Kogo będzie potrzebować obszar zarządzania ryzykiem IT?

Piotr Szeptyński

Otoczenie biznesowe nacechowane jest wieloma rodzajami ryzyka. Jednym z nich jest obszar nowych technologii, który tworzy całkiem odmiennie typy zagrożenia. Czy rynek pracy będzie szukać ekspertów do zadań specjalnych?

Na zdj. Piotr Szeptyński

Na zdj. Piotr Szeptyński

W ostatnich latach istotnej przemianie uległo otoczenie, w którym przetwarzane są informacje, zarówno przez organizacje, jak i użytkowników indywidualnych. Usługobiorcy stali się usługodawcami, a dostawcą treści może być dzisiaj każdy. Informacje w jeszcze szybszy i wygodniejszy sposób trafiają do odbiorców.


Widoczne obecnie trendy dotyczące przetwarzania danych (takie jak Cloud-computing, Big Data) czy dostępu do nich (np. smartfony, sieci społecznościowe), są z jednej strony efektem galopującego postępu technologicznego oraz zwiększających się potrzeb biznesowych, z drugiej natomiast mogą stanowić sposób na pozyskiwanie oszczędności, których przedsiębiorstwa stale szukają.


Zwiększająca się skala i złożoność zagrożeń powoduje jednocześnie, że rosną wydatki na zabezpieczenie tych coraz cenniejszych danych. Poszukiwanie równowagi pomiędzy bezpieczeństwem a kosztami oraz wygodą użytkowania nie jest zadaniem prostym. Wymaga wiedzy i doświadczenia zarówno z obszaru technologii, prawa i regulacji, jak i zarządzania, a niekiedy nawet socjologii czy psychologii społecznej.

Postrzeganie eksperta do spraw bezpieczeństwa jako „informatyka do zadań specjalnych” to pewna zaszłość, którą należy wyjaśnić. Przetwarzanie informacji, mimo iż – słusznie - kojarzy się z bazami danych i sieciami, jest pojęciem szerszym. Jest to proces mający swe podstawy dużo głębiej,  w zachowaniu człowieka, a komputer, będący jedynie narzędziem przetwarzania danych, jest wynalazkiem ostatnich kilkudziesięciu lat. Bezpieczeństwo informacji zależy zatem od wielu czynników na kilku warstwach, w tym tej najbardziej widocznej – czyli w infrastrukturze IT.


Samo zapewnienie bezpieczeństwa należy zaś rozpatrywać w kontekście mierzenia się z trzema głównymi wyzwaniami:
  • zgodności z regulacjami,
  • postępem technologicznym i związanym z nim wzrostem skali i złożoności zagrożeń,
  • potrzebą zwrotu nakładów na inwestycje.
Charakter tych wyzwań jest raczej długofalowy, gdyż nic nie zapowiada ani liberalizacji otoczenia regulacyjnego w tym obszarze, zatrzymania się postępu technologicznego czy też odwrócenia się tendencji wzrostowych w sferze występowania zagrożeń. W dostrzeżeniu tego pomagają organizacjom liczne statystyki oraz doniesienia medialne o wyciekach danych, cyberatakach zlecanych przez rządy państw czy też o włamaniach na konta pocztowe znanych i ważnych osób.

Można zatem śmiało stwierdzić, że zapotrzebowanie na ekspertów od ochrony informacji, w wielu dziedzinach, będzie rosło. Nie musi to jednak oznaczać konieczności zatrudniania przez wszystkie organizacje wykwalifikowanych i doświadczonych ludzi. Istnieje sposób na to, by w racjonalny sposób wydawać pieniądze przy jednoczesnym zapewnieniu wymaganego poziomu bezpieczeństwa. Ten sposób nazywa się modelem usługowym. 

Od lat istnieją firmy dostarczające oprogramowanie antywirusowe, specjalizujące się w testach bezpieczeństwa, odzyskiwaniu (lub niszczeniu) danych, informatyce śledczej, monitorowaniu zagrożeń czy doradztwie przy wdrażaniu systemów zarządzania bezpieczeństwem informacji. Świadczenie takich usług na wysokim poziomie wymaga posiadania kompetentnych i doświadczonych ludzi. Biorąc pod uwagę stały wzrost poziomu zagrożeń (o czym świadczą regularne doniesienia medialne i "przyznawanie się" firm do wycieków ich danych), zapotrzebowanie na tego typu usługi będzie rosło. Model usługowy sprawdza się przy tym bardzo dobrze w każdej skali działalności.


Dla małych i średnich firm jest to sposób na  dopasowanie zakresu i poziomu ochrony informacji do ich niewielkich potrzeb i możliwości finansowych, gdyż w organizacjach tej wielkości często jest miejsce tylko dla jednej lub maksymalnie dwóch osób odpowiedzialnych za bezpieczeństwo.

Większe firmy mogą zdecydować się na zatrudnienie ekspertów choćby z uwagi na to, że mogą tego od nich wymagać obowiązujące regulacje. W pozostałych obszarach jest miejsce na outsourcing.

Dla dużych przedsiębiorstw i korporacji model usługowy jest nie tylko sposobem na oszczędzanie, ale i na… zarabianie pieniędzy. Dobrym przykładem są tu operatorzy telekomunikacyjni, którzy te same usługi mogą świadczyć zarówno na własne potrzeby, jak i swoim klientom lub partnerom biznesowym.

Widać zatem, że rynek pracy i usług związanych z bezpieczeństwem rozwija się. Istnieje grupa liderów, firmy specjalizujące się tylko w jednej lub dwóch dziedzinach, a ci, którzy nie nadążają lub przegapili swoją szansę, zostają w tyle. Dla ekspertów od bezpieczeństwa jest jeszcze wiele miejsca, nie można jednak przy tym zapomnieć, że bezpieczeństwo nie jest dziedziną informatyki.

Wychodzące z tego założenia firmy konsultingowe są w stanie świadczyć szeroki wachlarz usług związanych z bezpieczeństwem: technologicznym, organizacyjnym, fizycznym. Na wielu frontach walki z wyzwaniami w obszarze ochrony informacji zapewniają wsparcie wykwalifikowanych ekspertów, którzy z racji swojego doświadczenia potrafią skutecznie doradzić i pomóc organizacjom, które - głównie z przyczyn kosztowych - nie chcą bądź nie mogą sami ich zatrudnić.

Kierunkami rozwoju w tej branży będzie z pewnością zapewnianie usług w obszarze mobilnego przetwarzania informacji (m.in. BYOD – Bring Your Own Device), ochrony dużych zbiorów danych (Big Data), proaktywnego zarządzania bezpieczeństwem informacji i reagowania na incydenty. Specjalizacja i podejście usługowe jest zatem sposobem nie tylko na oszczędzanie, ale i prawdziwe inwestowanie w bezpieczeństwo.


Autorem wypowiedzi jest Piotr Szeptyński, manager w dziale Zarządzania Ryzykiem Deloitte.

Piotr Szeptyński posiada wieloletnie doświadczenie w dziedzinie bezpieczeństwa informacji. Umiejętności rozwijał w branży finansowej oraz telekomunikacyjnej i IT, w Polsce i za granicą. Obecnie pracuje na stanowisku managera w dziale Zarządzania Ryzykiem Deloitte, gdzie odpowiada za usługi z obszaru Security & Privacy.

Autor

Piotr Szeptyński

Piotr Szeptyński