Πως οι ΙΤ managers μπορούν να πείσουν την διεύθυνση της επιχείρησης να επενδύσει σε λύσεις και να στηρίξει κανόνες  που θα ενισχύσουν το επίπεδο ασφάλειας πληροφοριών; Η απάντηση σε αυτό το  κρίσιμο ερώτημα  προκύπτει μέσα από το άρθρο που ακολουθεί.

Ολοένα και περισσότερο οι επιχειρήσεις βρίσκονται εκτεθειμένες στο κίνδυνο παραβίασης της ασφάλειας των πληροφοριών τους. Αυτό οφείλεται σε ευπάθειες των νέων αλλά και των υφιστάμενων τεχνολογιών, στη μη αποτελεσματική εφαρμογή των κανόνων ασφάλειας πληροφοριών, καθώς και στις πολύπλοκες υποδομές που υλοποιούν τη σύγκλιση των τεχνολογιών τηλεπικοινωνιών, περιεχομένου & πληροφορικής.

Όλα τα παραπάνω (πολύ-ειπωμένα & πολύ-γραφόμενα) σε συνδυασμό με το ισχύον Νομικό & Θεσμικό πλαίσιο, φαντάζουν το τέλειο σενάριο για τον υπεύθυνο Ασφάλειας Πληροφοριών, προκειμένου να πείσει τη Διοίκηση για οικονομική στήριξη αλλά και στήριξη στη επιβολή των κανόνων ασφάλειας πληροφοριών στο εταιρικό περιβάλλον. Παραδόξως όμως … αυτό δε συμβαίνει!

Η αιτία σίγουρα δεν έχει άμεση σχέση με την οικονομική ύφεση, αλλά με το τρόπο που επικοινωνούνται στην εκάστοτε Διοίκηση τα θέματα που αφορούν στη ασφάλεια πληροφοριών και ιδιαίτερα τα θέματα που αφορούν στις προτεραιότητες και ανάγκες υλοποίησης. Το συγκεκριμένο άρθρο προσπαθεί να δώσει πρακτικές οδηγίες με σκοπό τη ορθή επικοινωνία με τη Διοίκηση προκειμένου να έχουμε τόσο την οικονομική στήριξη αλλά και τη βοήθειά της σε θέματα επιβολής της ασφάλειας πληροφοριών.

Η Βασική προσέγγιση ενός υπευθύνου ασφάλειας πληροφοριών
Μελετώντας το τρόπο δράσης των διαφόρων Οργανισμών, παρατηρούμε ότι στο χώρο της Ασφάλειας Πληροφοριών έχουν παγιδευτεί σε μια προσπάθεια να κάνουν περισσότερα, να αγοράσουν – επενδύσουν περισσότερο, να εγκαταστήσουν περισσότερα, να αξιολογήσουν τους κινδύνους και τις αδυναμίες ασφάλειας οπουδήποτε μέσα στο εταιρικό περιβάλλον κτλ. Τις περισσότερες φορές καταναλώνεται περισσότερη ενέργεια στη προσπάθεια να αξιολογηθούν λύσεις και να τεκμηριωθούν ολοένα και περισσότερες ανάγκες προς υλοποίηση, παρά ενέργεια που αφορά στο προσδιορισμό των πραγματικών αναγκών και του αποτελεσματικού τρόπου επικοινωνίας των αναγκών αυτών στη Διοίκηση. Το ζητούμενο είναι να κατανοήσει η Διοίκηση την ανάγκη, τις πιθανές εναλλακτικές επίλυσης του προβλήματος καθώς και το κόστος κάθε εναλλακτικής πρότασης.
Πολλά περισσότερα μπορούν να επιτευχθούν αν απλά κοιτάξουμε γύρω μας με καθαρή σκέψη και αναρωτηθούμε «Τι είναι αυτό που προσπαθεί να πετύχει ο Οργανισμός για τον οποίο εργαζόμαστε?». Η απάντηση στην εν λόγο ερώτηση είναι αυτό για το οποίο η ασφάλεια πληροφοριών υπάρχει σε κάθε Οργανισμό.
Σχεδόν τα πάντα στη ζωή ταυτίζονται με σχέσεις και το πόσο καλά τις χειριζόμαστε. Βασική αρχή κάθε σχέσης, που θέλουμε να ευδοκιμήσει, είναι να προσδιορίσουμε τις δικές μας δυνατότητες αλλά και αδυναμίες. Στο επιχειρηματικό τοπίο είναι επίσης σημαντικό να γνωρίζουμε τα πλεονεκτήματα, τις αδυναμίες αλά και την ιστορία της επιχείρησης με την οποία πρέπει να συνάψουμε σχέση. Στη συγκεκριμένη περίπτωση μιλάμε για τη σχέση του Υπεύθυνου ασφάλειας Πληροφοριών με την εταιρεία στην οποία εργάζεται.
Ας δούμε λοιπόν πως η εν λόγο σχέση μπορεί να αποβεί εποικοδομητική, προσδιορίζοντας τα βήματα του Υπεύθυνου Ασφάλειας Πληροφοριών προκειμένου να συλλέξει τις πληροφορίες που χρειάζεται έτσι ώστε να μπορέσει να στοιχειοθετήσει και να επικοινωνήσει αποτελεσματικά τις απαιτήσεις Ασφάλειας Πληροφοριών προς τη Διοίκηση.

1. Γνώση του περιβάλλοντος εργασίας
Η πρωταρχική ενέργεια Υπεύθυνου Ασφάλειας Πληροφοριών είναι να κατανοήσει το περιβάλλον στο οποίο βρίσκεται. Δεν αναφέρομαι στις λειτουργικές διαδικασίες της εταιρείας αλλά στο ποια πραγματικά είναι η εταιρεία για την οποία εργάζεται. Σε αυτό θα βοηθήσουν ενέργειες όπως η γνώση του παρελθόντος και της ιστορίας της εταιρείας, καθώς και επικοινωνία με συναδέλφους που έχουν πολλά χρόνια εργασίας στη εταιρεία. Μια πολύ καλή σκέψη είναι η ανάγνωση των εταιρικών εγχειριδίων (κανόνες εργασίας, εταιρικούς ισολογισμούς), αλλά και η περιπλάνηση στους χώρους εργασίας και παρατήρηση του τρόπου εργασίας μέσα στην εταιρεία.

2. Κατανόηση των εταιρικών λειτουργιών και διαδικασιών
Έχοντας κατανοήσει το περιβάλλον στο οποίο βρισκόμαστε, είναι η ώρα να κατανοηθεί ο τρόπος με τον οποίο λειτουργεί η εταιρεία προκειμένου να πετύχει τους στόχους της. Μέσα από αυτή τη διαδικασία γίνεται κατανοητό ο τρόπος λειτουργίας της εταιρείας καθώς και οι διάφοροι τύποι πληροφοριών που διαχειρίζονται από τις λειτουργικές μονάδες της εταιρείας.

Στα πλαίσια της συγκεκριμένης διεργασίας συλλέγονται πληροφορίες για τα ακόλουθα:

  • Μάθετε όσο το δυνατόν περισσότερα σχετικά με τα προϊόντα και τις υπηρεσίες που παρέχει η εταιρεία. Κατανοήστε το τρόπο με τον οποίο η εταιρεία παράγει και παράλληλα κατανοήστε το τρόπο επεξεργασίας, διακίνησης και αποθήκευσης των εταιρικών πληροφοριών.
  • Κρατήστε τη δική σας τεκμηρίωση σχετικά με τα παραπάνω και μη στηριχθείτε στη υπάρχουσα καταγραφή και γνώση που μπορείτε να πάρετε από εγχειρίδια εργασίας και διαδικασίες.
  • Αφιερώστε χρόνο για να κατανοήσετε τον πραγματικό τρόπο λειτουργίας των διαφόρων επιχειρηματικών μονάδων. Τις περισσότερες φορές είναι διαφορετικός από τις καταγεγραμμένες διαδικασίες.

Δεν έχει έρθει η ώρα ακόμα για να ενημερωθείτε σχετικά με τα θέματα ασφάλειας πληροφοριών της εταιρείας. Το πρώτο μέλημα είναι να μάθετε την ίδια την εταιρεία, το μέγεθος της, τα προϊόντα της, τη κουλτούρα που επικρατεί στον εργασιακό χώρο και ίσως και κάποια αρχικά στοιχεία που αφορούν στις πηγές κινδύνων που αφορούν στην ασφάλεια πληροφοριών και την ανθεκτικότητα ή / και ανοχή της εταιρείας στους κινδύνους αυτούς.
Σε αυτό το στάδιο είναι σημαντικό να εστιάσουμε στο πώς λειτουργεί η εταιρεία σαν ένας μηχανισμός και παράλληλα να μάθουμε πως το ανθρώπινο δυναμικό της εταιρίας κρατά σε λειτουργία αυτό το μηχανισμό με το τρόπο που εργάζεται.
Αυτό που είναι πραγματικά σημαντικό είναι να διασφαλιστεί η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των κυριότερων περιουσιακών στοιχείων της εταιρείας, όποια κι αν είναι αυτά. Το τελευταίο πράγμα που πρέπει να κάνουμε, είναι να λειτουργήσουμε ως ξένοι με το υφιστάμενο λειτουργικό περιβάλλουν που θέλουμε να αλλάξουμε τα πάντα και να επιβάλουμε κανόνες κάνοντας χρήση προκατασκευασμένων αποφάσεων και συμπερασμάτων. Με το τρόπο αυτό θα δημιουργηθεί αρνητικό κλίμα για την ασφάλεια πληροφοριών και για το δικό μας ρόλο, ενώ ταυτόχρονα θα χάσουμε την αξιοπιστία μας διότι οι προκατασκευασμένες θέσεις μας για την ασφάλεια πληροφοριών δε θα ταιριάζουν στο επιχειρηματικό περιβάλλον. Φυσικά όλος αυτός ο αρνητικός θόρυβος θα φτάσει και στη Διοίκηση.

3. Αξιολόγηση της Εταιρείας
Αξιολόγηση της εταιρείας από εσάς τους ίδιους. Συνεργασίες με συγκεκριμένες επιχειρηματικές μονάδες με σκοπό τη συλλογή πληροφοριών οι οποίες στη συνέχεια θα βοηθήσουν στη ορθολογικότερη αποτύπωση των προτάσεών σας για την ασφάλεια πληροφοριών. Προτάσεις οι οποίες θα λαμβάνουν υπ’ όψη τους το τρόπο λειτουργίας της εταιρείας αλλά και τη κουλτούρα αυτής. Το πρώτο βήμα σε αυτό το στάδιο της διαδικασίας είναι να συναντηθείτε με τη Διοίκηση (πρόεδρο, Διευθύνοντα Σύμβουλο, Εσωτερικό έλεγχο) ή εκπροσώπους αυτής για να κατανοήσετε τι είναι σημαντικό γι’ αυτούς, όσον αφορά στην Ασφάλεια Πληροφοριών. Μη ξεχνάτε ότι οι συγκεκριμένοι άνθρωποι είναι ουσιαστικά και Νομικά υπεύθυνοι για την εταιρεία.
Το επόμενο βήμα αφορά στο Νομικό τμήμα της εταιρείας. Σκοπός είναι να μάθετε το νομικό και θεσμικό πλαίσιο στο οποίο υπόκειται η εταιρεία. Εδώ χρειάζεται ιδιαίτερη προσοχή διότι το νομικό και θεσμικό πλαίσιο υποδεικνύει κάποιες από τις προτεραιότητες του Υπεύθυνου Ασφάλειας Πληροφοριών. Κάτι ακόμα το οποίο χρειάζεται να αποτιμηθεί από την εν λόγο συνεργασία, είναι ο βαθμός ενημέρωσης (& κατανόησης) του Νομικού τμήματος της εταιρείας σχετικά με το ισχύον πλαίσιο για την ασφάλεια πληροφοριών. Αν δεν υπάρχει η ανάλογη κατανόηση τότε είναι ένα από τα θέματα της ατζέντας σας. Το τμήμα διαχείρισης ανθρώπινων πόρων είναι ο επόμενος σταθμός σας. Το ζητούμενο από τη συνεργασία αυτή είναι να συλλεχθούν πληροφορίες για τα ακόλουθα:

  • Διαδικασίες που υπάρχουν στο χώρο εργασίας
  • Εργασιακό προφίλ των συναδέλφων σας. Διαφορετικοί εργασιακοί ρόλοι μέσα στην εταιρεία, γνωστικό αντικείμενο αυτών.
  • Διαδικασίες πρόσληψης προσωπικού καθώς και διαδικασίες διακοπής συνεργασίες με το προσωπικό.

Ο επόμενος σταθμός σας είναι η καρδία του μηχανισμού που ονομάζεται εταιρεία, οι επιχειρηματικές μονάδες. Από εδώ θα μάθετε πως προκύπτουν τα έσοδα της εταιρείας, ποιες είναι οι παραγωγικές διαδικασίες της εταιρείας. Ταυτόχρονα είναι και μια πρώτη γεύση για το πως αντιλαμβάνονται την ασφάλεια πληροφοριών οι παραγωγικές διαδικασίες της εταιρείας.

4. Διερεύνηση της τεχνολογικής υποδομής
Στην ερώτηση εάν αυτός θα έπρεπε να είναι ο πρώτος σταθμός του Υπεύθυνου ασφάλειας πληροφοριών? Η απάντηση είναι εύκολη: Όχι!
Η αποστολή του Υπεύθυνου ασφάλειας πληροφοριών είναι να προστατέψει τα συμφέροντα της εταιρείας, έτσι όπως αυτά προσδιορίζονται από την ίδια την εταιρεία και αυτούς που τη Διοικούν.

Με γνώμονα αυτό, οι πληροφορίες που χρειάζεται να συλλεχθούν σε σχέση με τη τεχνολογία, είναι οι ακόλουθες:

  • Κατανόηση του τρόπου επεξεργασίας, αποθήκευσης και διακίνησης των πληροφοριών της εταιρείας με χρήση της τεχνολογίας.
  • Κατανόηση της αρχιτεκτονικής των διαφόρων συστατικών της τεχνολογικής υποδομής. Κατανοήστε όσο το δυνατόν περισσότερο τη τεχνολογία, το τρόπο λειτουργίας της και τις ιδιαιτερότητες της ανά περίπτωση.
  • Κατανοήστε όσο το δυνατόν περισσότερο τόσο τις λογικές όσο και τις φυσικές πτυχές των διαφόρων τεχνολογιών που υπάρχουν στη εταιρεία.
  • Ενημερωθείτε για τους διαφορετικούς ρόλους και αρμοδιότητες.
  • Τεκμηριώστε με το δικό σας τρόπο τα παραπάνω μαζί με τις παρατηρήσεις σας.

Έχοντας ακολουθήσει τα παραπάνω βήματα, μπορούμε να στοιχειοθετήσουμε ορθότερα, με σαφήνεια και περιεκτικότητα τις απαιτήσεις ασφάλειας πληροφοριών. Αυτό θα βοηθήσει τόσο στην επικοινωνίας μας με τη Διοίκηση, όσο και στη σύνταξη των διακηρύξεων με σκοπό τη προμήθεια λύσεων και υπηρεσιών. Εφοδιασμένοι με τις γνώσεις που προέκυψαν από την παραπάνω διαδικασία κατανόησης της εταιρείας, ο υπεύθυνος ασφάλειας πληροφοριών είναι σε θέση να γνωρίζει τις πραγματικές ανάγκες όλης της εταιρείας και ταυτόχρονα να γνωρίζει τις συγκεκριμένες απαιτήσεις για λύσεις και υπηρεσίες που αφορούν στην ασφάλεια πληροφοριών. Ο υπεύθυνος ασφάλειας πληροφοριών έχει τη γνώση για μείωση του συνολικού κόστους της ασφάλειας πληροφοριών, διότι γνωρίζει ποιες περιοχές διατρέχουν κίνδυνο και για ποιες δραστηριότητες χρειάζεται βοήθεια από εξωτερικούς συνεργάτες. Επίσης, πολύ σημαντικός είναι και ο τρόπος επικοινωνίας των εκάστοτε διαπιστώσεων που προκύπτουν για την ασφάλεια πληροφοριών μετά από τις αξιολογήσεις κινδύνων. Ως αποτέλεσμα της παραπάνω διεργασίας, ο υπεύθυνος ασφάλειας πληροφοριών μπορεί να εξηγήσει τις διάφορες διαπιστώσεις και κινδύνους επαρκώς με συγκεκριμένα επιχειρήματα που αφορούν στην εκάστοτε επιχειρηματική μονάδα, καθώς και να επιχειρηματολογήσει αξιόπιστα για το επίπτωση των εκάστοτε κινδύνων.
Επειδή ο υπεύθυνος ασφάλειας πληροφοριών έχει φροντίσει να κατανοήσει το τρόπο λειτουργίας της εταιρείας, τους Νόμους που διέπουν τη λειτουργία της, καθώς και βούληση της Διοίκησης για το ανεκτό επίπεδο ανοχής του κινδύνου, μπορεί να υποστηρίξει τις θέσεις του επαρκώς και να επιχειρηματολογήσει για αυτές με κάτι πέρα του γενικού κινδύνου που αντιμετωπίζουν όλες οι εταιρείες σε σχέση με την ασφάλεια πληροφοριών. Εάν ο υπεύθυνος ασφάλειας πληροφοριών δεν είχε κατανοήσει το πλαίσιο λειτουργίας της εταιρείας και κυρίως τη κουλτούρα των ανθρώπων που εργάζονται σε αυτή, θα είχε την όψη του κακού, του ανελαστικού, που έρχεται να εφαρμόσει τη θεωρεία χωρίς να έχει κατανοήσει το περιβάλλον στο οποίο εργάζεται. Εκεί ακριβώς χάνεται η αξιοπιστία του υπεύθυνου ασφάλειας πληροφοριών η οποία συνεπάγεται και χάσιμο της στήριξης της Διοίκησης.
Ο παραπάνω τρόπος δράσης θα βοηθήσει και στο αποτελεσματικότερο τρόπο προμήθειας λύσεων & υπηρεσιών ασφάλειας πληροφοριών.
Πολλές από τις διακηρύξεις για προμήθεια λύσεων και υπηρεσιών ασφάλειας πληροφοριών είναι ελλιπής διότι επικεντρώνονται μόνο στη τεχνολογία. Απουσιάζει τεκμηρίωση σχετικά με τον επιχειρησιακό σκοπό που πρόκειται να εξυπηρετηθεί από τις ζητούμενες υπηρεσίες ή λύσεις. Συνήθως, αυτό οδηγεί σε υλοποιήσεις (στη καλύτερη των περιπτώσεων) με πολύ περιορισμένο πεδίο εφαρμογής, δεδομένου ότι οι συντάκτες παραλείπουν να λάβουν υπόψη το σύνολο του επιχειρηματικού περιβάλλοντος αλλά μόνο ένα μέρος αυτού.
Με το τρόπο αυτό η Διοίκηση καλείται να εγκρίνει και να χρηματοδοτήσει λύσεις και υπηρεσίες που εξυπηρετούν τον ίδιο σκοπό παραπάνω από μια φορές διότι το εύρος εφαρμογής δεν είναι πλήρως καθορισμένο στην αρχική απαίτηση. Τις περισσότερες φορές αυτό οδηγεί σε μείωση της αξιοπιστίας του υπεύθυνου ασφάλειας πληροφοριών και κάποιες φορές στη μη χρηματοδότηση τόσο της συγκεκριμένης όσο και άλλων απαιτήσεων ασφάλειας πληροφοριών.
Έχοντας ακολουθήσει το παραπάνω τρόπο δράσης αποφεύγουμε τα λάθη που προαναφέραμε και η προμήθεια λύσεων και υπηρεσιών ασφάλειας πληροφοριών ξεκινά από σωστή βάση.

Αναζητώντας στήριξη για συγκεκριμένη πρωτοβουλία – επένδυση στην ασφάλεια πληροφοριών
Μία ακόμα περίπτωση στην οποία ο υπεύθυνος ασφάλειας πληροφοριών καλείται να αναζητήσει τη στήριξη της Διοίκησης, είναι όταν προτείνει τη προμήθεια λύσεων ή υπηρεσιών που αφορούν και επιδρούν στο σύνολο της εταιρείας π.χ. υλοποίηση λύσης identity management, δράση πιστοποίησης της εταιρείας κατά ISO27001, υλοποίηση λύσης strong authentication, δράση για εναρμόνιση με το κανονιστικό πλαίσιο, δράση ευαισθητοποίησης του προσωπικού για θέματα ασφάλειας πληροφοριών κ.α.
Σε τέτοιες πρωτοβουλίες η στήριξη της Διοίκησης είναι σημαντική τόσο για την έγκριση και χρηματοδότηση της πρωτοβουλίας, αλλά και για τη αποτελεσματική υλοποίησή της. Για το λόγο αυτό προτείνουμε μεθοδική προσέγγιση προκειμένου να «πουλήσουμε» με το ποιο αποτελεσματικό τρόπο την ιδέα προς τη Διοίκηση.

Τα βασικά συστατικά της προσέγγισής μας προσδιορίζονται στη συνέχεια.

  • Το πρώτο συστατικό αφορά στο να προσδιορίσουμε τους κατάλληλους υποστηρικτές της πρότασης μας. Οι υποστηρικτές θα πρέπει να είναι τουλάχιστον κάποιοι από τους επικεφαλείς των επιχειρηματικών μονάδων της εταιρείας (τμήματα, διευθύνσεις) ή / και μέλη της Διοίκησης. Η επιλογή δεν πρέπει να είναι τυχαία. Είναι καλύτερα να είναι άτομα η εργασία των οποίων θα επηρεάζεται θετικά από τη πρόταση μας ή θα κατανοούν τη σκοπιμότητα υλοποίησης
  • Το δεύτερο βήμα αφορά στο προσδιορισμό μιας πειστικής επιχειρηματικής αναγκαιότητας για την υλοποίηση της πρότασης μας. Η επιχειρηματική αναγκαιότητα θα αποτελέσει το θεμέλιο για την επιτυχημένη κατάληξη της πρότασης μας. Η στοιχειοθέτηση της επιχειρηματικής αναγκαιότητας για τη εκάστοτε επένδυση, βελτιώνει σημαντικά τις πιθανότητες έγκρισης & χρηματοδότησής της, δεδομένου ότι βοηθά τη Διοίκηση να κατανοήσει την αξίας της επένδυσης.
  • Το τρίτο συστατικό είναι η όσο το δυνατόν αντικειμενική εκτίμηση του κόστους των όσων προτείνουμε.
  • Το τέταρτο συστατικό είναι ο προσδιορισμός των επιχειρηματικών οφελών που θα προκύψουν από την υλοποίηση της πρότασής μας. Καμία πρόταση δεν μπορεί να στοιχειοθετηθεί χωρίς ουσιαστικά οφέλη για τη εταιρεία.
  • Το πέμπτο και σημαντικότερο συστατικό είναι ο τρόπος προσέγγισης και επικοινωνίας με τη Διοίκηση. Η επικοινωνία με τη Διοίκηση για να είναι αποτελεσματική πρέπει να γίνει τη κατάλληλη χρονική περίοδο και με το κατάλληλο τρόπο.

Ο τρόπος επικοινωνίας με τη Διοίκηση είναι εντελώς διαφορετικός σε σχέση με την επικοινωνία με ανθρώπους της τεχνολογίας ή σε σχέση με τους τελικούς χρήστες της τεχνολογίας (end users).
Αν πρόκειται να επικοινωνήσουμε με κάποιον προκειμένου να κατανοήσει την αξία των όσων προτείνουμε και να μας στηρίξει, πρέπει πρώτα από όλα εμείς να κατανοήσουμε αυτό το οποίο ζητάμε και στη συνέχεια να σκεφθούμε τι πληροφορία θα πρέπει να επικοινωνήσουμε στη Διοίκηση. Η επικοινωνία μας θα πρέπει να είναι τόσο σε γραπτή μορφή όσο και σε μορφή παρουσίασης.
Η αρχική γραπτή μας επικοινωνία θα έχει τη μορφή προκαταρκτικής επικοινωνίας και θα προηγηθεί της επίσημης παρουσίασης της πρότασής μας. Το γραπτό κείμενο πρέπει ιδανικά να είναι μια σελίδα (το πολύ δύο) στην οποία θα περιγράφεται με σαφήνεια η πρόταση μας, η αναγκαιότητα της πρότασης και τα οφέλη της για την εταιρεία.
Στη συνέχεια παρουσιάζουμε τη πρόταση μας και τη στοιχειοθετούμε με άλλες τις πληροφορίες που αναφέρθηκαν παραπάνω. Είναι σημαντικό να παρουσιάσουμε τη πρόταση μας στη Διοίκηση. Η παρουσίαση δείχνει την ετοιμότητά μας, ότι είμαστε γνώστες του τι προτείνουμε και είμαστε δεκτικοί στο να απαντήσουμε σε οποιαδήποτε ερώτηση.
Η διαπροσωπική σχέση με τη Διοίκηση είναι πολύ σημαντική. Η αποτελεσματική επικοινωνία με τη Διοίκηση, ενισχύει την εικόνα του υπεύθυνου της ασφάλειας πληροφοριών ως ένα σημαντικό στέλεχος στην εταιρεία. Η δέσμευση της Διοίκησης για τη στήριξη της πρότασης μας κατά τη διάρκεια της παρουσίασης δύσκολα παίρνεται πίσω.

Συμπέρασμα
Οι τρόποι προσέγγισης που αναφέρθηκαν στο συγκεκριμένο άρθρο δείχνουν εύκολοι. Όμως δε χρησιμοποιούνται συχνά, παρόλο που πολλοί από τους αναγνώστες του άρθρου θα επιχειρηματολογήσουν ότι όλα τα παραπάνω δεν είναι παρά η κοινή επιχειρηματική λογική. Γιατί όμως η λογική αυτή δε γίνεται πράξη?
Ο λόγος είναι ότι οι άνθρωποι ξεχνάμε για ποιους εργαζόμαστε. Ξεχνάμε ότι τα χρήματα και η ενέργεια που ζητάμε να δοθούν για την ασφάλεια πληροφοριών δεν είναι δικά μας και πολύ περισσότερο η εταιρεία για την οποία εργαζόμαστε δε διοικείται από εμάς, αλλά από τους μετόχους της. Για τους οποίους η ασφάλεια πληροφοριών είναι ένα εργαλείο για να επιτύχουν τους στόχους στη εταιρείας.
Η διοίκηση θα δώσει τη στήριξη της όταν είναι σίγουρη ότι οι προτάσεις μας είναι εναρμονισμένες με τους επιχειρηματικούς στόχους και ότι δεν απλά προσπαθούμε να επιβάλουμε τη δική μας λογική, αλλά προσπαθούμε να βοηθήσουμε την εταιρεία να αναπτυχθεί με το τρόπο που αυτή έχει επιλέξει. Τα παραπάνω βήματα θα βοηθήσουν τον υπεύθυνο ασφάλειας πληροφοριών να είναι αποτελεσματικός και αυτό θα εκτιμηθεί από τη Διοίκηση και θα μας προσφέρει τη στήριξή της. Και επειδή ποτέ δεν είναι αργά, σκεφτείτε ποια από τα βήματα της βασικής προσέγγισης δεν έχετε πραγματοποιήσει και κάντε μια προσπάθεια.

Παραπομπές

  • 5 Steps to Communicate Security’ s Value to Non-security People [Joan Goodchild, Senior Editor, CSO, 2009]
  • Getting Buy-in-An Easier Way [Chris Konrad, ISACA Journal, 2009]
  • How to Build a Better Business Case for Security Investments, [Derek Slater, CSO, 2004]
  • Obtaining support and funding from senior management [ENISA publication, 2008]
  • How to Communicate Up [Jeffrey Bardin, CSO, 2006]
  • Driving Value From Information Security: A Governance Perspective [Vishnu Kanhere, ISACA Journal, 2009]

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.