Center

60_kno_mr_holo.jpg
Forrás: ITB
„A CIO és a CISO nem állhat harcban egymással”

Feltörekvő biztonsági szakemberek, átalakult döntési mechanizmus, ébredező cégek – piaci körkép IT-security szemüveggel a vendor oldalról

Az IT-biztonság sokszor ambivalens helyzetben találja magát a beszerzés és az arra irányuló döntési folyamatok során, mert utóbbit a szervezet érettségétől kezdve, a hierarchikus tagozódáson át tech-trendek is befolyásolják. Kétségtelen azonban, hogy IT-security nélkül nincs hatékonyan működő szervezet. Az elkövetkező évek IT-biztonsági akadálypályájáról, az értékesítési folyamatok „doboz” mivoltáról és a CISO jövendőbeli szerepéről az IBM Security ágazatának közép-kelet-európai regionális vezetőjével, Csendes Balázzsal beszélgettünk.

Az IT-biztonság különleges helyet foglal el a cégek szívében, főként azért, mert komoly átalakulás zajlik a területen. IT- biztonsági szakértők avanzsálnak középvezetővé, majd növik ki magukat CISO-vá, bekerülve a felsővezetők közé, legalábbis, ha a szervezeti struktúra ezt lehetővé teszi. Pedig lehetővé kell, hogy tegye, mert az elkövetkező évtizedben a lemaradók táborát erősíti az, aki nem fejleszti C-levelre a biztonsági szakemberét.

„Attól függően, hogy a cég hol tart a szervezeti érettségben, máshol van a súlypont a döntésekben. A hagyományos IT-hez bizonyos szinten mindenki ért, és noha sokrétű feladatot végeznek, az IT-biztonság kiesik ebből, mert nem mindenkiből lesz biztonsági szakember”, mondta Csendes Balázs, az IBM Security ágazatának közép-kelet-európai regionális vezetője. „Azoknál a cégeknél, ahol létezik egy IT-divízió (ez jellemzi a cégek zömét) általában egy-két IT-biztonsági szakértő van. Egy érettebb szervezet esetében már egy menedzser is bekapcsolódik a döntési folyamatba, a csúcs pedig az, ha a CIO-val egy szinten lévő CISO is adja a szakmai tudását a folyamathoz. Minél magasabb a vállalati érettség, annál több biztonsági szakember vesz részt a döntés meghozásában, ebből mindenki csak profitálhat”, mondta Csendes Balázs. A cégek ráéreztek a jelenség fontosságára, így egyre inkább az kezd jellemzővé válni, hogy az egykori IT-biztonsági szakember megmássza azt a bizonyos szamárlétrát.

Csendes Balázs, IBM
Csendes Balázs, IBM

Három, trenddé váló jelenség a beszerzésben

De nemcsak az IT-biztonság és az ehhez kapcsolódó feladatkörök pozícionálódnak újra a cégen belül, hanem az ehhez kapcsolódó beszerzési folyamatok és trendek is. „Abban nincs változás, hogy az igazán nagy multicégek még mindig az anyavállalt által meghatározott eszközöket, szolgáltatásokat, megoldásokat, technológiát vásárolják és alkalmazzák, és csak a szükséges dolgokat szerzik be lokálisan. Viszont azt tapasztaljuk, hogy a külföldön terjeszkedő magyar multik is elkezdték követni ezt a trendet”, tette hozzá Csendes Balázs.

A másik kirajzolódni látszó tendencia a beszerzés során a TCO, azaz a total cost of ownership. Az eszköz birtoklásának valós költségeit mutató mozaikszó nemcsak azt veszi figyelembe, hogy az adott dolog mennyibe kerül a beszerzéskor, hanem azt, hogy a teljes életútja során milyen egyéb költségek merülhetnek még fel. „Erőteljesen megvizsgálják már a döntés előkészítése során az adott termék három-öt éves TCO-ját. Ez alapján döntenek, aminek szerintem előremutató, és kezd sztenderddé válni”, mondta Csendes Balázs.

Az új technológiákat figyelembe véve viszont van némi lemaradása Magyarországnak a nyugati vagy amerikai piacokhoz viszonyítva. Ez pedig a munkaerőhiány számlájára írható. „Nem olyan sok a hátrányunk, csupán egy-két év, de ami nagyon hátráltatja a folyamatot az az, hogy szinte lehetetlen komoly tapasztalattal rendelkező biztonsági szakembert találni. Hiába vennének a cégek jó megoldásokat, nincs ember, aki azt üzemeltesse. Ezért a menedzselt szolgáltatások irányba megy a piac”, tárta föl a regionális vezető a harmadik jelenséget.

 

Excel tábla, hipotézis, malware – mikor kell üzleti szempontból a biztonságra költeni?

Ami magát az értékesítési folyamatot illeti, beszélgetőpartnerünk szavaival élve, nem sok minden változott. Ez főképp annak tudható be, hogy szemben a klasszikus IT-vel, az IT-biztonsági megoldások sokkal „dobozszerűbbek”, jobban körülhatároltak. Ugyanis, míg az IT-megoldások esetében olyan fejlesztésnek kell elkészülnie, amely a figyelembe veszi a megrendelői oldal üzleti igényeit, és támogatja a változó folyamatait, addig az biztonsági megoldások esetében csak kétszereplős a történet. „Mivel az biztonsági megoldásoknál »kiesik« az üzleti oldal, így eggyel kevesebb szereplő igényeihez kell alaktani a megoldást. A kész megoldásokat így csak testre kell szabni, nem kell külön lefejleszteni azokat. Ezért van az, hogy az IT-security projektek sokkal nagyobb számban zárulnak sikeres eredménnyel”, mondta Csendes Balázs.

A kész megoldások beszerzése vagy épp nem beszerzése azonban olykor falakba ütközik, mert míg egy klasszikus IT-megoldásnál egzaktan mérhető a költség és ráfordításból származó későbbi haszon, addig a biztonsági megoldásoknál ez nem ilyen egyszerű. „A biztonsági megoldásoknál a munkatársak időoptimalizálása mérhető, viszont egy támadásról nem tudjuk, hogy biztosan be fog-e következni vagy sem. Mivel a pénzügyi vezetők számára a valószínűségen alapuló incidens csak hipotézis így nehéz eldönteni, hogy egy megoldás megvásárlásnak lesz-e haszna vagy sem”, mondta az IBM szakértője. Ami viszont pozitív, hogy a közepes és annál nagyobb cégeknél már van külön büdzsé az IT-biztonságra, és évről évre növekszik.

 

A jóslat: mi vár a CISO-kra?

Nem kétséges, hogy a CISO pozíció tovább fog fejlődni és egyre hangsúlyosabbá válik. „A vállalati információbiztonság és kockázatkezelés kettőseként fog tovább fejlődni a CISO feladatköre, és bizony át fog nyúlni az üzleti oldalra is, ahol a digitalizácós projektek miatt az IT-biztonság fokozott figyelmet kell kapjon. Nagyobb hatásuk lesz arra, hogy miképpen történjenek a tervezési és fejlesztési folyamatok, mivel már az elejétől kezdve jelen lesznek bennük”, mondta a szakember. Sőt, mi több, a „fék”, „a minden meggátlója” szerepkörből is ki fog törni az IT-biztonság, és sokkal inkább válik majd tanácsadóvá és „üzemanyaggá” a közeljövőben. „Nagyobb szerephez kell jutnia a biztonsági szakembereknek, ez ennek a dolgoknak a jövője”, zárta gondolatait Csendes Balázs.