Temat: struktury działów bezpieczeństwa IT
Przy założeniu o konieczności powołania Działu lub Komórki szeroko rozumianego bezpieczeństwa, która zespalałaby proces zabezpieczania zasobów na wszystkich możliwych obszarach, gdzie realizowane są procesy przez daną instytucję, to możliwe są dwa ogólne podejścia:
1. Dział IT i w nim komórka Bezpieczeństwa IT
2. Dział IT i po za nim Dział Bezpieczeństwa IT
Z teorii i doświadczenia wynika, iż zarówno podejście 1 i 2 niosą ze sobą łatwe do przewiedzenia trudności w organizacji pracy, podziale kompetencji i odpowiedzialności oraz niosą ryzyka.
Podejście 2 jest o tyle lepsze, że:
- z góry zakłada obecność działu szeroko rozumianego bezpieczeństwa w skład której wchodzi również bezpieczeństwo IT, vice podejście 1, gdzie (i tak konieczny dział bezpieczeństwa "ogólnego") nie będzie mógł ani nadzorować ani kierować pracami komórki Bezpieczeństwa IT będącej w innym dziale
- pozwala na swobodniejsze i bardziej szczegółowe przyporządkowanie obowiązków i kompetencji dla odpowiednich działów i komórek, co również ułatwia rozliczalność
- ryzyka zostają rozłożone
- pamiętając, że pracujemy dla jednej skarbonki dwa działy nawiążą lepszą współpracę dbając jednocześnie o rywalizację pomysłów niż jeden dział z podległymi mu komórkami (np. w przypadku konfliktu, obecność Komórki Bezpieczeństwa podległej Działowi IT z góry zakłada rozwój wydarzeń).
Oczywistym jest natomiast obecność odpowiednich zapisów regulujących ogólne priorytety przynależne dla konkretnego działu w przypadku zaistnienia konfliktu pomiędzy np. bezpieczeństwem i funkcjonalnością (choć tu i tak kłania się proces analizy ryzyka i jego akceptacji) aby nie doprowadzić do sytuacji wstrzymania koniecznych procesów biznesowych czy realizujących te procesy biznesowe procesów informatycznych przez decyzje dot. bezpieczeństwa i odwrotnie - aby nie dopuścić do sytuacji wytworzenia zbyt dużego ryzyka, które w konsekwencji również prowadzić będzie do zablokowania procesów biznesowych.