Egy amerikai lap megvizsgálta a vállalatoknál az IT-biztonság helyzetét, és elég lesújtó képet talált. A vállalatok közel felénél például nincs olyan vezető, akik felelne – akár más feladatai mellett – a biztonságért.

Ez persze nem jelenti feltétlenül azt, hogy az adott szervezet elhanyagolja a biztonsági kérdéseket, mindenesetre árulkodó jel, ha nem bíznak meg valakit vállalaton belül a IT- és adatbiztonsággal kapcsolatos kérdések felügyeletével, a problémák kezelésével. De még ott is nehezíti a tisztánlátást az elnevezések sokfélesége, ahol rendelkeznek dedikált szakemberrel.

Ember kell ehhez...

A megkérdezett vállalatok 49 százaléka nem rendelkezik dedikált biztonsági vezetővel. 25 százalékuknál létezik CISO (Chief Information Security Officer) beosztás, 11 százalékuknál pedig CSO (Chief Security Officer). A válaszadók 17 százalékánál egy ún. top security executive felel a biztonsági kérdésekért.

Valamennyire helyreteszi ezeket a pozíciókat, hogy a vállalati szervezeten belül hol helyezkednek el, kinek jelentenek. A válaszokból egyértelműen kitűnik, hogy ahol létezik biztonságért felelős vezető, hívják bárhogy, ott a legfelső szinten kezelik a biztonsági kihívásokat. A CSO-k többségének munkáját a felső vezetés felügyeli: 40 százalékukat közvetlenül a vállalat vezetője, a CEO, 16 százalékukat pedig az operatív vezető (COO – Chief Operating Officer). 28 százalékuk egyszinttel lejjebb került, az összvállalati szintű CIO-nak kell jelenteniük. A maradék 16 százaléknál vegyes a kép, lehet felettes például valamelyik beosztott informatikai vezető vagy a pénzügyi vezető is. Utóbbiak hagyomány okán kerültek a képbe: korábban jóval általánosabb volt, hogy a CFO-k feladatkörébe tartozott a veszteségmegelőzés kezelése.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

Hasonló a helyzete a CISO-knak is, bár az a pozíció kisebb presztízsére utal, hogy többségükben (52 százalék) a CIO-nak jelentenek, és csak 17 százalékukat ellenőrizni közvetlenül a vállalat első számú vezetője, 9 százalékukat pedig a COO. Valamint nagyobb azok aránya is, akik szervezetileg egyéb vezetők alá tartoznak.

Stratégiai szinten kell kezelni

A válaszadók többsége pontosan látja, hogy fontos lenne az IT-stratégia szerves részeként kezelni a biztonsági stratégiát. Elsöprő többségük (82 százalék) válaszolta azt, hogy három éven belül a vállalat IT-biztonsági stratégiája az IT-stratégia szerves részévé válik, és mindössze 2 százalékuk azt, hogy továbbra is elkülönülten kezelik a két területet. Ennek ellenére a jelen állapotra vonatkozó kérdésnél csak 54 százalékuk állította, hogy megvalósult a két stratégia szoros integrációja (35 százalékuk részleges integrációról számolt be). Mindössze 10 százalék nyilatkozta, hogy a két területet elkülönítve kezelik stratégiai szinten.

A két területe szoros integrációjának eszméje, ezzel együtt az IT-biztonság fontossága egyébként a felső vezetés gondolataiban is kezd gyökeret verni. A CEO-k egyre inkább látják, hogy forró a helyzet, és hogy a munkájuk is nagyban függ a megvalósuló biztonsági szinttől. (Bár kétségtelen, hogy a felső vezetők hajlamosak a leglazábban kezelni a biztonsági előírásokat.) A CEO-k jelenlegi három legfontosabb prioritása közül első helyen ugyanis a az IT- és adatbiztonsági rendszerek frissítése áll, hogy a vállalat elkerülhesse a biztonsági incidenseket. (Ez a GDPR életbe lépése miatt nem is meglepő.) Ez fontosabb jelenleg, mint a vállalati bevételek növelését segítő konkrét célok megvalósítása vagy a digitális üzleti célok megfogalmazása.

A válaszadók 31 százalékánál első számú cél az IT-beruházásoknál a biztonság növelése, és további 19 százalékuk mondta azt, hogy teljesíteni kell a megfelelőségi előírásokat, például a GDPR-t.

Az aggodalmak nem látszanak meg a költéseken

A kérdés már csak az, hogy miből valósulnak meg a célok. A fejlesztési és beruházási tervekben ugyanis még nem csapódtak le. A vállalatok több mint fele ugyanis az IT-büdzsé kevesebb mint 10 százalékát költi IT-biztonságra, és csupán negyedük került az optimálisnak tekintett 10-20 százalékos tartományba.