Ako pogledamo praksu u većini organizacija, informatičke službe imaju vodeću riječ kada se odlučuje o vrsti, opsegu i težini sigurnosnih mjera. Takva uloga je rezultat tradicionalnih odnosa koji potječu još iz razdoblja kada su se ove službe nazivale "Elektronički računski centar", a njihove su usluge služile uglavnom da se nešto brže izračunaju kamate ili plaće zaposlenih.
No informcijski sustavi danas imaju neusporedivo značajniju ulogu, a rizici kojima je rad informacijskih sustav izložen mogu imati katastrofalne posljedice za poslovanje poduzeća. Ujedno, ostvarivanje poslovnog uspjeha znači i spremnost preuzimanja određenih rizika, pa tako i onih s područja informacijskih tehnologija.
Odluka o tome koje resurse zaštiti i kakvim mjerama to provesti, donosi se kroz proces upravljanja rizicima. Pogrešna odluka može imati značajne posljedice, bilo zbog nedovoljno jake mjere i financijske štete koju je izazvao sigurnosni incident, bilo kao propuštena poslovna prilika koju je nepovratno zauzela konkurencija. Stoga, odlučivanje o sigurnosnim mjerama prestaje biti dio uobičajenih nadležnosti informatičkih službi, već se mora sagledavati kao obaveza rukovodstva. Postojanje "risk-management" postupka je prvi preduvjet provedbu programa sigurnosti prema "top-down" načelu, od pozicije uprave prema pojednim poslovnim procesima.
Dakako, stvari nisu baš crno-bijele i postojeće procese nije moguće preusmjeriti i promjeniti samo naredbom presjednika uprave. Koje su glavne značajke "top-down" pristupa u provedbi informacijske sigurnosti?
Najvažniji je prvi korak: planiranje i provedba upravljanja informacijskim rizicima. Inicijativa za upravljanje rizicima mora biti pokrenta s razine uprave, a uprava (ili jedan njen član) mora biti pokrovitelj ovog procesa. U postupak upravljanja rizicima moraju biti uključeni i drugi članovi rukovodstva i odgovorne osobe pojedinih poslovnih procesa (izvan službe informacijskih tehnologija).
Nastavlja se...
Nema komentara:
Objavi komentar