Eksternalizacija funkcije voditelja informacijske sigurnosti (CISO)

 

 

Upravljanje informacijskom sigurnošću i kontinuitetom poslovanja, te upravljanje rizicima informacijske sigurnosti zakonska je, moralna i poslovna obveza svake organizacije i društva. To zahtijeva ekspertno znanje i osobu specijaliziranu za vršenje funkcije Voditelja informacijske sigurnosti.

Usluga je prilagođena svim organizacijama i sastoji se od angažmana voditelja informacijske sigurnosti određeni broj dana/sati mjesečno. U slučaju da se sustav informacijske sigurnosti uspostavlja, tempo uspostave sustava informacijske sigurnosti ovisi o količini angažmana voditelja informacijske sigurnosti. Organizacija s ovom funkcijom pokriva zahtjeve regulatora, kao i potrebe sukladno pravilnicima i procedurama informacijske sigurnosti. 

Cyber prijetnje su u porastu. Napadači više nisu djeca koja pokušavaju steći slavu probijanjem sustava, već su to ozbiljni kriminalci, haktivisti, kao i timovi profesionalnih hakera sponzorirani od strane drugih zemalja. Mete su im organizacije svih veličina. Ukoliko ne zaštitimo organizaciju i informacijske resurse posljedice mogu biti:

  • Gubitak produktivnosti, zaustavljanje poslovnih procesa
  • Gubitak intelektualnog vlasništva i klijenata
  • Reputacijska šteta
  • Regulatorne kazne i šteta

Zato je bitno imati osobu odgovornu za informacijsku sigurnost u organizaciji, koja će znati prepoznati rizike i aktivno upravljati istima.

Zašto eksternalizirati funkciju voditelja informacijske sigurnosti?

Organizacije se odlučuju za eksternalizaciju zbog mnogo razloga, ovdje ćemo navesti samo neke:

  • Stručnost – kako bi bili što konkurentniji na tržištu naši stručnjaci motivirani su redovito se usavršavati i pratiti nove tehnologije kako bi pružili što bolju i kvalitetniju uslugu. Eksternalizacijom funkcije osigurali ste da posao obavlja osoba koja će uvijek moći prepoznati i spriječiti nove prijetnje informacijskoj sigurnosti.
  • Ušteda – organizacije štede čak do 75% na eksternalizaciji voditelja informacijske sigurnosti u odnosu na zapošljavanje vlastitog voditelja informacijske sigurnosti, edukaciji i certifikaciji istog, te svim davanjima koja idu uz zapošljavanje.
  • Nedostatak stručnog kadra – postoji kroničan nedostatak stručnog kadra na tržištu rada. Velik dio stručnjaka je već zaposlen ili više nije u Hrvatskoj. Zato organizacije kroz eksternalizaciju na vrlo jednostavan način popunjavaju funkciju Voditelja informacijske sigurnosti.
  • Količina angažmana – u velikom broju organizacija CISO nema toliko posla za puno radno vrijeme, već je potreban određeni broj sati tjedno. Rijetko tko je spreman sa stručnim znanjem i sposobnostima raditi na pola radnog vremena, a u isto vrijeme ne bi smio raditi druge rukovodeće poslove u organizaciji zbog kojih bi bio u sukobu interesa. Naš CISO vam je dostupan sukladno dogovorenom angažmanu, ali i dežuran 24 sata dnevno u slučaju hitnih intervencija.
  • Implementacija ISO/IEC 2700:2013 norme – Mnoge organizacije trebaju normu zbog konkurentske prednosti ili certifikacije sustava informacijske sigurnosti, a ne posjeduju iskustvo implementacije. Naš CISO pomaže vašoj organizaciji implementirati ISO/IEC 27001:2013 normu i održavati je tijekom svog angažmana.

Odgovornosti voditelja informacijske sigurnosti (CISO)

Voditelj informacijske sigurnosti vrši svoje dužnosti sukladno normi i zakonima te dobrim praksama. Neke od aktivnosti i odgovornosti voditelja informacijske sigurnosti uključuju:

Uspostava i održavanje sustava ISMS

Uspostava i održavanje sustava informacijske sigurnosti, od faze planiranja, implementacije, provjere i održavanja sustava koristeći svjetski priznate norme i dobre prakse.

Z

Briga o efikasnosti sustava ISMS

Briga o efikasnosti sustava informacijske sigurnosti organizacije, slijeđenja internih akata, vezanih zakona i regulative, te redoviti nadzori i kontrole.

>

Upravljanje rizicima informacijske sigurnosti

Upravljanje rizicima informacijske sigurnosti kroz identifikaciju, procjenu i obradu rizika vezanih uz informacijsku sigurnost i kontinuitet poslovanja.

i

Predlaganje poboljšanja sigurnosnih kontrola

Predlaganje poboljšanja postojećih sigurnosnih kontrola i procesa prema potrebi, te pregled, poboljšanje i pisanje vezanih politika, procedura i radnih uputa.

Online praćenje aktivnosti informacijske sigurnosti

Online praćenje aktivnosti vezanih uz informacijsku sigurnost (pregled dokumenata, uređivanje, predlaganje, verifikacija, izvještavanje…)

q

Redovito praćenje sigurnosnih trendova

Redovito praćenje sigurnosnih trendova, aktualnih prijetnji i  ranjivosti osigurava da je izloženost organizacije rizicima na prihvatljivoj razini.

Osiguranje kontinuiteta poslovanja

Osiguranje da je kontinuitet poslovanja uspostavljen i redovito testiran, sukladan s važećom regulativom i stvarnim potrebama organizacije.

t

Upravljanje incidentima informacijske sigurnosti

Upravljanje incidentima informacijske sigurnosti kroz prikupljanje informacije i izloženosti incidentima, praćenje rješavanja i sprječavanje ponavljanja istih.

l

Redovito izvještavanje Uprave organizacije

Redovito izvještavanje Uprave organizacije o stanju informacijske sigurnosti, incidentima, rizicima i ranjivostima kroz redovite i izvanredne izvještaje.

U

Priprema dokumentacije i izvještaja za revizije

Tijekom revizija sustava informacijske sigurnosti i IT sustava CISO pomaže u pripremi dokumentacije i izvještaja te sudjeluje na sastancima revizije prema potrebi.

k

Izrada i održavanje dokumentacije ISMS

Izrada i održavanje dokumentacije informacijske sigurnosti i kontinuiteta poslovanja, predlaganje poboljšanja, kontrola slijeđenja.

Edukacija i podizanje svijesti zaposlenika

Edukacija i podizanje svijesti zaposlenika organizacije o informacijskoj sigurnosti kroz radionice, seminare, te edukaciju kroz elektroničke medije.

Pogodnosti eksternalizacije CISO-a Xiphos-a

Postoji više pogodnosti eksternalizacije našeg voditelja informacijske sigurnosti, izdvojili smo najbitnije:

  • Priprema sustava ISMS – Priprema sustava i poslovanja u svrhu usklađenosti s novim regulativama. CISO tijekom svog angažmana uspostavlja sustav informacijske sigurnosti i usklađuje ga sukladno važećoj regulativi i zakonima, kao i prema potrebi svjetski priznatim normama. Npr., priprema za certifikaciju sukladno ISO/IEC 27001:2013, ili ostalim normama prema potrebi. CISO vodi organizaciju od faze planiranja do faze certifikacije sustava sukladno svom angažmanu.
  • GDPR (General Data Protection Regulation) nova je uredba EU kojom se štite osobni podaci i odnosi se na sve tvrtke. Naš CISO pomoći će vam da se pripremite i prilagodite poslovanje ovoj uredbi.
  • Višegodišnje iskustvo – Naš CISO posjeduje višegodišnje praktično iskustvo u upravljanju informacijskom sigurnošću, kao i vođenju sustava informacijske sigurnosti u organizacijama različitih vrsta i veličina.
  • Procjene rizika – Procjene rizika temeljene su na dokazanim metodologijama, znanju, iskustvu i objektivnosti, te se koriste kao snažan temelj za izradu efektivnog sustava informacijske sigurnosti.
  • Bogato iskustvo – Bogato iskustvo našeg CISO-a osigurava optimizirane i opravdane investicije u informacijsku sigurnost.
  • Edukacija i osvješćivanje – CISO je stručan u edukaciji i podizanju svijesti zaposlenika o informacijskoj sigurnosti kroz održavanje seminara, radionica, online edukacije, koristeći naš online sustav edukacije.
  • Niži troškovi – Trošak našeg CISO-a niži su nego da zapošljavate vlastitog (edukacija, porezi, certifikacija…).
  • Nadzor sustava i kontrole – Nadzor i kontrole informacijskog sustava i sigurnosti bazirane su na globalno prepoznatim dobrim praksama.
  • Izvještavanje – Uprava klijenta redovito je izvještavana o stanju sustava informacijske sigurnosti, incidentima i rješavanju istih, te o aktualnim prijetnjama i načinima zaštite.

DOSTUPNOST ZA HITNE INTERVENCIJE 0-24h

Opcije angažmana

Razvili smo dodatne opcije angažmana eksternaliziranog voditelja informacijske sigurnosti za sve organizacije koje trebaju funkciju Voditelja informacijske sigurnosti, ali nemaju planove zapošljavati nove zaposlenike ili jednostavno nema opravdanja za zapošljavanje osobe na poziciju koja ne zahtijeva puno radno vrijeme, već djelomični angažman tijekom mjeseca. Sve opcije uključuju gore navedene pogodnosti plus stavke navedene uz svaku pojedinačnu opciju.

CISO

Eksternalizacija certificiranog CISO-a (CISM certifikat)

  • Eksternalizacija certificiranog stručnjaka sa svjetski priznatim certifikatima informacijske sigurnosti (npr., CISM, CISA, CRISC, CISSP).
  • Certificirani stručnjak izravno radi s vama i na vašoj lokaciji.
  • Edukacija zaposlenika

ISO

Eksternalizacija CISO-a bez stručnih certifikata

  • Eksternalizacija stručnjaka koji nema certifikate, ali ima stručno znanje i iskustvo.
  • Isti radi pod nadzorom i vodstvom certificiranog CISO-a Xiphos-a.
  • Edukacija zaposlenika

E-CISO

Eksternalizacija funkcije CISO-a, udaljeni pristup

NAJPOVOLJNIJA OPCIJA

  • Eksternalizacija stručnjaka koji radi većinom udaljenim pristupom, te prema potrebi dolazi na lokaciju.
  • Razlika u odnosu na ostale opcije je da isti ne radi izravno na lokaciji organizacije, osim prema potrebi.
  • Edukacija zaposlenika

Edu CISO

Izravna edukacija vašeg CISO-a na vašoj lokaciji

  • Želite imati vlastitog voditelja informacijske sigurnosti? Ova opcija je za sve koji žele educirati vlastitog CISO-a kroz izravnu praksu i vodstvo certificiranog stručnjaka.
  • Trajanje angažmana cca. 6 mjeseci ili prema dogovoru.

Kontaktirajte nas za više informacija u svezi eksternalizacije funkcije voditelja informacijske sigurnosti

Odaberite opciju koja vas interesira

10 + 1 =

Xiphos d.o.o.

Fabijanićeva 60
10040 Zagreb

Tel. +385 1 2915 736

Mob. +385 91 1444 111
Mob. +385 98 1610 492

Web: www.xiphos.hr
Email: info@xiphos.hr

MATIČNI BROJ: 2954656

OIB: 39402063665

 

REGISTARSKI SUD
Trgovački sud u Zagrebu

TVRTKA
Xiphos d.o.o. za usluge

Adresa: Fabijanićeva 60, 10040 Zagreb

IBAN: HR6123300031152496151

TEMELJNI KAPITAL
20.000,00 kn, uplaćen u cijelosti

ČLANOVI UPRAVE
Darie Marić, zastupa društvo u cijelosti