Problematické postavení CISO v hierarchii organizace
Cílem tohoto příspěvku je nastínit problematiku začlenění CISO v hierarchii organizace.
V zásadě zde máme dva základní modely organizačního začlenění CISO v hierarchii organizace. CISO mající sice C v názvu pozice, ale zanořen hluboko v organizační struktuře a pak CISO jako člen vrcholového vedení.
Tedy tradiční přístup, který nejen u nás, ale i ve světě stále převažuje od 90. let minulého století, a pak trend posledních let zaznamenaný především ve vyspělých ekonomikách v organizacích provozujících kritické informační systémy a infrastrukturu.
V rámci tradičního přístupu se CISO nachází v organizační hierarchii pod CRO, COO, CFO anebo CIO. Zde je třeba si uvědomit, že pozice CISO tehdy vznikla spíše v reakci na požadavek regulátora než z přesvědčení vrcholového managementu o její skutečné nezbytnosti. Nevýhodou tohoto organizačního uspořádání, především pak v případě, kdy se CISO nachází pod CIO, je, že:
- má nižší vyjednávací sílu, pokud jde o stanovení výše rozpočtu, který by měl být vyčleněn na bezpečnost, protože konečné slovo bude mít vždy CIO a ten bude usilovat o co nejnižší náklady, obzvláště pokud aplikuje kreativní řízení rizik;
- v rámci šetření bezpečnostních incidentů, hodnocení bezpečnosti, penetračního testování, revize konfigurace apod., identifikuje bezpečnostní nedostatky nebo porušení bezpečnosti a ty mohou být snáze zameteny pod koberec;
- bude mít výrazně ztíženou pozici, pokud bude chtít prosadit potřebná, ale zároveň i nepopulární bezpečnostní opatření, která budou ze strany ostatních, nejen IT pracovníků, vnímána jako obtěžující.
Trendem posledních let, a vidíme to především v silně regulovaných odvětvích jako je energetika, finance, telekomunikace a kritická infrastruktura vůbec, je začlenění CISO přímo pod CEO.
A byť stále více CIO nabývá přesvědčení, že by CISO měl reportovat přímo CEO, tak dle nedávného výzkumu provedeného Ponemon institutem je to stále jen pouhých 7 % CISO, co reportují CEO. Podstatné však není, kolik je to přesně procent, protože ony ty studie renomovaných institucí vychází různě, ale že jsou to spíše jednotky těch procent.
Začlenění CISO pod CEO odstraňuje nedostatky tradičního způsobu řízení a zároveň to dle oslovených odborníků znamená, že organizace považuje informační bezpečnost jako klíčovou pro naplnění své mise a vize. Jde o to, že přímá komunikace s vrcholovým managementem by měla CISO umožnit:
- objasnit, jak navrhovaný bezpečnostní program napomůže dosažení mise a vize a tím získat potřebné zdroje na jeho realizaci;
- upozorňovat na skutečné problémy a bezpečnostní nedostatky bez toho, aniž by byla ohrožena jeho vlastní pozice a hodnocení;
- prosadit i nepopulární bezpečnostní opatření.
Některé zdroje dále uvádí, že organizace, kde je CISO zanořen hlouběji v organizační struktuře, vykazuje vyšší počet incidentů a vyšší škodu než organizace, kde CISO reportuje přímo CEO.
Byť se může zdát, že je jasné, který model řízení je vhodnější, není tomu tak. Vždy je třeba posoudit i další faktory, jako je velikost organizace, sektor, ve kterém organizace působí, její historii, kulturu, způsob řízení atd. Na tomto místě je také vhodné zmínit, že se objevují hlasy, že začlenění CISO mimo působnost CIO by mohlo:
- zhoršit tok informací směrem k CISO. CISO nebude již tolik informován o tom, co se v oblasti ICT v organizaci děje, neboť informace budou ze strany CIO a jemu podřízených manažerů filtrovány;
- prodloužit čas potřebný na zavedení příslušných bezpečnostních technologií, protože CISO bude narážet na obstrukce ze strany CIO apod., který rovněž může zveličovat negativní dopady uvažovaných bezpečnostních opatření na kvalitu a dostupnost jím poskytovaných služeb;
- mnohým CISO způsobit problémy, protože nebudou schopni mluvit jazykem vrcholového managementu a nebudou schopni se oprostit od svého silně orientovaného technického uvažování.
CISO může vykonávat jak první linii obrany, tak i druhou linii obrany v rámci 3LOD, nicméně cílem CISO by měla být nikoliv ochrana IT, ale businessu, aby mohl dosahovat své mise a vize. Jinými slovy CISO by měl usilovat o zajištění důvěrnosti a integrity dat a dostupnosti systémů v reakci na situaci v kyberprostoru a zjištěné zranitelnosti ve stávajících technologiích a procesech a rovněž řešit i otázku ochrany soukromí a bezpečnostní osvěty. Organizace od organizace se však jeho náplň může podstatně lišit.
Bez ohledu na to, jaký model řízení bezpečnosti organizace používá, je vhodné usilovat a budovat dobrý vztah mezi CIO a CISO. Tomu může hodně pomoci, když vrcholový management, a tedy i příslušný CIO vnímá bezpečnost jako nedílnou a nezbytnou součást produktů a služeb, které jím řízený útvar poskytuje a bezpečnost se nachází i v KPI samotného CIO.
Poznámka: Pokud jde o volbu vhodného modelu řízení bezpečnosti, tak je také potřeba si zodpovědět i otázku, zda je bezpečnost soustředěna pouze na jednom místě anebo je vykonávána několika na sobě nezávislými funkcemi a zda je CISO specializován anebo kompletně pokrývá celou problematiku informační bezpečnosti a ochrany soukromí. Ale to je téma, kterému bychom se mohli věnovat zase někdy příště.
ČERMÁK, Miroslav, 2022. Problematické postavení CISO v hierarchii organizace. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/problematicke-postaveni-ciso-v-hierarchii-organizace/. [citováno 07.12.2024].
Štítky: řízení informační bezpečnosti
K článku “Problematické postavení CISO v hierarchii organizace” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.