Vodja informacijske varnosti

Iz Wikipedije, proste enciklopedije
Jump to navigation Jump to search

Vodja informacijske varnosti (CISO, angleško Chief Information Security Officer) je direktor oz. vodja informacijske varnosti v organizaciji. Spada med višji menedžment (Senior management), ki je odgovoren za razvoj in implementacijo programa informacijske varnosti v organizacijah. To vključuje pravila, postopke in politike, ki so oblikovani za varovanje informacijskih sistemov in informacijskega premoženja v podjetju pred zunanjimi in notranjimi informacijskimi grožnjami. CISO je odgovoren za zagotavljanje skladnosti z normativnimi pogoji in standardi (npr. ISO/IEC 27001). Vloga vodje za informacijsko varnost se je v zadnjih letih nekoliko spremenila, primarno so se njegove naloge namreč povezovale z implementacijo in upravljanjem tehnologije za nadzor varnosti oz. tehničnimi ukrepi, danes pa se vse bolj pojavljajo v vlogi svetovalcev in profesionalcev v upravljanju s tveganji. Če so morali v preteklosti imeti veliko znanja o tehnologiji, morajo imeti v današnjem času tudi vedno več menedžerskih kompetenc, ki se nanašajo na vodenje, komunikacijo, delo z ljudmi ipd. V manjših podjetjih vlogo CISO navadno prevzame nekdo, ki je skrbnik IT sistema in hkrati opravlja naloge vodje informacijske varnosti.[1]

CISO je lahko poimenovan tudi kot: glavni varnostni arhitekt, varnostni manager, varnostni upravljavec podjetja ali upravljavec informacijske varnosti.[2]

Naloge[uredi | uredi kodo]

CISO ima glavno nalogo, da predvidi informacijske grožnje in aktivno preprečuje, da bi se le te pojavile. CISO mora sodelovati z drugimi vodstvenimi delavci na različnih oddelkih, da zmanjšajo operativna tveganja v organizaciji povezana z informacijskimi incidenti in dogodki.

Glavne funkcije, ki zajemajo večino odgovornosti delovnega mesta vodje informacijske varnosti:

Zaščita: Zagotavljati, da zaposleni, politike, postopki in tehnologije v organizaciji aktivno varujejo informacijske vire ter preprečujejo informacijska tveganja in incidente.

Nadzor: Zagotavljati, da zaposleni, politike, postopki, prakse in tehnologije v organizaciji nadzorujejo operacije in aktivno odkrivajo nevarnosti ter v čim krajšem možnem času opozorijo oziroma prijavijo sumljive dogodke.

Reagiranje: Ko se zgodi kibernetski incident, je potrebno minimizirati njegov učinek in zagotoviti, da zaposleni, politike, postopki, prakse in tehnologije v organizaciji čim hitreje povrnejo informacijsko premoženje nazaj v normalno stanje. Informacijsko premoženje vključuje tehnologijo, informacije, ljudi, objekte in preskrbovalno verigo.

Upravljanje: Zagotavljanje skladnosti z vsemi zunanjimi in notranjimi zahtevami in zmanjševanje tveganj sorazmerno s toleranco tveganj organizacije.[3]

Kompetence[uredi | uredi kodo]

  1. Zmožnost krepiti in voditi delovno ekipo ter dosegati poslovne in informacijsko varnostne cilje.
  2. Poskrbeti za usmerjanje, nadzorovanje dela, motiviranje zaposlenih in skrbeti za pozitivno delovno okolje.
  3. Zmožnost se prilagajati hitro spreminjajoči tehnologiji in biti v koraku s časom z najnovejšimi varnostnimi tehnologijami.
  4. Zmožnost prilagajanja ob spremembah.
  5. Upravljanje z informacijskimi viri in izdelava poročil o analizi tveganj.
  6. Zmožnost ugoditi zahtevam zunanjih in notranjih interesnih skupin.
  7. Dobre komunikacijske sposobnosti.
  8. Fleksibilnost in prilagodljivost na spremembe.
  9. Zmožnost sklepanja partnerstev, ki prispevajo k razvoju varnostne strategije.
  10. Sprejemanje racionalnih in hitrih odločitev.
  11. Zmožnost iskanja inovativnih in alternativnih rešitev.
  12. Upravljanje z več različnimi projekti in prednostnimi zahtevami.

Poleg opisanih upravljavskih in vodstvenih kompetenc morajo vodje informacijske varnosti razviti delovno specifične kompetence, ki so povezane z razumevanjem delovanja informacijske tehnologije, omrežij, varnostnih ukrepov in groženj.[4]

Izobrazba[uredi | uredi kodo]

CISO mora imeti znanja na področju informacijske tehnike in varnosti, pridobiti pa mora izkušnje na področju upravljanj s tveganji in revizije.

Mnoga podjetja zahtevajo napredno znanje iz računalniškega inženirstva in obsežne delovne izkušnje na področju informacijske tehnologije.

CISO ima navadno tudi ustrezen certifikat, kot so: Certified Information System Auditor (pooblaščeni revizor informacijskega sistema) in Certified Information Security Manager (pooblaščeni informacijsko varnostni menedžer), ki jih izdaja ISACA ter Certified Information Systems Security Professional, ki ga izdaja ISC.[5]

Certifikati[uredi | uredi kodo]

ISACA je mednarodno strokovno združenje, ki je osredotočeno na upravljanje IT.

Slovenski odsek ISACA (prej Information Systems Audit and Control Association) je bil ustanovljen na pobudo članov sekcije za revidiranje informacijskih sistemov pri Slovenskem inštitutu za revizijo (SIR). Od leta 2016 odsek deluje kot samostojno društvo.

Pravico uporabe ISACA strokovnega naziva imajo vsi, ki so opravili izpit, na osnovi ustreznih izkušenj pridobili naziv in izpolnjujejo zahteve politike ISACA (Continuing Professional Education Policy-CPE).[6]

ISACA podeljuje šest različnih certifikatov:

  • CISA (ang. Certified Information System Auditor),
  • CISM (ang. Certified Information Security Manager),
  • CGEIT (ang. Certified in the Governance of Enterprise IT),
  • CRISC (ang. Certified in Risk and Information Systems Control),
  • COBIT 5 (ang. Control Objectives for Information and Related Technology),
  • CSX-P (ang. Cybersecurity Nexus Practioner).

Za pridobitev certifikata CISA je potrebno opraviti strokovni test, ki obsega 150 vprašanj. Kandidat ima na voljo več odgovorov, od tega je pravilen en odgovor. Certifikat velja 5 let. Certifikat se mora za tem obnavljati vsako leto s plačilom pristojbine za vzdrževanje. Za pridobitev certifikata CISM je prav tako treba opraviti strokovni test, ki obsega 150 vprašanj. Kandidat ima na izbiro več odgovorov, od tega je pravilen en odgovor. Za opravljeno certificiranje mora kandidat plačati 600 evrov. Certifikat velja 5 let. Certifikat se mora za tem obnavljati vsako leto s plačilom pristojbine za vzdrževanje.[7]

Zunanje povezave[uredi | uredi kodo]

  1. "What Is the Role of a CISO?". www.infosectoday.com. Pridobljeno dne 2018-01-21.
  2. "What is CISO (chief information security officer)? - Definition from WhatIs.com". SearchSecurity (angleščina). Pridobljeno dne 2018-01-21.
  3. "Structuring the Chief Information Security Officer (CISO) Organization". insights.sei.cmu.edu (angleščina). Pridobljeno dne 2018-01-21.
  4. "Job Description: Chief information security officer". SC Media UK (angleščina). 2017-01-05. Pridobljeno dne 2018-01-22.
  5. "What is CISO (chief information security officer)? - Definition from WhatIs.com". SearchSecurity (angleščina). Pridobljeno dne 2018-01-22.
  6. "About | Slovenski odsek ISACA". www.isaca.si (angleščina). Pridobljeno dne 2018-01-21.
  7. "CISA Frequently Asked Questions". www.isaca.org. Pridobljeno dne 2018-01-21.