Sudenkuopat vaanivat tietoturvajohtajaa
0
Tietohallinnon on taantuman aikana tehtävä usein kynsin hampain töitä, jottei sen budjettia silvottaisi yhteisten säästötalkoiden nimissä. Tietoturvan ylläpitoon tarkoitetut rahatkin voivat olla vaarassa – etenkin jos ei osaa kiertää muutamaa vaarallista ansaa.
Säästökohteita etsittäessä katse saattaa helposti kohdistua tietoturvaan käytettäviin rahoihin, nehän eivät tuota mitään. Vaikka tietoturvan tärkeys yleisellä tasolla ymmärretäänkin päättävissä elimissä, siitä vastaavan johtajan on osattava puolustaa tonttiaan ja todistaa tarpeellisuutensa, neuvoo Garterin tutkimusjohtaja Jay Heiser.
Heiserin mukaan tietoturvajohtajan pitää kulkea kieli keskellä suuta. Yksi ilmeisimmistä vaaroista on tehokkaan "yhden koon" tietoturvan hankkiminen. Kaikki käyttäjät eivät todennäköisesti tarvitse kaikenkattavaa suojausta. Tarkalla harkinnalla voi välttää sekä tuhlaamisen että liian järeät ratkaisut.
Rautalanka avuksi
Käyttäjien ja liiketoiminnan tarpeiden yli ei saa kävellä tekniikkasaappailla. Tietoturvabudjettia on vaikea puolustaa esimiehille, jos näyttää, ettei sillä olla mitään tekemistä yrityksen liiketoiminnan kanssa.
Asiat on Garterin mukaan syytä valmistautua vääntämään tarpeeksi paksusta rautalangasta. Kunkin it-järjestelmän osa-alueen kriittisyyden aste on kyettävä tarvittaessa osoittamaan. Hyvä keino tähän on yksinkertaisen kolmiportaisen asteikon käyttäminen: kriittisyys on korkea, keskitasoa tai vähäinen.
Melkoisen vaaran tietoturvasta vastaaville muodostavat firman muut pomot. Nämä saattavat kärkkäästi sysätä it-osaston niskoille riskejä, joista heidän pitäisi itse vastata. It-osaston vaarana on joutua yleisen syntipukin asemaan. Sisäisissä kädenväännöissä on syytä pitää huoli siitä, että riskit kannetaan oikeilla hartioilla ja niihin varautumisesta maksetaan oikealta tililtä.
Jay Heiser suosittelee ongelmien välttämiseksi selkeiden sisäisten sopimusten laatimista palvelutasosta.
