GoldenLine
Zaloguj się
Marcin Fronczak

Marcin Fronczak Prezes Zarządu,
Cloud Security
Alliance Polska

Temat: struktury działów bezpieczeństwa IT

Witam,

Mam pytanie odnośnie organizacji działów bezpieczeństwa w sektorze finansowym. Jak to jes u Was zorganizowane, w jakim departamencie ulokowana jest działka bezpieczeństwa IT, ile osób pracuje w zespole itp. Ciężko jest znaleźć takie informacje w necie, a co instytucja to inaczej jest to zorganizowane. A to W Dept. Informatyki (co uwa za za konflikt), w Compliance, w Kontroli a nawet w Administracji. Według mnie pwinna to byc samodzielna komórka. Podzielcie się doświadczeniami w tym zakresie.
Link do wypowiedziLink

konto usunięte

Temat: struktury działów bezpieczeństwa IT

W Polbanku jest to po prostu oddzielna jednostka zajmująca się wyłącznie tym obszarem.

Pozdrawiam Marcin :)
Link do wypowiedziLink
Aleksander Godziło-Godlewsk i

Aleksander
Godziło-Godlewsk
i Senior Sysadmin

Temat: struktury działów bezpieczeństwa IT

U mnie w firmie również osobna sekcja (Infr. & sec) w dziale IT

Pozdrawiam,
AGG
Link do wypowiedziLink
Robert Szymański

Robert Szymański Trener

Temat: struktury działów bezpieczeństwa IT

Zazwyczaj wchodzi w sklad dzialow IT.
Jako wydzielona grupa lub sekcja.

Natomiast to zalezy od struktury organizacyjnej banku matki z zagranicy (wiekszosc bankow u nas to zagramaniczne banki) i jak tam cos wymysla wykombinuja to do nas przynosza ;)
Link do wypowiedziLink

konto usunięte

Temat: struktury działów bezpieczeństwa IT

Tak jak już koledzy wspominali są to wydzielone grupy lub osoby przynależące do działu IT.
Link do wypowiedziLink
Daniel Starczewski

Daniel Starczewski Freestyle Art of
Live ;>

Temat: struktury działów bezpieczeństwa IT

W dużych firmach są dedykowane zespoły z określonymi ludźmi dbającymi o temat bezpieczeństwa IT, choćby ze wzgledu na złozoność architektury i mnogość rozwiązań technicznych. W mniejszych firmach wszystko jest na głowie administratora ;>
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: struktury działów bezpieczeństwa IT

I w teorii i w praktyce działy bezpieczeństwa IT nie powinny być częścią IT.
W praktyce tak się niestety dzieje i wtedy pojawia się konflikt interesów.
Link do wypowiedziLink
Robert P.

Robert P. information security
specialist

Temat: struktury działów bezpieczeństwa IT

Tak poza klasycznym konfliktem interesow - dobrze pomysleć o security jako czyms co wykracza poza IT :)

I o prawidłowym umocowaniu...
Link do wypowiedziLink

konto usunięte

Temat: struktury działów bezpieczeństwa IT

Adam Danieluk:
I w teorii i w praktyce działy bezpieczeństwa IT nie powinny być częścią IT.

Wg. mnie działy bezpieczeństwa nie powinny zajmować się tylko IT ale też "kulturą organizacji" i kondycją psychofizyczną "mrówek" :)
Link do wypowiedziLink

konto usunięte

Temat: struktury działów bezpieczeństwa IT

Robert Pająk:
Tak poza klasycznym konfliktem interesow - dobrze pomysleć o security jako czyms co wykracza poza IT :)

I o prawidłowym umocowaniu...

a czy czasem wlasnie nie powstana konflikty pomiedzy dzialami/komorkami kiedy beda calkowicie niezalezne od siebie ?? i w jakim sensie "dzial bezpieczenstwa IT" ma wykraczac poza it ? ;) chyba ze dzial bezpieczenstwa it mialby byc komorka wiekszego dzialu bezpieczenstwa szeroko pojetego z punktu widzenia banku itd
Link do wypowiedziLink
Daniel Starczewski

Daniel Starczewski Freestyle Art of
Live ;>

Temat: struktury działów bezpieczeństwa IT

Działy Bezpieczeństwa powinny ściśle współpracować, ale bezpieczeństwo informacji, fizyczne powinno być odrębnym działem pozostającym w "ścisłym związku" z bezpieczeństwem IT (jeden i drugi dział chroni informacje - każdy w inny sposób).
Druga sprawa jest taka, że ekspert od IT Security zazwyczaj nie ma pojęcia o bezp. fiz. dostępu do informacji.

Jeżeli chodzi o bezpieczeństwo to zgadzam się z przedmówcą. Dział bezpieczeństwa powinien stanowić odrębny pion nie będący częścią żadnego innego departamentu a podległy być osobom zarządzającym daną organizacją.
Link do wypowiedziLink

konto usunięte

Temat: struktury działów bezpieczeństwa IT

Sławomir B.:
a czy czasem wlasnie nie powstana konflikty pomiedzy dzialami/komorkami kiedy beda calkowicie niezalezne od siebie ??

Gorszy z perspektywy bezpieczeństwa jest konflikt, którego wynikiem mogą być zaniechania pewnych działań, niż taki, którego wynikiem będą "sprzeczki" między działami.
Link do wypowiedziLink
Adam Danieluk

Adam Danieluk Prezes
stowarzyszenia ISSA
Polska. Zarządzanie
ryzykiem, ...

Temat: struktury działów bezpieczeństwa IT

Mowa była o konflikcie interesów,
Jeśli bezpieczeństwo IT podlega pod szefa IT to w rezultacie ta sama osoba jest odpowiedzialna za wykonywanie jak i kontrolę czynności.

Z tego powodu wszelkiej maści kontrole na przykład w działach finansowych czy księgowych nie podlegają pod księgowość. Ponieważ ich skuteczność byłaby wtedy żadna.

To samo dotyczy bezpieczeństwa IT.

Co do kwestii "konfliktu", "sporu" to jest on wpisany w rolę kontrolowanego i kontrolującego. Jaka on formę przybierze zależy już tylko i wyłącznie od ludzi zaangażownych w te role.

Co do kwestii ochrony fizycznej, to jest ona aspektem bezpieczeństwa IT i informacji. Po prostu kontrole logiczne nie będą skuteczne bez skutecznych rozwiązań z obszaru ochrony fizycznej.

Pozdr
Link do wypowiedziLink

konto usunięte

Temat: struktury działów bezpieczeństwa IT

Przy założeniu o konieczności powołania Działu lub Komórki szeroko rozumianego bezpieczeństwa, która zespalałaby proces zabezpieczania zasobów na wszystkich możliwych obszarach, gdzie realizowane są procesy przez daną instytucję, to możliwe są dwa ogólne podejścia:
1. Dział IT i w nim komórka Bezpieczeństwa IT
2. Dział IT i po za nim Dział Bezpieczeństwa IT

Z teorii i doświadczenia wynika, iż zarówno podejście 1 i 2 niosą ze sobą łatwe do przewiedzenia trudności w organizacji pracy, podziale kompetencji i odpowiedzialności oraz niosą ryzyka.
Podejście 2 jest o tyle lepsze, że:
- z góry zakłada obecność działu szeroko rozumianego bezpieczeństwa w skład której wchodzi również bezpieczeństwo IT, vice podejście 1, gdzie (i tak konieczny dział bezpieczeństwa "ogólnego") nie będzie mógł ani nadzorować ani kierować pracami komórki Bezpieczeństwa IT będącej w innym dziale
- pozwala na swobodniejsze i bardziej szczegółowe przyporządkowanie obowiązków i kompetencji dla odpowiednich działów i komórek, co również ułatwia rozliczalność
- ryzyka zostają rozłożone
- pamiętając, że pracujemy dla jednej skarbonki dwa działy nawiążą lepszą współpracę dbając jednocześnie o rywalizację pomysłów niż jeden dział z podległymi mu komórkami (np. w przypadku konfliktu, obecność Komórki Bezpieczeństwa podległej Działowi IT z góry zakłada rozwój wydarzeń).

Oczywistym jest natomiast obecność odpowiednich zapisów regulujących ogólne priorytety przynależne dla konkretnego działu w przypadku zaistnienia konfliktu pomiędzy np. bezpieczeństwem i funkcjonalnością (choć tu i tak kłania się proces analizy ryzyka i jego akceptacji) aby nie doprowadzić do sytuacji wstrzymania koniecznych procesów biznesowych czy realizujących te procesy biznesowe procesów informatycznych przez decyzje dot. bezpieczeństwa i odwrotnie - aby nie dopuścić do sytuacji wytworzenia zbyt dużego ryzyka, które w konsekwencji również prowadzić będzie do zablokowania procesów biznesowych.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Jakie koszty bezpieczeństwa




Wyślij zaproszenie do
Anuluj