To ΙΤ Security και το Risk Management αποτελούν σημαντικούς τομείς ανάπτυξης για όλες τις επιχειρήσεις διεθνώς. Οι CSOs (Chief Security Officers), ωστόσο, δυσκολεύονται ακόμα να «πουλήσουv» σωστά την αξία της δουλειάς τους στη διοίκηση (εκτός ΙΤ) της εταιρείας.
Ο ρυθμός των αλλαγών στην εποχή της ψηφιοποίησης και του Internet of Things οδηγεί τους CSOs σε μια διαρκή σύγκρουση με το business, το οποίο επιθυμεί να προωθήσει την καινοτομία, αλλά «περιορίζεται» από την πίεση ελαχιστοποίησης των επιχειρηματικών ρίσκων, όπως εκτιμάει η Gartner. Έτσι, γίνεται όλο και περισσότερο σημαντικό να πεισθούν οι διοικούντες (εκτός του IT) για την αναγκαιότητα και την αξία του IT Security. H πρόκληση στην προκειμένη περίπτωση είναι να κάτσουν και τα δύο μέρη στο ίδιο τραπέζι. Γι’ αυτό πρέπει οι CSOs να μάθουν να προωθούν αποτελεσματικά τη δουλειά τους και να την επικοινωνούν στα ανώτερα κλιμάκια. Στο πλαίσιο αυτό και με αφορμή το «Gartner Security & Risk Management Summit 2014» που έλαβε χώρα στο Λονδίνο αρχές Σεπτεμβρίου, η Gartner δίνει τις ακόλουθες συμβουλές:
Δώστε στο Risk και IT Security Μanagement μια επαναλαμβανόμενη και μετρήσιμη μορφή. Αυτή περιλαμβάνει, κατά κανόνα, τέσσερις φάσεις: Διακυβέρνηση, Σχεδιασμό, Κατασκευή και Λειτουργία.
Χρησιμοποιήστε μια κλίμακα ωριμότητας για να εντοπίσετε τα κενά σχεδιασμού και τις ανεκμετάλλευτες ευκαιρίες του προγράμματος IT Security. Αυτή η κλίμακα αποτελεί, επιπλέον, ένα καλό μέσο για τους ιθύνοντες της ασφάλειας, ώστε να απεικονίσουν την κατάσταση.
Το Risk Management αποδεικνύει ότι δεν μπορεί να υπάρξει τέλεια προστασία. Οι επιχειρήσεις θα πρέπει να πάρουν συνειδητές αποφάσεις για τις ενέργειες και την αδράνειά τους, όσον αφορά την ανάληψη κινδύνων. Αυτό δεν αφορά μόνο τις Διευθύνσεις Πληροφορικής, αλλά κυρίως τα τμήματα της εταιρείας που δεν σχετίζονται με το ΙΤ. Πάνω από όλα, ο διαχειριστής κινδύνου ακολουθεί μια προληπτική προσέγγιση, στοχεύοντας από την αρχή στην ελαχιστοποίηση των ρίσκων. Στη συνέχεια πρέπει να ελέγξει τους κινδύνους και όχι να καθοδηγείται από αυτούς.
Όποιος δραστηριοποιείται στο Risk Management, πρέπει να καθορίσει δείκτες, στους οποίους θα πρέπει να ευθυγραμμίσει τις επιχειρηματικές διαδικασίες. Αυτοί αφορούν από τη μία τα KPIs (Key Performance Indicators) και από την άλλη τα KRIs (Key Risk Indicators). Τα τελευταία δεν πρέπει να αφορούν μετρήσεις επικεντρωμένες στο ΙΤ μόνο, αλλιώς ελλοχεύει ο κίνδυνος να πιστέψει κανείς ότι τα ρίσκα προέρχονται μόνο από το ΙΤ.
Οι περισσότερες επιχειρήσεις εργάζονται με μια πληθώρα βασικών δεικτών ασφάλειας και ρίσκου. Αν και αυτοί οι δείκτες είναι εξαιρετικά πολύτιμοι για τις εσωτερικές διεργασίες, συνήθως, είναι ανούσιοι για τους διοικούντες που παίρνουν τις αποφάσεις. Τα καλά KRIs πρέπει να είναι ως εκ τούτου απλά, μετρήσιμα και να έχουν μια άμεση επίδραση σε πολλά από τα KPIs.
Όποιος σκοπεύει να εκμεταλλευτεί αποκλειστικά την αβεβαιότητα, το φόβο και την αμφιβολία, ώστε να ακουστούν οι ανησυχίες για την ασφάλεια στο Διοικητικό Συμβούλιο, μάλλον δεν θα εισακουστεί. Οι διοικούντες δεν θέλουν να ακούν για το πόσο άσχημη είναι η κατάσταση και για το τι δεινά θα πάθουν αν δεν γίνουν επενδύσεις στο Risk Management και στο IT Security. Αλλά και η απαρίθμηση των ROIs (Returns on Investment) που φέρνει μια επένδυση δεν αρκεί. Ο καλύτερος τρόπος για να κερδίσει κανείς τους διοικούντες είναι να αποδείξει την προστιθέμενη αξία, την οποία αποκτάει μια επιχείρηση χάρη στα Risk και Security Management.
Μην χρησιμοποιείτε επιχειρηματικές μετρήσεις ενώπιων του ΔΣ. Το Διοικητικό Συμβούλιο δεν διαθέτει εν γένει το γνωστικό υπόβαθρο και την εκπαίδευση να ασχοληθεί με αυτές, μέσα σε ένα επιχειρηματικό πλαίσιο.
Σε έναν κόσμο που βασίζεται στο ρίσκο, ένα επιχειρηματικά προσανατολισμένο ακροατήριο θέλει να μάθει ακριβώς ποιοι κίνδυνοι ελλοχεύουν, ποια είναι η στάση της επιχείρησης απέναντί τους και τι δράσεις μπορούν να αναληφθούν. Αν απαντήσετε σε αυτές τις ερωτήσεις με έναν τρόπο κατανοητό σε όλους, τότε θα έχετε κερδίσει τη μισή «μάχη».