Τα υψηλόβαθμα στελέχη του ΙΤ επιθυμούν να μάθουν πώς θα καταφέρουν να πείσουν το Διοικητικό Συμβούλιο να συμφωνήσει με τις προτάσεις τους, πώς θα καταφέρουν να συζητήσουν με άλλα ανώτατα στελέχη επί ίσοις όροις. Η εμπειρία έχει δείξει ότι χρειάζεται μια απλοποίηση της μεθοδολογίας, έτσι ώστε να μπορεί κανείς να την παρουσιάσει στους συναδέλφους του, με τέτοιο τρόπο που να μπορούν να κατανοήσουν και να αποδεχθούν την προσέγγισή του. Για παράδειγμα, στις συζητήσεις με μέλη του Διοικητικού Συμβουλίου δεν πρέπει να αναφέρονται τεχνικοί όροι – όπως firewall, server, data-storage unit κλπ. Μην λέτε τέτοιες λέξεις σε τέτοιους ανθρώπους! Απλά γιατί τα μέλη του Διοικητικού Συμβουλίου των εταιρειών δεν χρησιμοποιούν αυτούς τους όρους.
Αντιθέτως, ενδιαφέρονται να αποφασίσουν σε ποιες νέες αγορές να επενδύσουν, πώς θα αποκομίσουν περισσότερα κέρδη την επόμενη χρονιά, εάν θα συνεχίσουν να είναι κερδοφόροι οι τομείς στους οποίους επένδυσαν στο παρελθόν κ.λπ. Αυτά είναι τα θέματα τα οποία βρίσκονται στην ατζέντα των Διοικητικών Συμβουλίων. ‘Όλες αυτές οι αποφάσεις, όμως, επηρεάζονται άμεσα από τη λειτουργία της Διεύθυνσης Πληροφορικής και τις αποφάσεις που παίρνονται αναφορικά με το Information Security. Είναι, επομένως, δουλειά των υψηλόβαθμων στελεχών της Πληροφορικής να πείσουν τα μέλη των Διοικητικών Συμβουλίων για τον τρόπο που οι επιμέρους παράμετροι στις αποφάσεις αναφορικά με την Ασφάλεια Πληροφοριών επηρεάζουν άμεσα όλο τον Οργανισμό. Με αυτόν τον τρόπο, τα μέλη του Διοικητικού Συμβουλίου μπορούν να διακρίνουν καλύτερα τις προτεραιότητες και να αποφασίζουν ποιες επενδύσεις πρέπει να γίνονται στην πληροφοριακή υποδομή του οργανισμού και ποιες να αναβάλλονται ή να απορρίπτονται.
Μεταφράζοντας το ρίσκο
Τα στελέχη της Πληροφορικής πολλές φορές αντιμετωπίζουν τον κίνδυνο ως αρνητικό παράγοντα. Για τους ανθρώπους αυτούς, ρίσκο σημαίνει downtime και για αυτό το ρίσκο θα πρέπει να αποφεύγεται πάση θυσία. Στον αντίποδα, οι άνθρωποι που παίρνουν αποφάσεις σε υψηλό επίπεδο βλέπουν το ρίσκο ως έναν παράγοντα που πρέπει να τον διαχειριστούν αποτελεσματικά, αλλά και ως μια επιχειρηματική ευκαιρία, καθώς γνωρίζουν ότι οι επιχειρήσεις δεν θα υπήρχαν εάν δεν έπαιρναν αποφάσεις με ρίσκο. Έτσι, λοιπόν, το Διοικητικό Συμβούλιο δεν ενδιαφέρεται να αποφύγει παντελώς τον κίνδυνο, αλλά να διαχειριστεί τον κίνδυνο προς όφελος της εταιρείας.
Έχοντας αυτό το γεγονός υπ’ όψη, οι άνθρωποι της Πληροφορικής μπορούν να χρησιμοποιούν την τεχνολογία και την Ασφάλεια των Πληροφοριών για να προσδίδουν επιχειρησιακές επιλογές, δυνατότητες και ευκαιρίες στο Διοικητικό Συμβούλιο. Αυτό που, σίγουρα, χρειάζεται είναι η επιλογή της κατάλληλης γλώσσας, η οποία θα κάνει τα μέλη του Διοικητικού Συμβουλίου να «δουν» τις επιλογές, με τον λιγότερο δυνατό πονοκέφαλο που δημιουργεί η τεχνική ορολογία, κατανοώντας, παράλληλα, τα κόστη που περιλαμβάνει ο κίνδυνος που σχετίζεται με την Ασφάλεια Πληροφοριών αναφορικά με τη ζημιά επί της εταιρικής φήμης, τη μη εκπλήρωση των στρατηγικών στόχων κ.λπ. – ποια είναι, δηλαδή, τα πραγματικά και σε όλη την έκτασή τους κόστη εάν η Ασφάλεια Πληροφοριών αστοχήσει.
Η Vicki Gavin στο Enterprise IT Security Conference
Η Vicki Gavin συγκαταλέγεται ανάμεσα στους κεντρικούς ομιλητές του συνεδρίου Enterprise IT Security Conference, το οποίο θα διεξαχθεί από την BOUSSIAS και το περιοδικό netweek στις 16 και 17 Φεβρουαρίου 2015 στην Αθήνα. Είναι υπεύθυνη για την Επιχειρησιακή Συνέχεια και την Ασφάλεια Πληροφοριών του Economist Group σε παγκόσμιο επίπεδο, ενώ έχει πολύχρονη και πλούσια εμπειρία στους παραπάνω τομείς.Προέρχεται από την Τράπεζα Barclays όπου κατείχε τη θέση της Διευθύντριας Επιχειρησιακής Συνέχειας και Επιχειρησιακού Κινδύνου για τον τομέα καρτών Barclaycard, ενώ διετέλεσε και υπεύθυνη Σχεδιασμού και Επιχειρησιακής Διαθεσιμότητας στην Dresdner Kleinwort Wasserstein, όπου και κατείχε μία σειρά θέσεων.