Rozmowa z Jackiem Skorupką, menedżerem bezpieczeństwa informacji i ciągłości działania w Citi Shared Service Center (CSC), która ukazała się w raporcie “Atak i obrona 2013 – Ataki i metody obrony w Internecie w Polsce”.
Jakie wyzwania stoją przed menedżerem bezpieczeństwa informacji we współczesnej korporacji – czyli, według obowiązującej nomenklatury, przed CISO lub CSO?
To przede wszystkim duża dynamika zmian biznesu w połączeniu z wciąż zmieniającym się obrazem zagrożeń czy regulacji. Rola i miejsce CISO nie są ani łatwe, ani wygodne. Jesteśmy między młotem a kowadłem. Z jednej strony trzeba rozumieć biznes i umieć rozmawiać jego ludźmi, a z drugiej strony rozumieć świat IT w wystarczającym stopniu, aby móc proponować rozwiązania techniczne i poprawnie szacować ich koszt. Konieczne jest znalezienie wspólnego języka z departamentami IT, by umieć negocjować podjęcie działań w celu eliminacji ryzyka. Trzeba umieć lobbować i przedstawiać korzyści.
Samo IT nastawione jest na dostarczanie usług, rozwiązań, systemów i aplikacji. Z tego punktu widzenia bezpieczeństwo jest często mniej ważne niż sprawna obsługa biznesu i nierzadko wcale nie jest powiązane z oceną wyników IT czy biznesu. Trzeba umieć się w tym odnaleźć, tak aby nie dopuścić do marginalizacji kwestii bezpieczeństwa.
Zazwyczaj jednak znalezienie wspólnego języka z IT nie jest aż tak dużym wyzwaniem jak zrozumienie biznesu – większość menedżerów bezpieczeństwa wywodzi się przecież z IT.
Czasem droga do tej profesji jest odmienna.
To prawda, coraz częściej można spotkać osoby trafiające tutaj przez audyt, którego elementem jest audyt IT. Stąd już blisko do pozycji menedżera bezpieczeństwa. Niemniej trudniej zdobyć komuś bez doświadczenia IT odpowiednią wiedzę techniczną i posiąść rozumienie specyfiki IT niż odwrotnie – komuś, kto ma doświadczenie w IT, nauczyć się rozumienia biznesu.
Nie ma jednak jednej wspólnej ścieżki karier. Wydaje się, że docelowym modelem jest rozbicie kompetencji na dwa powiązane, ściśle współpracujące stanowiska – jakie stanowi biznesowy i techniczny menedżer bezpieczeństwa, jak jest w dużych dojrzałych organizacjach. Należy jednak pamiętać że na polskim rynku jest to ciągle jeszcze nowa rola w organizacji, często jednoosobowa nawet w kilkusetosobowych i większych firmach.
Idealny CSO wie, że bezpieczeństwo jest ważne i potrafi przekonać do tego innych, ale zarazem rozumie, że celem firmy jest generowanie przychodu.
Jakie kompetencje musi posiadać dobry CSO?
Sama wiedza merytoryczna nie wystarczy. Kluczową kompetencją jest odpowiednie rozumienie rodzajów ryzyka biznesowego. Dobry menedżer bezpieczeństwa IT musi wiedzieć, kiedy dane ryzyko może być zarządzane przez menedżerów biznesowych i kiedy do nich należy decyzja, a w jakiej sytuacji należy eskalować ryzyko na poziom zarządu.
Kluczowe są też zdolności miękkie; wiedza techniczna nie wystarczy, trzeba umieć negocjować z biznesem czy IT. Przede wszystkim trzeba umieć słuchać, unikając uporczywego trzymania się swoich racji. Dodatkowo, jeśli chodzi o zarządzanie komórką bezpieczeństwa, dochodzą do tego także klasyczne umiejętności zarządzania zespołem.
Czyli komórka bezpieczeństwa nie powinna być w samym IT?
Stosowane modele organizacyjne są różne. Raportowanie do IT – w rozumieniu operacji IT – uważane jest za naruszenie zasady niezależności, na drugim biegunie mamy raportowanie bezpośrednio do prezesa, departamentu prawnego, compliance bądź zarządzania ryzykiem (finansowym). Warunek niezależności jest tu spełniony, pojawia się jednak bariera w rozumieniu zagadnień bezpieczeństwa lub brak czasu decydentów. W dojrzałych organizacjach często menedżer bezpieczeństwa raportuje do CIO – przy czym nie należy mylić tej funkcji z szefem IT – czy departamentu ryzyka operacyjnego.
Z pewnością zarządzanie bezpieczeństwem informacji to przede wszystkim element zarządzania ryzykiem jako takim. Kluczową umiejętnością jest zdolność do określenia, co jest istotnym ryzykiem dla biznesu. Tego konkretnego, w danej organizacji. Rodzajów ryzyka i możliwych scenariuszy zagrożeń jest bardzo wiele, ale należy wybierać te, które mogą w istotny sposób oddziaływać na kluczowe elementy biznesu w firmie.
Zdiagnozowane luki w systemie kontroli trzeba umieć przekładać na scenariusze ryzyka, by te docelowo przekładać na liczby, a więc język zrozumiały dla biznesu. Przy tym samym obrazie zagrożeń inne są kluczowe rodzaje ryzyka dla firmy budowlanej, elektrowni czy banku.
Co jest najtrudniejsze?
Może to truizm, ale ważne jest, aby być wytrwałym i się nie poddawać. Bezpieczeństwo informacji to często zmaganie z różnymi zjawiskami natury nie tylko technicznej, ale po prostu ludzkiej – to konieczność ciągłego przekonywania innych do swoich racji.
Brak zrozumienia ze strony współpracowników często popycha osoby odpowiedzialne za bezpieczeństwo do zamknięcia w swoim odizolowanym silosie („robię to, co mi każą i tyle, tu nic się nie da zrobić, próbowałem”). To silna pokusa ucieczki do swojej strefy komfortu, która w efekcie sprawi, że jest się izolowanym w firmie. Wszystko to razem sprawia, że nie jest to łatwa rola.
Na szczęście, coraz więcej zarządów firm rozumie wagę bezpieczeństwa informacji, szczególnie w dojrzałych organizacjach.
O co menedżer bezpieczeństwa powinien dbać, żeby się nie wypalić w swojej pracy?
Trzeba przygotować dobrą strategię bezpieczeństwa, a tak naprawdę strategiczne priorytety i cele. W wielu firmach w obszarze bezpieczeństwa nie ma formalnej strategii.
Z punktu widzenia menedżera zarządzającego bezpieczeństwem informacji kluczową sprawą jest, by mieć taki kompas, nawet jeśli nie jest on sformalizowany. Bardzo to się przydaje na dłuższą metę. Oczywiście, kwestie bezpieczeństwa muszą być zsynchronizowane ze stopniem rozwoju biznesu i kultury organizacyjnej.
Ale czy nie ma tutaj zagrożeń, że wszystko może pójść w drugą stronę, że to bezpieczeństwo zacznie rządzić i w efekcie utrudniać działania innych?
Oczywiście, trzeba mieć to na uwadze. Łatwo o przesterowanie kontroli i tak się zdarza w firmach o silnej kulturze nadzoru. Bywa też tak, że funkcje nadzorcze, takie jak bezpieczeństwo, aspekt prawny czy compliance, działają asekuracyjnie, na zasadzie: „na wszelki wypadek nie wolno”, i paraliżują firmę. Gdzieś jest jednak punkt równowagi tworzący idealnego CSO, który wie, że bezpieczeństwo jest bardzo ważne i potrafi przekonać do tego innych, ale zarazem rozumie, że celem firmy jest generowanie przychodu.
Bezpieczeństwo informacji to często zmaganie z różnymi zjawiskami natury nie tylko technicznej, ale po prostu ludzkiej – to konieczność ciągłego przekonywania innych do swoich racji.
W karierze może na pewno pomóc doświadczenie z pracy w różnych rolach – a więc nie tylko jako spec od bezpieczeństwa w przedsiębiorstwie, ale również u dostawcy czy integratora rozwiązań. Dobrze też mieć networking w swojej firmie wśród tych, są sprzymierzeńcami security officera. To przede wszystkim równoważne rangą stanowiska w dziale audytu, zarządzania ryzykiem, compliance. Trzeba umieć zbudować sieć sojuszników w korporacji.
* CSC to inicjatywa stworzenia sieci centrów serwisowych świadczących wysokiej jakości usługi innym podmiotom z grupy Citi. W Polsce zajmujemy się m.in.: monitorowaniem przeciwdziałania praniu pieniędzy; obsługą operacji bankowych, papierów wartościowych i funduszy inwestycyjnych; rozliczaniem należności i płatności, technologicznymi funkcjami kontrolnymi oraz obsługą infrastruktury teleinformatycznej. CSC posiada kilka lokalizacji w Polsce – największe to Warszawa i Olsztyn. Obecnie w CSC pracuje ok. 2300 osób.
