Jak (ne)vybrat manažera informační bezpečnosti
V souvislosti se vzrůstajícím počtem kybernetických útoků vedených proti malým a středním společnostem se znovu objevila otázka, zda by neměla být ustanovena role manažera informační bezpečnosti i v těchto společnostech.
Problém je, že jak vlastníci, manažeři, tak i personalisté, a jedno zda se jedná o zaměstnance HR oddělení v samotné společnosti nebo nějaké personální agentury, mají problém tuto pozici obsadit.
Skutečnost je taková, že pro mnohé malé a střední podniky, které mají méně než 250 zaměstnanců a obrat nižší než 43 miliónu EUR ročně, nemusí být vždy efektivní najímat si na plný úvazek manažera informační bezpečnosti, jehož měsíční příjem se pohybuje kolem 90 tisíc korun.
Jenže i mikropodnik se může stát cílem kybernetického útoku, takže i on musí bezpečnost nějakým způsobem řešit. Nehledě na to, že některé jeho povinnosti, jako je např. ochrana osobních údajů, apod. jsou přímo jeho zákonnou povinností. Bohužel, většina malých a středních společností žije v bludu, a bezpečnost vůbec neřeší.
Spíš než bezpečnostního manažera může být pro mnohé malé a střední firmy finančně výhodnější najmout si bezpečnostního konzultanta, který jim pomůže s analýzou rizik, sepsáním strategie informační bezpečnosti, bezpečnostní politiky, a především proškolením zaměstnanců a implementací účinných bezpečnostních opatření. Ovšem pozor na to, koho si najmete.
Bezpečnostní konzultant totiž musí být kromě informatiky a bezpečnosti schopen porozumět i vlastnímu předmětu podnikání a prostředí, ve kterém se business dané společnosti odehrává, protože jedině tak může navrhnout vhodnou strategii informační bezpečnosti.
Takovou, jež povede k zavedení skutečně účinných bezpečnostních opatření, zajistí odpovídající ochranu kritických informačních aktiv, zabrání narušení jejich důvěrnosti, integrity a dostupnosti, a v konečném důsledku minimalizuje riziko finanční ztráty, která by mohla výrazně zhoršit postavení dané společnosti na trhu nebo pro ni být až likvidační.
Problém však spočívá v tom, kde takového bezpečnostního konzultanta sehnat. Jednak proto, že jen málo vysokých škol nabízí takový studijní program, kde by absolvent získal nejen teoretické základy z informatiky, ale i z dalších oborů jako je řízení podniku, marketingu, práva a ekonomie.
A jednak proto, že pokud už se takový absolvent najde, tak zase nedisponuje odpovídající praxí, která je rovněž nutná. Za těchto okolností pak společnosti musí na trhu práce hledat kandidáty mezi bezpečnostními experty, kteří jsou již někde zaměstnáni.
V okamžiku, kdy si najmete uchazeče, který odpovídajícím vzděláním a zkušenostmi nedisponuje, hrozí, že bude postupovat dogmaticky podle nejrůznějších best practice jako je ITIL, COBIT nebo ISMS s jejichž implementací v praxi ještě nemá dostatečné zkušenosti.
To v lepším případě vede ke zvýšení byrokracie, růstu nákladů, a prodloužení délky trvání dotčených procesů, a v horším případě pak i ke znechucení a odchodu klíčových zaměstnanců a samozřejmě zpomalení tempa růstu společnosti, což určitě nikdo nechce.
Bez dostatečných zkušeností bude mít takovýto konzultant též problém pragmaticky vyhodnocovat úroveň jednotlivých rizik a navrhovat vhodné způsoby jejich zvládání.
Může tak dojít k situaci, kdy buď bude příliš vstřícný k zavádění nových technologií anebo naopak příliš konzervativní a bránit tolik potřebným inovacím, což bude mít v obou případech opět negativní dopad na podnikání dané společnosti.
Takovému konzultantovi bude též scházet obratnost v komunikaci a schopnost srozumitelně vysvětlit svůj postoj, např. proč podporuje nebo naopak nepodporuje danou technologii, zavedení určitého bezpečnostního opatření, nebo změnu v procesu.
Je tomu tak proto, že ještě neměl možnost poznat, jak to funguje ve skutečné firmě, nemá potřebné zkušenosti, a se šroubovanými definicemi, které se nachází v mnohých skriptech, publikacích a normách v praxi narazí.
Obezřetnost je třeba zachovat i v okamžiku, kdy se rozhodnete pro kandidáta, který již má nějakou praxi. Jestliže např. během posledních pěti let vystřídal několik zaměstnavatelů nebo jako projektový manažer odřídil několik projektů, či se v roli bezpečnostního konzultanta účastnil několika auditů velké čtyřky, může se vám lehce stát, že ho taková práce přestane po roce bavit a zase půjde „pomáhat“ někam jinam. Stejně tak musíte počítat s tím, že i bezpečnostní expert, který se posledních několik let věnoval etickému hackingu, bude spíše technicky orientovaný typ, a proto ani on nebude ideální volba.
Problém je v tom, že pokud už si firma uvědomuje, že má nějaký problém, a že by bezpečnost měla řešit, tak vzhledem k tomu, že IT a bezpečnost není její doména, tak neví, co přesně by měla řešit, a kdo by ji s tím mohl pomoci. A bohužel ji se správným vydefinováním požadavků na vhodného kandidáta není schopen poradit ani personalista, protože ten se v této oblasti rovněž neorientuje.
V praxi tak dochází ke kumulaci několika bezpečnostních funkcí do jedné (znění mnohých inzerátu hovoří za vše), a následné snaze obsadit danou pozici člověkem, který by měl být nejen expertem na síťové prvky, konfiguraci firewallů, hardening Linuxu, Windows, DB, ale zároveň i provádět analýzu rizik, review konfigurace, audit zdrojového kódu, penetrační testy, kontrolu shody s nejrůznějšími standardy a přitom psát bezpečnostní politiky a vzdělávat zaměstnance v oblasti bezpečnosti.
Jednoznačně je zde problém na obou stranách, jak firmě, která takovéto zadání sepsala, tak i personalistovi, který ji nebyl schopen vysvětlit, že najít kandidáta, který by alespoň částečně splňoval všechny tyto požadavky, je nereálné, a pokud by se to přeci jenom podařilo, tak že jeho finanční požadavky budou značně nad rámec finančních možností zadavatele.
ČERMÁK, Miroslav, 2015. Jak (ne)vybrat manažera informační bezpečnosti. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/lesk-a-bida-hr-v-cr-rizeni-informacni-bezpecnosti/. [citováno 07.12.2024].
Štítky: HR, informační bezpečnost, řízení informační bezpečnosti
K článku “Jak (ne)vybrat manažera informační bezpečnosti” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.