netweek - Επικοινωνώντας την αξία του IT Security

Τρίτη, 14 Ιουλίου 2020

ΔΙΑΦΗΜΙΣΗ

Professional Services

Επικοινωνώντας την αξία του IT Security

9 Οκτωβρίου 2014 | 11:01 Γράφει ο Γιώργος  Φετοκάκης Topics: Analysts' Corner,Security

To ΙΤ Security και το Risk Management αποτελούν σημαντικούς τομείς ανάπτυξης για όλες τις επιχειρήσεις διεθνώς. Οι CSOs (Chief Security Officers), ωστόσο, δυσκολεύονται ακόμα να «πουλήσουv» σωστά την αξία της δουλειάς τους στη διοίκηση (εκτός ΙΤ) της εταιρείας.

Ο ρυθμός των αλλαγών στην εποχή της ψηφιοποίησης και του Internet of Things οδηγεί τους CSOs σε μια διαρκή σύγκρουση με το business, το οποίο επιθυμεί να προωθήσει την καινοτομία, αλλά «περιορίζεται» από την πίεση ελαχιστοποίησης των επιχειρηματικών ρίσκων, όπως εκτιμάει η Gartner. Έτσι, γίνεται όλο και περισσότερο σημαντικό να πεισθούν οι διοικούντες (εκτός του IT) για την αναγκαιότητα και την αξία του IT Security. H πρόκληση στην προκειμένη περίπτωση είναι να κάτσουν και τα δύο μέρη στο ίδιο τραπέζι. Γι’ αυτό πρέπει οι CSOs να μάθουν να προωθούν αποτελεσματικά τη δουλειά τους και να την επικοινωνούν στα ανώτερα κλιμάκια. Στο πλαίσιο αυτό και με αφορμή το «Gartner Security & Risk Management Summit 2014» που έλαβε χώρα στο Λονδίνο αρχές Σεπτεμβρίου, η Gartner δίνει τις ακόλουθες συμβουλές:

  • Επισημοποιήστε το Risk Management & IT Security
    Δώστε στο Risk και IT Security Μanagement μια επαναλαμβανόμενη και μετρήσιμη μορφή. Αυτή περιλαμβάνει, κατά κανόνα, τέσσερις φάσεις: Διακυβέρνηση, Σχεδιασμό, Κατασκευή και Λειτουργία.
  • Μετρήστε το βαθμό ωριμότητας
    Χρησιμοποιήστε μια κλίμακα ωριμότητας για να εντοπίσετε τα κενά σχεδιασμού και τις ανεκμετάλλευτες ευκαιρίες του προγράμματος IT Security. Αυτή η κλίμακα αποτελεί, επιπλέον, ένα καλό μέσο για τους ιθύνοντες της ασφάλειας, ώστε να απεικονίσουν την κατάσταση.
  • Προσεγγίσεις με βάση τον κίνδυνο
    Το Risk Management αποδεικνύει ότι δεν μπορεί να υπάρξει τέλεια προστασία. Οι επιχειρήσεις θα πρέπει να πάρουν συνειδητές αποφάσεις για τις ενέργειες και την αδράνειά τους, όσον αφορά την ανάληψη κινδύνων. Αυτό δεν αφορά μόνο τις Διευθύνσεις Πληροφορικής, αλλά κυρίως τα τμήματα της εταιρείας που δεν σχετίζονται με το ΙΤ. Πάνω από όλα, ο διαχειριστής κινδύνου ακολουθεί μια προληπτική προσέγγιση, στοχεύοντας από την αρχή στην ελαχιστοποίηση των ρίσκων. Στη συνέχεια πρέπει να ελέγξει τους κινδύνους και όχι να καθοδηγείται από αυτούς.
  • Χρήση δεικτών
    Όποιος δραστηριοποιείται στο Risk Management, πρέπει να καθορίσει δείκτες, στους οποίους θα πρέπει να ευθυγραμμίσει τις επιχειρηματικές διαδικασίες. Αυτοί αφορούν από τη μία τα KPIs (Key Performance Indicators) και από την άλλη τα KRIs (Key Risk Indicators). Τα τελευταία δεν πρέπει να αφορούν μετρήσεις επικεντρωμένες στο ΙΤ μόνο, αλλιώς ελλοχεύει ο κίνδυνος να πιστέψει κανείς ότι τα ρίσκα προέρχονται μόνο από το ΙΤ.
  • Προσαρμόστε τα KRIs στα KPIs σας
    Οι περισσότερες επιχειρήσεις εργάζονται με μια πληθώρα βασικών δεικτών ασφάλειας και ρίσκου. Αν και αυτοί οι δείκτες είναι εξαιρετικά πολύτιμοι για τις εσωτερικές διεργασίες, συνήθως, είναι ανούσιοι για τους διοικούντες που παίρνουν τις αποφάσεις. Τα καλά KRIs πρέπει να είναι ως εκ τούτου απλά, μετρήσιμα και να έχουν μια άμεση επίδραση σε πολλά από τα KPIs.
  • Συνδυάστε τις πρωτοβουλίες ρίσκου με τους επιχειρηματικούς στόχους
    Όποιος σκοπεύει να εκμεταλλευτεί αποκλειστικά την αβεβαιότητα, το φόβο και την αμφιβολία, ώστε να ακουστούν οι ανησυχίες για την ασφάλεια στο Διοικητικό Συμβούλιο, μάλλον δεν θα εισακουστεί. Οι διοικούντες δεν θέλουν να ακούν για το πόσο άσχημη είναι η κατάσταση και για το τι δεινά θα πάθουν αν δεν γίνουν επενδύσεις στο Risk Management και στο IT Security. Αλλά και η απαρίθμηση των ROIs (Returns on Investment) που φέρνει μια επένδυση δεν αρκεί. Ο καλύτερος τρόπος για να κερδίσει κανείς τους διοικούντες είναι να αποδείξει την προστιθέμενη αξία, την οποία αποκτάει μια επιχείρηση χάρη στα Risk και Security Management.
  • Aποδέσμευση των επιχειρηματικών μετρήσεων από την επικοινωνία με το ΔΣ
    Μην χρησιμοποιείτε επιχειρηματικές μετρήσεις ενώπιων του ΔΣ. Το Διοικητικό Συμβούλιο δεν διαθέτει εν γένει το γνωστικό υπόβαθρο και την εκπαίδευση να ασχοληθεί με αυτές, μέσα σε ένα επιχειρηματικό πλαίσιο.
  • Επικοινωνήστε ξεκάθαρα τι μπορεί να γίνει και τι όχι
    Σε έναν κόσμο που βασίζεται στο ρίσκο, ένα επιχειρηματικά προσανατολισμένο ακροατήριο θέλει να μάθει ακριβώς ποιοι κίνδυνοι ελλοχεύουν, ποια είναι η στάση της επιχείρησης απέναντί τους και τι δράσεις μπορούν να αναληφθούν. Αν απαντήσετε σε αυτές τις ερωτήσεις με έναν τρόπο κατανοητό σε όλους, τότε θα έχετε κερδίσει τη μισή «μάχη».
  • netweek (T. 350)
    Έχετε άποψη;
    Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Netweek Online.
    ΔΙΑΦΗΜΙΣΗ

    Δείτε ακόμη...

    Αυτοί που διάβασαν αυτό διάβασαν επίσης

    Τα πιο δημοφιλή Topics

    Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

    Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

    ΔΙΑΦΗΜΙΣΗ
    ΔΙΑΦΗΜΙΣΗ

    Συνεντεύξεις / Πρόσωπα

     
    ΔΙΑΦΗΜΙΣΗ

    Topics

    Banking / Finance

    International

    Τηλεπικοινωνίες

    Πολιτισμός / Ψυχαγωγία

    e-government

    Μουσική Βιομηχανία

    Retail

    Ευρωπαική Ένωση

    Services

    Ενέργεια / Περιβάλλον

    ©2020 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778