CISO-as-a-Service – organizacijos informacijos saugumo brandos lygio vertinimas ir tobulinimas
Didžiausią dėmesį „Primend“ skiria IT infrastruktūros ir debesijos paslaugų diegimui ir valdymui. Tačiau be šių „Primend“ paslaugų, klientai naudojasi ir keliomis specializuotomis programomis, svetainėmis, elektroninės prekybos platformomis, sistemų integracija, SaaS paslaugomis, hibridinės debesijos sprendimais ir kitomis IT paslaugomis. Paprastai visą IT saugumą ir susijusius procesus įmonėje prižiūri vyriausiasis informacijos saugos pareigūnas (angl. Chief Information Security Officer, CISO).
Dažnai mažoms, vidutinėms ir net kai kurioms didesnėms įmonėms nereikia visą darbo dieną dirbančio informacijos saugos pareigūno (CISO), nes:
- nėra pakankamai darbo, kurį būtų galima dirbti visą darbo dieną,
- įdarbinti tokį ekspertą visu etatu gali būti ekonomiškai neefektyvu.
Tačiau informacijos saugumo ekspertų patarimų vis tiek reikia:
- nustatant didžiausias rizikas;
- užtikrinant atitinkamų standartų ir įstatymų laikymąsi;
- nustatant įmonei būtinus informacijos saugos dokumentus;
- įvertinant partnerių ir pardavėjų saugumo poziciją;
- įgyvendinant įmonės apsaugos nuo įvairių kibernetinių grėsmių strategijas;
- dalinantis žiniomis, kaip reaguoti saugumo incidentui įvykus.
Visa tai galima patikėti „Primend“ informacijos saugos pareigūnui, kuris padės įmonei užtikrinti informacijos saugumą.
„Primend“ specialistas, kaip iš šalies samdomas informacijos saugos pareigūnas (angl., CISO-as-a-Service) atlieka įmonėje vyriausiojo informacijos saugos pareigūno pareigas, jei įmonėje nėra už tai atsakingo asmens, arba padeda už informacijos saugą atsakingam įmonės darbuotojui atlikti savo pareigas, suteikdamas jam reikiamų žinių ir patirties.
Paprastai procesas pradedamas nuo informacijos saugumo brandos lygio įvertinimo. Kaip minėta anksčiau, klientai neabejotinai turi daug informacinių sistemų ir programų, su kuriomis „Primend“ tiesiogiai nesusidūrė, tačiau kurios yra neatsiejamos nuo informacijos saugumo užtikrinimo. Todėl labai svarbu visapusiškai suprasti įvairias informacines sistemas ir programas, taip pat svarbius vaidmenis, procesus ir kitas naudojamas technologijas, remiantis įmonės verslo strategija informacijos saugumo požiūriu.
Vertinant brandos lygį, tai ne tiesioginis auditas, o greičiau informacijos rinkimas, siekiant suprasti, kokie turėtų būti tolesni veiksmai ir jų prioritetai, kurie organizacijai atneštų didžiausią naudą.
Kai kurie šiame etape atliekami veiksmai:
- pokalbiai su organizacijos vadovybe ir pagrindiniais darbuotojais;
- pokalbiai su svarbiais partneriais, IT architektūros ir integracijos analizė;
- kompiuterių tinklo topologijos analizė – įvertinama, ar tinklai tinkamai apsaugoti, segmentuoti ir pan.;
- bendra IT infrastruktūros analizė;
- atkūrimo planų ir atsarginių kopijų politikos analizė, verslo rizikos įvertinimas, susijęs su atkūrimo taško tikslais (RPO) ir atkūrimo laiko tikslais (RTO);
- taikomųjų programų (vidinių kūrinių, interneto svetainių, e. prekybos platformų, SaaS paslaugų) analizė;
- apibendrinamosios ataskaitos parengimas kartu su plėtros pasiūlymais.
Brandos lygiui įvertinti paprastai prireikia nuo 1 iki 3 mėnesių, priklausomai nuo organizacijos dydžio ir sudėtingumo. Šis procesas priklauso nuo sklandaus organizacijos bendradarbiavimo, pavyzdžiui, tinkamo laiko pokalbiams suradimo, esamų dokumentų pateikimo ir atviro bei sąžiningo tiek gerai veikiančių, tiek tobulintinų sričių apibūdinimo pokalbių metu.
Atlikus informacijos saugumo brandos vertinimą ir pateikus vadovybei apžvalgą su ataskaita, kartu galime nuspręsti, kuriuos veiksmus ir plėtros pasiūlymus būtina atlikti nedelsiant, o kuriuos galima išdėstyti ilgesniu laikotarpiu.
Galimi tolimesni veiksmai:
- informacijos saugumo strategijų, tikslų ir rodiklių nustatymas, remiantis įmonės verslo strategija;
- informacijos saugumo srities rizikos analizė;
- būtinų informacijos saugumo sprendimų planavimas, diegimas ir valdymas;
- informacijos saugumo politikos, taisyklių ir gairių kūrimas ir priežiūra;
- nuolatinio informacijos saugumo tobulinimo plano kūrimas ir įgyvendinimas;
- įmonės darbuotojų informuotumo apie informacijos saugumą didinimas ir mokymai.
Galutinis užduočių sąrašas visada priklauso nuo konkrečių įmonės norų ir poreikių ir gali būti suderinamas paslaugų užsakymo procese. Vyriausiojo informacijos saugos pareigūno paslaugą galima užsakyti kaip projektą arba kaip mėnesinę abonentinę paslaugą.