„GelvoraSergel“ informacijos saugumo priežiūrą patiki „NRD Cyber Security“

„GelvoraSergel“ yra viena didžiausių mokėjimų ir skolų valdymo bendrovių Lietuvoje, turinti daugiau nei 25-ių metų patirtį rinkoje. Organizacija priklauso Švedijos finansų bendrovei „Marginalen AB“, kuri teikia ir daugiau finansinių paslaugų. Nors ir nėra griežtai reguliuojama centrinių finansinių institucijų, bendrovė kelia aukštus standartus savo veiklai. Kibernetinis saugumas – ne išimtis. Viena pagrindinių pareigybių, kuri „GelvoraSergel“ rūpinasi organizacijos kibernetinio saugumo branda ir jos nuolatiniu stiprinimu – informacijos saugumo vadovas/ė (angl. Chief Information Security Officer, CISO). Tačiau tokią funkciją atliekančio žmogaus organizacija viduje neturi – ją pasitelkia iš išorės tiekėjų „NRD Cyber Security“.

Informacinis ir kibernetinis saugumas - svarbus ir įmonės vadovybei

Pasak Giedriaus Nemanio, „GelvoraSergel“ IT vadovo, CISO kaip pareigybė numatyta „Marginalen AB“, informacinio saugumo politikoje, kuri yra svarbi įmonės politikos dalis. Organizacijoje kibernetiniam atsparumui skiriamas itin didelis dėmesys. Iš CISO tikimasi strateginės lyderystės ir rizikų valdymo.

„CISO mūsų organizacijoje sutvarko ir palaiko kibernetinio saugumo higieną – peržiūri ir įdiegia procesus bei procedūras, organizuoja techninių saugumo sprendimų analizę ir diegimą. Taip pat atlieka procesų, kurie siejasi su IT, analizę – įvertina veiksmus, naudojamus įrankius, roles, atskaitomybes. Mokymų ir kitų praktikų organizavimas, auginantis darbuotojų kompetencijas bei žinias, taip pat CISO darbo dalis, – sako G. Nemanis.

Kartu ir CISO, ir IT vadovu/e - būti sunku

Lietuvoje nemažai organizacijų pasirenka kelią, kai tas pats žmogus yra ir atsakingas už informacijos saugumą, ir prižiūri įmonės IT ūkį. Kol organizacijos ir/arba jų IT ūkiai yra nedideli arba gali lengvai suvaldyti rizikas, tą daryti atrodo logiška. Kai organizacija auga, vienas žmogus „sėdintis ant dviejų kėdžių“ greičiausiai gerai nepadarys nei vieno darbo, nei kito:

„CISO ir IT vadovo/ės roles vienija bendri IT produktai, bet jų atsakomybės – labai skirtingos. IT vadovo/ės uždavinys – rūpintis organizacijos IT infrastruktūra, diegimais, tinklais bei sistemomis, o CISO – informacijos saugumu, susijusių rizikų valdymu“, – sako Giedrius Nemanis.

„NRD Cyber Security“ kibernetinio saugumo konsultacijų vadovas Modestas Sadauskas papildo, kad CISO organizacijoje dažnai būna tarsi auditorius/ė ir atkreipia dėmesį į tai, ko trūksta arba tai, kas padaryta netinkamai:

„Neretai reikiami pokyčiai liečia IT ūkį, tad jeigu už jį ir informacijos saugumą būtų atsakingas tas pats žmogus, save audituoti ir įvertinti pokyčių naudą gali būti sunku. Tačiau, svarbu, kad CISO ir IT vadovo/ės rolės nebūtų konkuruojančios, dirbama kartu pasitariant ir padedant. Taip yra ir „GelvoraSergel“ atveju.“

Išorės CISO pasirinkimas – apskaičiuotas

Giedrius Nemanis sako, kad „GelvoraSergel“ svarstė turėti CISO viduje. Tuomet ši rolė grupėje dengtų kelias įmones, bet visgi šis variantas nepasirodė pakankamai patrauklus:

„Kompetentingą CISO specialistą/ę rinkoje rasti labai sunku – trūksta žmonių, be to jie – labai brangūs. Taip pat, nors rūpestis informacijos saugumu mums svarbus, apskaičiavome, kad pilnai šio žmogaus „apkrauti“ negalėsime. Apžvelgėme ir įvertinome organizacijas, kurios siūlo CISO paslaugos – bene visų kainodara buvo identiška, tad galėjome daugiau dėmesio kreipti į tokius kriterijus, kaip siūlomi konkretūs specialistai ir jų kompetencijos bei patirtis. „NRD Cyber Security“ atveju gavome ne tik specialistus su labai specifiška finansinio sektoriaus patirtimi, bet ir platesnį kompetencijų ratą, nes pati įmonė specializuojasi kibernetiniame saugume, turi daug klientų, mato ir analizuoja jiems iškylančias problemas, tad gali patarti iš kur kas holistiškenės perspektyvos.“

Augustinas Daukšas, „NRD Cyber Security“ kibernetinio saugumo konsultantas sako, kad CISO paslaugų teikimas priverčia gerokai pasitempti:
„Teikdami išorės CISO paslaugas jaučiame didžiulę atsakomybę prieš klientus – visgi „ateiname iš išorės“ ir darome įtaką organizacijos valdymo ir IT procesams. Kadangi nuolatos nesame organizacijos viduje, teikdami paslaugas orientuojamės į proaktyvumą – klausiame apie organizacijoje atsirandančius procesus, pokyčius ir planus, atkreipiame dėmesį į besikeičiantį teisinį reglamentavimą. Su klientais sutariamas ir dokumentuojamas pokytis į stalčių nepadedamas – kas ketvirtį suderinamos apžvalgos, periodiškai sekamas pokyčių progresas, stengiamės gyvai aptarti ir spręsti problemas bei klausimus. Kaip išorės CISO paslaugos teikėjai galime objektyviai įvertinti situaciją ir pasakyti tiesiai į akis, kas yra blogai ir kokios to priežastys“.

Straipsnis publikuotas: https://www.vz.lt/kibersaugus-verslas/2024/05/17/gelvorasergel-informacijos-saugumo-prieziura-patiki-nrd-cyber-security