Η RSA, το τμήμα ασφαλείας της EMC, έδωσε στη δημοσιότητα την έκθεση με τα αποτελέσματα μιας νέας έρευνας του SBIC (Συμβούλιο για την Ασφάλεια της Επιχειρηματικής Καινοτομίας – Security for Business Innovation Council), στην οποία αποκαλύπτεται το τι θα πρέπει να περιέχει ένα πρόγραμμα ασφαλείας που φιλοδοξεί να καλύψει μελλοντικές ανάγκες των σύγχρονων οργανισμών – ξεκινώντας από το πώς μπορεί να κτιστεί μια ομάδα ασφαλείας επόμενης γενιάς, μέχρι το ποια είναι η σωστή διαχείριση ενός διαδικτυακού κινδύνου καθ’ όλη τη διάρκεια της ζωής του.
Σύμφωνα με την τελευταία έκθεση του SBIC, με τίτλο “Transforming Information Security: Designing a State-of-the Art Extended Team,” (“Μετασχηματίζοντας την Ασφάλεια των Πληροφοριακών Συστημάτων: Σχεδιάζοντας μια σύγχρονη ομάδα πολλαπλής κρούσης”), οι ομάδες που έχουν επιφορτιστεί με την προστασία των πληροφοριακών συστημάτων θα πρέπει να εμπλουτιστούν με δεξιότητες που μέχρι τώρα δεν συναντούσαμε σε μια τυπική ομάδα ασφαλείας, όπως η διαχείριση επιχειρηματικού κινδύνου, γνώση νομικών, το μάρκετινγκ, τα μαθηματικά και οι προμήθειες. Ο τομέας του information security θα πρέπει επίσης να υιοθετήσει ένα μοντέλο συν-υπευθυνότητας. Σύμφωνα με αυτό, η ευθύνη για την προστασία των κρίσιμων πληροφοριών μιας επιχείρησης μοιράζεται μεταξύ διαφόρων ανώτερων και μεσαίων στελεχών, τα οποία αρχίζουν να αντιλαμβάνονται ότι, σε τελική ανάλυση, είναι υπεύθυνοι των δικών τους διαδικτυακών κινδύνων και ότι η σωστή διαχείριση τους αποτελεί πλέον κομμάτι της δουλειάς τους.
Το Συμβούλιο διαμόρφωσε ένα σύνολο από επτά βασικές συστάσεις, προκειμένου να βοηθήσει τους οργανισμούς να δημιουργήσουν μια σύγχρονη και ικανή ομάδας ασφαλείας ΙΤ:
1. Στόχευση σε τέσσερις βασικούς τομείς – Η κύρια ομάδα ασφαλείας πρέπει να επικεντρώνεται σε τέσσερις βασικούς τομείς: Συλλογή πληροφοριών για διαδικτυακούς κινδύνους (cyber risk intelligence) και ανάλυση δεδομένων ασφαλείας , διαχείριση δεδομένων ασφαλείας, παροχή συμβουλών για θέματα διαδικτυακών κινδύνων, σχεδιασμός ελεγκτικών μηχανισμών και δικλείδων ασφαλείας.
2. Ανάθεση σε τρίτους των καθημερινών λειτουργιών ασφαλείας – Οι επαναλαμβανόμενες, παραδοσιακές λειτουργίες ασφαλείας είναι προτιμότερο να ανατίθενται στην ομάδα λειτουργίας ΙΤ, στα διάφορα τμήματα της επιχείρησης και/ή σε εξωτερικούς παρόχους σχετικών υπηρεσιών.
3. Συνεργασία με ειδικούς – Για συγκεκριμένες ειδικότητες, η βασική ομάδα πρέπει να ενισχυθεί με ειδικούς, προερχόμενους μέσα ή έξω από τον οργανισμό.
4. Διαχείριση κινδύνου από τους Risk Owners– Συνεργασία με τα διάφορα τμήματα για θέματα διαχείρισης των διαδικτυακών κινδύνων και ανάληψη του συντονισμού τους ώστε να υπάρχει μια συστηματική προσέγγιση στο θέμα. Διευκόλυνση των risk owners να ανταποκριθούν στις απαιτήσεις διαχείρισης ρίσκου.
5. Πρόσληψη ειδικών για τη βελτιστοποίηση των διαδικασιών – Ένταξη στην ομάδα ανθρώπων με αποδεδειγμένη εμπειρία στη διαχείριση ποιότητας, έργων και σύνθετων προγραμμάτων, στη βελτιστοποίηση διαδικασιών και την παροχή υπηρεσιών ΙΤ.
6. Ανάπτυξη σχέσεων – κλειδιών – Ανάπτυξη σχέσεων αμοιβαίας εμπιστοσύνης με βασικούς παίκτες που έχουν στη δικαιοδοσία τους τα κορυφαία προϊόντα του οργανισμού, με τα μεσαία στελέχη και με τους εξωτερικούς παρόχους υπηρεσιών.
7. Αναζήτηση μελλοντικών ταλέντων εκτός πεπατημένης– Δεδομένης της απουσίας άμεσα διαθέσιμων εξειδικευμένων στελεχών, η ανάπτυξη τέτοιων ταλέντων αποτελεί τη μόνη σίγουρη μακροπρόθεσμη επιλογή για τους περισσότερους οργανισμούς. Αναζήτηση ταλέντων με προηγούμενη εμπειρία σε τομείς όπως η ανάπτυξη λογισμικού, η ανάλυση επιχειρησιακών δεδομένων, η οικονομική διαχείριση, η συλλογή στρατιωτικών πληροφοριών, η νομική, η προστασία προσωπικών δεδομένων και η σύνθετη στατιστική ανάλυση.