Kas yra saugumo vadovas (CISO) ir kuo jis skiriasi nuo IT administratoriaus?
- Jun 8
- 3 min read
Updated: Jun 10
Juk turime IT žmogų - ar jis nesirūpina ir saugumu?
Tai vienas iš dažniausių užduodamų klausimų, kurį girdime iš įmonių vadovų. Klausimas suprantamas, nes abi rolės yra susijusios su duomenimis, kompiuteriais, tačiau už jo slypi nesusipratimas, kuris gali brangiai kainuoti - ypač kai Kibernetinio saugumo įstatymas (KSĮ) kelia naujus reikalavimus organizacijoms.
Atsakymas yra paprastas: IT administratorius ir saugumo vadovas atlieka skirtingus darbus - vienas prižiūri įmonės IT ūkį ir užtikrina jo veikimą, kitas - apibrėžia ir palaiko įmonės saugumą. Abu reikalingi, bet vienas negali pakeisti kito.
Verta paminėti: tekste kalbame apie kibernetinio saugumo vadovą, kurį paprastumo dėlei minime kaip "saugumo vadovą".
Saugumo vadovas - architektas, ne statytojas
IT administratoriaus ir saugumo vadovo skirtumams paaiškinti naudingas namo (organizacijos) statybų palyginimas. Statytojas atlieka praktinius darbus: kloja pamatus, stato sienas, prijungia komunikacijas, vėliau jas prižiūri ir taiso. Jam rūpi, jog durys lengvai darinėtųsi, rozetės - veiktų, o sprogus vandeniui - jis bėgs stabdyti nutekėjimo, kad neužlietų namo.
Statytojui prieš pradedant statyti namą reikalingas projektas, kurį paruošia architektas. Jis nusprendžia, kokio storumo ir iš kokių medžiagų bus statomos sienos, kiek užraktų turės durys (multi-factor authentication), paruošia apmokymus gyventojams, kad jie neatidarytų durų nepažįstamiems asmenims, apsimetantiems Wolt kurjeriais (phishing atakos), t.t.. Saugumo vadovas nemūrija sienų - jis užtikrina, kad viskas, kas yra ir bus pastatyta, būtų saugu.
IT administratorius yra jūsų namo (įmonės) statytojas, o saugumo vadovas - architektas. Jei IT administratorius gesina name kylančius gaisrus, tai saugumo vadovas numato gaisro pavojų dar prieš jam įvykstant ir apibrėžia jam suvaldyti reikalingas priemones - dūmų detektorius, gesintuvus, purškiklius, evakuacijos planą, lengvą priėjimą prie skydinės, gaisrinių čiaupų įrengimo vietas.
CISO (Chief Information Security Officer) - tai tarptautinis saugumo vadovo pareigybės pavadinimas.
Ką daro IT administratorius?
IT administratorius rūpinasi kasdiene technine veikla: kompiuteriais ir serveriais, tinklu, vartotojų prieigomis, atsarginėmis kopijomis, programų atnaujinimais. Tai operacinis, „čia ir dabar" darbas, be kurio įmonė negalėtų dirbti, tačiau tai nėra nei strategija, nei atitiktis įstatymui.
Ką daro saugumo vadovas?
Saugumo vadovas prižiūri įmonę iš jos saugumo perspektyvos. Jis atlieka rizikų vertinimą, nustato, kurios grėsmės įmonei svarbiausios, parengia saugumo politikas ir incidentų valdymo planą. Svarbiausia - jis užtikrina atitiktį Kibernetinio saugumo įstatymui ir dažnai bendrauja su Nacionaliniu kibernetinio saugumo centru (NKSC).
Jei jūsų įmonė gavo NKSC pranešimą apie patekimą į kibernetinio saugumo subjektų sąrašą, būtent saugumo vadovas gali atsakyti į klausimą „ką daryti pirmiausia". IT administratorius to padaryti negali - ne tik dėl kvalifikacijos, o dėl to, kad tai paprasčiausiai kitas vaidmuo.
Kodėl IT administratorius negali būti saugumo vadovu?
IT administratorius negali būti saugumo vadovu dėl interesų konflikto – tai tas pats, kas leisti statybininkui pačiam atlikti savo pastatyto namo saugumo inspekciją. Jei administratoriaus darbas yra reaguoti į kasdienius techninius iššūkius ir užtikrinti sistemų greitį bei patogumą, tai saugumo vadovas privalo mąstyti strategiškai, vertinti rizikas ir kartais sąmoningai riboti kasdienį patogumą vardan apsaugos.
Kibernetinio saugumo reguliavimas remiasi pareigų atskyrimo principu - tikimasi, kad tas pats asmuo neatlieka tiek IT administravimo, tiek saugumo priežiūros funkcijų.
Šias roles paskyrus vienam asmeniui, kasdienė rutina ir vartotojų skundai beveik visada „suvalgo“ saugumo strategiją, o infrastruktūros saugumas vertinamas subjektyviai; kam naudoti papildomą prisijungimo apsaugą su kodu iš telefono, jeigu jis nėra patogus? Panašaus tipo prisijungimų apsaugos spraga tapo priežastimi ir vieno didžiausių šių metų duomenų nutekėjimų - Registrų centro - atveju
Kodėl tai svarbu?
Kibernetinio saugumo įstatymas nereikalauja, kad jūsų IT administratorius staiga taptų saugumo strategu. Jis reikalauja, kad įmonė turėtų abi funkcijas — ir kasdienę techninę priežiūrą, ir saugumo strategiją.
Daugeliui nedidelių įmonių saugumo vadovo etatas yra per brangus, o jo teikiama nauda ir nebūtų išnaudojama - toks darbuotojas savo darbus atliktų per mažiau laiko ir likusį laiką būtų sudėjęs rankas. Todėl vis daugiau įmonių renkasi išorinį saugumo vadovą - patyrusį specialistą iš išorinės įmonės, dirbantį pagal įmonės poreikį.
Jei nesate tikri, kokios funkcijos jūsų įmonei trūksta - pasišnekėkime. Specializuojamės išorinio saugumo vadovo paslaugose, sėkmingai dirbame tiek su didelėmis, tiek su mažomis įmonėmis.
