Informacijska varnost danes postaja eden izmed stebrov poslovanja. Po tem, ko so izsiljevalski virusi postali franšizni posel (najem storitve izsiljevanja), se v zadnjih mesecih vse bolj uveljavlja tudi storitev najema hackerja (HAAS).

Pri tem so najbolj na udaru startupi ter srednja in mala (SMB) podjetja, za katere je polna zaposlitev vodje informacijske varnosti izjemno draga in zamudna možnost. Običajno ta delovna mesta privabljajo visoko usposobljene kandidate, manjša podjetja pa imajo že pri iskanju takšnih talentov cel kup težav.

Rešitev za tovrstne težave tako ponuja novi model vodenja informacijske varnosti – informacijska varnost na klic oziroma virtualni CISO (vCISO).

Podjetja vseh velikosti lahko najemajo vrhunsko znanje in tako pridejo do hitre, učinkovite in dostopne storitve za oblikovanje ali nadgradnjo svoje varnosti.

Stroškovno dosegljiva rešitev

Stroški zaposlitve vodje informacijske varnosti so izjemno visoki (v ZDA se povprečna CISO plača giblje okrog 200.000€ letno).

Na področju, ki ni del primarne dejavnosti podjetja, so takšni stroški za večino SMB podjetij nesprejemljivi, zato se pri vprašanju zagotavljanja varnosti za svoje informacije – v upanju, da je ne bodo potrebovali – (najraje) obrnejo stran.

vCISO pa lahko to vrzel uspešno zapolni. Večina CISO strokovnjakov vodi svetovalna podjetja, kar jim omogoča, da ponujajo stroškovno učinkovite storitve na vseh področjih informacijske varnosti.

V glavnem zaradi stroškov (IT varnosti) večina podjetij upa, da spletni zločinci ne bodo zavili v njihovo ulico. To pa je v dobi vsesplošne prisotnosti interneta le zatiskanje oči pred neizogibnim.

Lovu na luknje se danes ni več mogoče izogniti
Neizogibno

Ob zatiskanju oči zelo verjetno na informacijski varnosti ne delate nič. To pa je idealen poligon za hackerje začetnike.

Glavna težava je vedno v dveh dejavnikih:

  • v najšibkejši (in največkrat napadeni) točki informacijske varnosti – zaposlenih, in
  • pomešanih pojmih, kaj informacijska varnost dejansko je. Podjetja to pogosto razumejo zgolj kot kibernetsko (ali IT) varnost.

Ko (s pomočjo) razjasnite in rešite ta dva dejavnika, več kot polovica groženj odpade oziroma se tveganja bistveno zmanjšajo.

Še ena bistvena prednost – stroški te rešitve so zanemarljivi.

Enostavno (in) fleksibilno

Trend informacijske varnosti na klic (podobno kot DPO) kot možen odziv na storitev najema hackerja postaja zelo priljubljen. Na spletu lahko najdete kar nekaj temu namenjenih platform, čeprav menim, da je osebni stik še vedno nezamenljiv.

Strokovnjaki pridobijo celovit vpogled v trenutno situacijo in hitro ocenijo realne grožnje. Manjša podjetja s tem dobijo fleksibilno rešitev za profesionalno in stroškovno učinkovito vzpostavitev sistema varovanja, strokovno znanje in podporo, v primeru informacijskih groženj ali kršitev pa ne ostanejo brez pomoči.

Informacijska varnost se hitro spreminja. Podjetja morajo biti zaradi tega pri vzpostavitvi sistemov varnosti ves čas čuječa.

To pa je še posebej pomembno za startupe in hitro rastoča podjetja. Ti so najbolj ranljivi za hackerske napade, saj njihovi sistemi, razen v specifičnih industrijah, ne obstajajo oziroma precej zaostajajo za rastjo podjetja.

Nestrukturirana organizacija, neusklajeni sistemi, napake v konfiguracijah in neustrezno spreminjanje nudijo idealne pogoje za hackerje.

S pomočjo informacijske varnosti na klic podjetja hitreje odkrivajo in blažijo te grožnje. Tako lahko neovirano rastejo, infrastruktura pa je hkrati primerno zaščitena.

Še pomemneje pa je, da lahko rastoča podjetja uporabijo svoji rasti oziroma velikosti primerne strokovnjake. Strokovnjak, ki ima izkušnje z malimi podjetji, bo težko obvladoval varnostne potrebe večjega podjetja, in obratno.

Na določenih področjih, na primer finančnem  ali pri delu z vladnimi organizacijami so zahteve informacijske varnosti zelo specifične in lahko hitro zelo dvignejo stroške.

vCISO podjetjem omogoča, da najdejo svojim potrebam primerne strokovnjake in tako ob rasti ostanejo varna.

Virtualno je vedno prilagodljivo
Zaposlitev strokovnjaka za varnost je lahko draga in toga rešitev. Podjetje se veže na izbrano osebo, v primeru zaposlitve napačnega pa so stroški zaposlitve previsoki.

Pri virtualnem modelu pa za mala podjetja ni te ovire ni. Storitev lahko ocenijo v realnem okolju, še preden se odločijo in dolgoročno zavežejo k sodelovanju. Narava modela podjetjem omogoča hitro zamenjavo neustreznega talenta.

Ta model ponuja tudi zelo prilagodljive delovne pogoje, na primer storitve na klic. Podjetje lahko poleg možnosti najema brez geografskih omejitev kadar koli glede na kritičnost situacije aktivira svojega vCISO.

Širše koristi

Model vCISO za SMB podjetja prinaša ogromno koristi. Mala podjetja lahko na tak način uvedejo prilagodljive robustne varnostne prakse. Najamejo lahko ljudi z različnih področij varnosti in izberejo najustreznejše rešitve.

Koristi od tega imajo tudi varnostni strokovnjaki in varnostna industrija. Povpraševanje po njihovih kompetencah je ogromno, te pa se precej razlikujejo od tradicionalnih poklicnih poti.

Varnostni strokovnjaki lahko danes svoja znanja nadgrajujejo s certifikacijskimi tečaji in se preizkušajo v mnogih resničnih okoljih brez skrbi za izgubo službe. Dvig ravni usposobljenosti je še posebej pomembna, ker se kibernetske grožnje nenehno razvijajo. V spopadanju s temi pa je prednost tudi širši nabor znanj.

Boljša pripravljenost ne glede na velikost

Model virtualnega vodenja informacijske varnosti predstavlja priložnost nadgradnje varnosti za podjetja vseh velikosti.

Izkušeni strokovnjaki svoje storitve lahko ponudijo večjemu številu podjetij kot kdaj koli prej. In mala podjetja tako lahko dostopajo do vrhunskih varnostnih storitev, kljub temu, da nimajo dovolj sredstev za polno zaposlitev takšnih strokovnjakov.

. . .

Virtualni CISO je najnovejši trend v nenehno razvijajoči se industriji. Kako naprej, bo pokazala prihodnost. Trenutno pa je najpomembnejše, da lahko podjetja vseh velikosti svojo varnost utrdijo na učinkovit in stroškovno sprejemljiv način.

Če imate vprašanja s področja informacijske varnosti ali potrebujete nasvet, vam z veseljem pomagam.

Borut Kmetič


Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj v večjih mednarodnih IT okoljih pri upravljanju in svetovanju na področju informacijske varnosti, vodenju IT projektov in izvedbe storitev, pri upravljanju in presojanju ISO sistemov, svetovanju pri digitalizaciji poslovanja, varstvu osebnih podatkov, vodenju kakovosti, procesov in organizacijske kulture.

Sem zunanji vodilni presojevalec informacijske varnosti po ISO standardu pri mednarodni certifikacijski hiši.

Organizacijam nudim svetovanje in pomoč pri optimizaciji poslovanja, predvsem z zgoraj navedenih področij. Sicer pa se ukvarjam tudi z drugimi oblikami optimizacij (oziroma hekanja), kot so na primer biohekanje, osebna rast, raziskovanje prebojnih novih tehnologij, eksponentna organizacija, sistemsko razmišljanje in druge napredne metode.

Borut@SmartAssets.it
Borut@Medium
Borut@TheGoodMenProject