Správa informační bezpečnosti (Information Security Governance, zkr. ISG) a řízení informační bezpečnosti (Information Security Management, zkr. ISM) jsou dva propojené cykly, které bývají v praxi často zaměňovány.

První je ale governance cyklus realizovaný na úrovni vrcholového vedení, který je spojován s normou ISO/IEC 27014. Druhý je cyklus na úrovni výkonného řízení, typicky realizovaný jako ISMS podle ISO/IEC 27001.

Vlastníci firem, členové představenstva i manažeři nesou odpovědnost za dodržování právních předpisů v oblasti kybernetické bezpečnosti.

Tato odpovědnost zahrnuje nejen implementaci technických opatření, ale i řízení rizik a dodržování bezpečnostních standardů podle předpisů EU jako jsou GDPR, NIS2, CRA a DORA. Ale neměl by to být ten hlavní důvod. Tím by měl být pud sebezáchovy, který možná některým zcela schází.

Cílem tohoto příspěvku je nastínit problematiku začlenění CISO v hierarchii organizace.

V zásadě zde máme dva základní modely organizačního začlenění CISO v hierarchii organizace. CISO mající sice C v názvu pozice, ale zanořen hluboko v organizační struktuře a pak CISO jako člen vrcholového vedení.

Možná jste si už v minulém dílu všimli, že jsem vyčlenil řízení rizik jako samostatnou podpůrnou činnost.

Tak jak jsou organizace stále více závislé na informačních a operačních technologiích, tak narůstá význam analýzy hodnototvorného řetězce organizace i z pohledu informační a kybernetické bezpečnosti.

Pokud organizace chce na trhu uspět, musí se nějakým způsobem odlišit od konkurence.

To, v čem se pak organizace odlišují od ostatních, je způsob, jakým realizují svůj core business, jaké mají náklady, výnosy, jakého dosahují zisku a jakou vytvářejí ekonomickou hodnotu pro své vlastníky.

Za správně formulovanou vizí, která má často podobu jen jedné jediné věty, jsou často desítky hodin práce.

A rozdíl mezi vhodně a nevhodně formulovanou vizí pak může činit i několik desítek procent ročního zisku, neboť bez provedení odpovídajícího výzkumu zainteresovaných stran a zhodnocení možných dopadů veřejně prezentované vize na danou organizaci není možné danou vizi formulovat.

V jednom starším příspěvku jsem se věnoval definici SMART cílů, v tomto příspěvku se podíváme na cíle ještě chytřejší.

A jeden by si myslel, že chytřejší ty cíle snad už ani být nemohou. A přitom stačí přidat jen ER a nebýt amatér.

V rámci strategického řízení musíme nejprve definovat vizi a misi. Následně pak provést hierarchický rozpad cílů.

Že cíle mají být SMART, již víme, ovšem s tím hierarchickým rozpadem cílů to bývá někdy docela potíž. Obzvláště pokud své služby poskytujete firmě v zahraničí anebo se zahraniční účastí, protože není cíl jako cíl. Ona totiž existuje celá hierarchická struktura cílů:

Vzhledem k tomu, že neexistuje jednotný pohled na manažerské funkce nebo chcete-li typické činnosti, které manažer vykonává, tak je i tento příspěvek nutné brát jen jako další pohled na tuto problematiku.

Management je systematický proces, při kterém dochází k přeměně vstupů na výstupy.

Strategický management je dlouhodobý způsob řízení realizovaný ze strany vrcholového managementu, který by měl vést k naplnění mise a vize organizace.

Ono řízení by pak mělo probíhat v souladu se strategickým plánem, který by měl být vypracován na základě provedené situační analýzy a dále rozpracován do střednědobých taktických a krátkodobých operativních plánů realizovaných středním a nižším managementem.