Gdzie jest miejsce działu bezpieczeństwa w organizacji? Czy ma być częścią działu IT, czy samodzielną, wyodrębnioną komórką? Jak będzie wyglądało jego usytuowanie i rola w przyszłości? Komu powinien podlegać, aby skutecznie realizować swoje zadania? Podczas Advanced Threat Summit 2017 dyskutowano o tym w trakcie panelu, który miał formę debaty oksfordzkiej.

Pod dyskusję poddana została teza, że dział bezpieczeństwa powinien być niezależny i wydzielony w możliwie dużym stopniu ze struktur IT.

Bez konfliktu interesów

Jej obrońcy wskazywali przede wszystkim na konflikt interesów, jaki potencjalnie istnieje między menedżerami odpowiedzialnymi za bezpieczeństwo w organizacji a kierującymi działem informatyki. CIO pracuje głównie pod presją terminów i wymagań klientów, musi dbać głównie o szybkość działania, elastyczność reagowania, zadowolenie użytkowników. Kwestie bezpieczeństwa są w takiej sytuacji drugorzędne. Gdy CSO jest jego podwładnym, istnieje ryzyko akceptowania niedostatecznych wymogów bezpieczeństwa w stosunku do IT.

Uczestnicy występujący w roli zwolenników wydzielenia spraw cyberbezpieczeństwa ze struktur IT przyznawali, że obecnie w praktyce CSO najczęściej raportują do CIO. Ich zdaniem, jest to jednak przeżytek i w przyszłości taki stan rzeczy będzie nie do utrzymania. Grozi bowiem przemilczaniem ważnych dla całości organizacji kwestii w imię utrzymania sprawności działania pionu IT. Skutki tego mogą być groźne dla firmy.

CIO pracuje głównie pod presją terminów i wymagań klientów, musi dbać przede wszystkim o szybkość działania, elastyczność reagowania, zadowolenie użytkowników. Kwestie bezpieczeństwa są w takiej sytuacji drugorzędne. Gdy CSO jest jego podwładnym, istnieje ryzyko akceptowania niedostatecznych wymogów bezpieczeństwa w stosunku do IT.

Należy dążyć do tego, aby docelowo CSO raportował bezpośrednio do CEO. Tylko wtedy będzie mógł należycie wykonywać swoje zadania. Jego rolą jest bowiem dbanie o bezpieczeństwo całej organizacji, a nie wspieranie działu IT. Musi więc mieć możliwość patrzenia na ręce szefowi IT, ale nie być zobligowanym do wykonywania jego poleceń. Wydzielenie cyberbezpieczeństwa ze struktur IT daje CSO możliwość obiektywnego działania. Może wtedy traktować całą organizację jednakowo, od wszystkich wymagać tego samego. Standardy bezpieczeństwa muszą być spełnione przez wszystkich bez względu na to, jak utrudniają bieżącą pracę.

Bezpieczeństwo IT nie jest sprawą IT, ale całej organizacji. Osoba zajmująca się bezpieczeństwem musi być więc poza strukturami IT. Dobrym rozwiązaniem może być przekazanie kompetencji związanych z cyberbezpieczeństwem do działu zajmującego się bezpieczeństwem organizacji, w tym również fizycznym. Zdaniem niektórych uczestników dyskusji, działy bezpieczeństwa miały już dawno do czynienia z tym, co dzisiaj występuje w cyberbezpieczeństwie – kradzieżami, włamaniami, nieuprawnionym dostępem itp. Rozumieją, jak działają przestępcy, mają doświadczenie i wiedzą, jak sobie z nimi radzić. Potrzebują tylko wsparcia technologicznego. Zaletą takiego rozwiązania jest to, że w jednym miejscu zostaną połączone kwestie bezpieczeństwa świata rzeczywistego i wirtualnego. Incydenty zarówno w jednym, jak i drugim świecie mogą dzisiaj mieć podobnie groźne skutki dla firmy.

Należy dążyć do tego, aby docelowo CSO raportował bezpośrednio do CEO. Tylko wtedy będzie mógł należycie wykonywać swoje zadania. Jego rolą jest bowiem dbanie o bezpieczeństwo całej organizacji, a nie wspieranie działu IT. Musi więc mieć możliwość patrzenia na ręce szefowi IT, ale nie być zobligowanym do wykonywania jego poleceń.

Obrońcy tezy o potrzebie wydzielenia kwestii cyberbezpieczeństwa spod nadzoru działu informatyki przyznawali jednak, że dla osiągnięcia odpowiedniego poziomu bezpieczeństwa w organizacji potrzebna jest ścisła współpraca CSO i CIO. To podstawa cyberbezpieczeństwa. Dla sprawnego działania pionu bezpieczeństwa ważna jest też wiedza, którą specjaliści wynoszą z pracy w IT. Wielu pracowników przenosi się dzisiaj z działów informatyki do struktur zajmujących się bezpieczeństwem. Przynoszą z sobą informacje i umiejętności potrzebne dla sprawnego funkcjonowania obszaru cyber security. IT kształtuje kadry, ale ludzie coraz częściej chcą pracować w poczuciu bezpieczeństwa. To też jeden z argumentów za wydzieleniem działu bezpieczeństwa ze struktur IT.

Wspólnie znaczy efektywnie

Przeciwnicy tezy o konieczności wydzielenia działu bezpieczeństwa ze struktur IT zwracali uwagę, że byłby to sztuczny rozdział, gdyż zarówno na IT, jak i na cyberbezpieczeństwo jest ten sam budżet. Wspólne są również technologie, które stanowią podstawę działania obu obszarów. W IT jest też wiele technologii i rozwiązań kluczowych z punktu widzenia cyber security. Jaki więc sens ma rozdzielanie czegoś, co jest i tak w praktyce powiązane na różnych polach działania?

Rozdzielenie prowadzi do dublowania struktur. Efektem tego jest utrudniona współpraca i komunikacja. Innym zagrożeniem jest pojawienie się wskutek tego niezdrowej rywalizacji między CSO i CIO. Występując przed tymi sami przełożonymi, będą konkurować o ten sam budżet i te same zasoby. W konsekwencji w trosce o utrzymanie operacyjnej sprawności działania na bezpieczeństwo może być mniej pieniędzy. To się może odbić na jakości pracy działu bezpieczeństwa i skutkować obniżeniem ogólnie poziomu bezpieczeństwa w firmie. Lepiej, żeby CSO i CIO byli w jednym zespole i wspólnie działali na rzecz tych samych celów.

Wydzielenie działu bezpieczeństwa ze struktur IT byłoby sztucznym podziałem, gdyż zarówno na IT, jak i na cyberbezpieczeństwo jest ten sam budżet. Wspólne są również technologie, które stanowią podstawę działania obu obszarów. W IT jest też wiele technologii i rozwiązań kluczowych z punktu widzenia cyber security. Jaki więc sens ma rozdzielanie czegoś, co jest i tak w praktyce powiązane na różnych polach działania?

Zadaniem CSO jest zapewnić odpowiedni poziom bezpieczeństwa organizacji – bez względu na to, czy będzie działał w strukturach IT czy samodzielnie. Wszędzie ma tę samą rolę do odegrania. Jego działania muszą jednak przebiegać w stałym kontakcie z IT. Muszą być na bieżąco skoordynowane i skonsultowane z IT, chociażby w zakresie wymagań dla architektury bezpieczeństwa, modeli danych itp. W ramach jednej jednostki będzie to łatwiejsze i efektywniejsze. Procesy będą realizowane sprawniej i szybciej. A funkcje przypisane CSO i tak muszą być wypełnione. Szef bezpieczeństwa będzie w strukturach IT, ale z tego względu nie dostanie żadnej taryfy ulgowej, ze swoich obowiązków będzie musiał się należycie wywiązać.

Oderwanie CSO od kontaktów z bieżącym działaniem firmy, od rozumienia potrzeb i wymagań klientów oraz użytkowników IT może okazać się również niebezpieczne dla całej organizacji. Może skutkować wymyślaniem nierealnych bądź wygórowanych wymagań, które zdezorganizują pracę firmy i będą miały negatywny wpływ na biznes. W konsekwencji usamodzielnienie się pionu CSO może doprowadzić do powstania stanowiska poza kontrolą. Szef bezpieczeństwa, mając władzę do kontrolowania innych, sam pozostanie poza kontrolą.

Zadaniem CSO jest zapewnić odpowiedni poziom bezpieczeństwa organizacji – bez względu na to, czy będzie działał w strukturach IT czy samodzielnie. Jego działania muszą jednak przebiegać w stałym kontakcie z IT. Muszą być na bieżąco skoordynowane i skonsultowane z IT, chociażby w zakresie wymagań dla architektury bezpieczeństwa, modeli danych itp. W ramach jednej jednostki będzie to łatwiejsze i efektywniejsze. Procesy będą realizowane sprawniej i szybciej.

Dodatkowym argumentem na rzecz pozostawienia bezpieczeństwa w ramach IT jest możliwość zapewnienia wysoko wykwalifikowanych kadr. CIO ma w tym względzie znaczącą przewagę nad CSO. Może zapewnić specjalistom zdecydowanie wyższe wynagrodzenie. Może też im zagwarantować lepsze warunki rozwoju zawodowego – kursy, szkolenia, certyfikaty. Ma na to środki, które trudno zdobyć szefowi bezpieczeństwa. Nie bez znaczenia jest też kwestia prestiżu. W pionie IT dzieją się kluczowe dla rozwoju firmy i biznesu procesy. Szef IT ma inicjatywę w zakresie cyfrowej transformacji, moderuje dokonujące się w tym zakresie zmiany. Każdy ambitny pracownik chce być tam, gdzie dzieją się ważne sprawy i zapadają decyzje o strategicznym znaczeniu. A takim miejscem jest dzisiaj dział IT.

Co zmieni RODO?

Uczestnicy panelu zauważyli jednogłośnie, że nowe uwarunkowania w relacjach między działami IT i bezpieczeństwa mogą pojawić się w wyniku wdrożenia nowego rozporządzenia o ochronie danych osobowych (RODO). Wskazywać może na to m.in. wyjątkowa pozycja przypisana przez regulacje inspektorowi ochrony danych osobowych (IODO). Jakie będą faktyczne skutki wejścia w życie nowych przepisów, trudno na razie jednoznacznie stwierdzić, ale, zdaniem uczestników dyskusji, mogą one w znaczący sposób wpłynąć na postrzeganie kwestii cyberbezpieczeństwa w organizacji.