Board of Directors), Zarząd (C-Suite), kadrę kierowniczą (Managerowie, Dyrektorzy) i specjalistów (część Operacyjna), a także grupy robocze (np. Grupa Robocza ds. Bezpieczeństwa Informacji, Nadzoru nad Danymi). Warto zaznaczyć, że zdefiniowanie ról i funkcji dobrze jest od razu powiązać z określeniem odpowiedzialności.
Po drugie, struktura organizacyjna. Porządkuje ona decyzyjność pomiędzy aktorami zdefiniowanych procesów – możemy mieć strukturę scentralizowaną, zdecentralizowaną lub mieszaną (hybrydową). O rodzajach struktury organizacyjnej być może napiszę w innym wpisie. Naturalnie to dość istotne, aby dopasować do organizacji model, ponieważ umożliwi to skuteczne i efektywne realizowanie strategicznych decyzji, pełne wykorzystanie potencjału organizacji, kiedy zły model ograniczy jej rozwój, czy obniży skuteczność względem konkurencji.
Po trzecie, rozważ powołanie organu podejmującego decyzje na poziomie całej organizacji (w większej organizacji będzie to dedykowana Rada ds. Bezpieczeństwa Informacji czy Nadzoru nad Danymi). To rozwiązanie staje się szczególnie pomocne w przypadku zdecentralizowanej i hybrydowej struktury, która wymaga skupienia wielu decydentów. W jego skład wchodzić może jednostka odpowiedzialna za nadzór (np. Dyrektor Bezpieczeństwa Informacji i/lub Członek Zarządu/CISO), Sponsor (np. członek Zarządu lub Rady Nadzorczej) i wybrani Interesariusze (Dyrektorzy IT, wybranych pionów biznesowych). Decyzje dotyczące poszczególnych pionów biznesowych organizacji mogą być podejmowane na poziomie Grup Roboczych.
Procesy
Po pierwsze, zdefiniuj procesy operacyjne wspierające Twoją organizację we właściwym i efektywnym realizowaniu zadań nadzorczych. Będą one dostarczać do interesariuszy podstawowych informacji na temat działania obszaru ich zainteresowania (poprzez metryki).
Po drugie, Bezpieczeństwo powinno być zaadresowane we wszystkich procesach informacyjnych, zarówno fizycznych jak i elektronicznych, bez względu na to, czy angażują ludzi, technologię, relacje z partnerami, klientami i stronami trzecimi. Aby zapewnić kompletność elementów Bezpieczeństwa warto posiłkować się sprawdzonymi standardami (COBIT, ISO 17799, NIST). Następnie można skupić się na procesach wspierających Bezpieczeństwo Informacji, takich jak edukacja, budowanie świadomości i treningi zespołów.
Projektowanie procesów operacyjnych składa się ze zdefiniowania kroków postępowania wraz z punktami decyzyjnymi oraz rolami odpowiedzialnymi za wykonanie zadań na poszczególnych etapach. Warto zauważyć, że dobry proces jest kompleksowy, elastyczny i nieskomplikowany. Oczywiście złożoność procesów, ilość osób biorących udział w procesie zależy od rozmiaru organizacji i jej potrzeb. Warto znaleźć złoty środek.
Dodatkowo można pokusić się o zdefiniowanie macierzy RACI (Responsible, Accountable, Consulted, Informed) wspierającej procesy oraz zdefiniowane wcześniej role i odpowiedzialności. Zmiany wynikające z nowych procesów należy wprowadzić w politykach i standardach Twojej organizacji równolegle. Jeżeli nie występowały, należy stworzyć nowe. Na ich podstawie jednostka odpowiedzialna za nadzór nad właściwym obszarem będzie mogła egzekwować odpowiedzialności wynikające z ról biorących udział w zdefiniowanych procesach. Nowe polityki i zmiany do istniejących będą mogły być zatwierdzane przez radę powołaną do podejmowania decyzji na poziomie całej organizacji.
Metryki. Ich zdefiniowanie umożliwi Ci zbieranie i porównanie informacji w czasie, poprzez: mierzenie skuteczności, jakości, wydajności, szybkości procesów, i tak dalej. Informacje te prezentowane będą cyklicznie interesariuszom przez jednostkę odpowiedzialną. W przypadku Bezpieczeństwa Informacji będzie to najczęściej Członek Zarządu odpowiedzialny za ten obszar (CISO) raportujący do Członka Zarządu odpowiedzialnego za IT w organizacji (CIO) lub, coraz częściej w krajach anglosaskich, bezpośrednio do Prezesa Zarządu (CEO).
Technologia
Zdefiniuj technologię, która będzie wspierała dwa pierwsze filary oraz realizację strategii Bezpieczeństwa Informacji. Na technologię składać się będzie zarówno infrastruktura, hardware, jak i software. Jest to już nieodzowny element współczesnej organizacji. Wdrożenie nowej technologii w ramach programu/projektu może optymalizować organizację i procesy poprzez: wykorzystanie wydajniejszej i/lub mniej kosztownej (w utrzymaniu) architektury IT, aplikacji i narzędzi udrażniających przepływ pracy. Architektura nowo implementowanej technologii domyślnie powinna być tak bezpieczna, jak to możliwe. Warto pochylić się nad dostawcami domyślnie zapewniającymi ochronę informacji pod względem Poufności, Integralności i Dostępności (CIA).
Przy wyborze nowych rozwiązań warto wziąć pod uwagę czy są one w pełni kompatybilne z Twoimi dotychczasowymi komponentami. Analiza może prezentować redukcję lub wzrost kosztów implementacji (dostosowanie organizacji do nowych rozwiązań organizacji).
Z dobrych praktyk i doświadczenia wielu czołowych graczy z różnych branży wynika, że przy ustanawianiu nadzoru nad wybranym obszarem, wdrażaniu narzędzi i procedur je wspierających, warto korzystać z doświadczenia:
– jednostek którym udało się poznać lokalne i międzynarodowe rynki oraz poszczególne sektory,
– jednostek, które posiadają doświadczenie we wdrażaniu konkretnych rozwiązań, czy konkretnej technologii.