ITexec

birkozok.jpg
Forrás: rmsportsacademy.com
CIO versus CISO

Kényszerű egyensúly

Régen rossz, ha a menedzsmentben két vezető között állandó az egyet nem értés. Vannak viszont olyan esetek, vagy inkább idők, korszakok, amikor a vitának, az érvek és ellenérvek folyamatos ütköztetésének köszönhetően alakul csak ki, merre is kell a vállalatot, intézményt kormányozni.

Vége azoknak a boldog és nyugalmas időknek, amikor az informatika legfőbb feje mondta meg a frankót, mindig övé volt az utolsó szó, és a szervezetében egyébként lehetett pihenni és igazodni. A CIO teljhatalma akkor kezdett igazán erodálódni, amikor az informatikai biztonsági kihívások elkomolyodtak. A mai szemmel nézve szinte akár szórakoztatónak is tűnő potyogtatós vírusok nyomába a rohanó évtizedek alatt olyan kiberfenyegetések léptek, amelyek mértéke, gyakorisága és bonyolultsága új dimenzióba kényszerítette az informatikai biztonságért felelős vezetőket. Az IT-biztonságért csak részidőben felelős egyszerű munkatárs feladatait a nagyobb vállalatokban, intézményekben egy csoport vette át, e csoport osztállyá erősödött, vezetőjük pedig lassan, de megállíthatatlanul haladt felfelé az igazgatósági szint felé, mígnem belépett a felsővezetők, a C-k közé, mint CISO (Chief Information Security Officer).
Az egyszerű halandó azt gondolná, hogy a CIO-nak és a CISO-nak egy vállalat vezetésében semmi oka nincs, arra, hogy egymásnak feszüljenek, ám ha jobban a dolgok mélyére hatolunk, könnyen beláthatjuk, hogy e két vezető permanens konfliktusa kódolva vagyon.

Vegyük elsőként a CIO-t, akitől azt várja el a felsővezetés, hogy az informatikai infrastruktúra problémamentesen (nagy rendelkezésre állással), felhasználóbarát módon (lásd még UX) működjön, minden fejlesztésével az üzleti igényeit elégítse ki (üzlet a fókuszban), az új technológiák felkent szakértőjeként állandóan figyelje, hogy a vállalat üzleti működését milyen innovációkkal lehetne jobbá, hatékonyabbá, versenyképesebbé tenni (innováció), vagy éppen gyökeresen megújítani (digitalizáció). És – természetesen – minden működjön biztonságosan, a cég adatait nem lophassák el a rosszfiúk, a rendszerekben ne tehessenek kárt a hackerek (IT-biztonság). A CIO-val szemben támasztott elvárások közül ez utóbbi az egyetlen közös pont a CISO-éival.

Egyszerűen megfogalmazható a CISO feladatköre
Gondoskodnia kell arról, hogy a vállalat digitális infrastruktúrája a lehetőségekhez mérten a legbiztonságosabb legyen, előzze meg az incidenseket, s ha mégis történik valami, akkor legyen az incidens kezelésének vezetője, és az esetleg mégis bekövetkező incidens után irányítsa a felépülés, az újraindulás munkálatait. Ha viszont ez a dolga, akkor lényegében a teljes IT-rendszert át kell, hogy lássa, joga és kötelessége, hogy beleszóljon (véleményezés, vétó) már a rendszer architektúrájának kialakításától a governance-ig mindenbe, hozzájárulva így a támadók számára könnyű célpontok, a gyenge láncszemek számának minimalizáláshoz.

Finoman szólva, a CISO tesz arra, hogy ha például a nagyobb biztonság elérése érdekében hozott intézkedések következtében a munkavállalók vagy az ügyfelek, fogyasztók azonosítási procedúrájának végrehajtása kétszer vagy háromszor hosszabb lesz, mint korábban. Őt nem érdekli, hogy lassabbá válnak bizonyos adatfeldolgozási folyamatok, amikor bizonyos ellenőrző algoritmusok (például a felhasználók viselkedését valós időben elemző alkalmazások) lépnek működésbe – a nagyobb biztonság érdekében. Végül, de nem utolsó sorban egyáltalán nem érdekli, hogy főfájást okoz a CIO-nak, amikor a költségvetés tervezésekor azért küzd, hogy a kiberbiztonság erősítésére szánt források növekedjenek – akár az IT egyéb soraira jutó tételek kárára is.

Azt gondolom, hogy jól van ez így: a vállalat, intézmény javára válik, ha e két vezető folyamatosan képviseli területük szakmai érdekeit, és vitájuk során alakul ki és jó konszenzusaiknak köszönhetően tartható fenn az IT és az IT-biztonság közötti kényes – vagy más út nem lévén: a kénytelen, kényszerű – egyensúly.