Optimizing corporate Information Security Management in the post-“Heartbleed” world

An optimal business process is defined as a dynamic process that is able to adapt rapidly to the changing environment and maintain satisfactory level of performance directed towards achieving the predefined set of objectives. Corporate information security management is a business process focused on managing risk that can have adverse effects on vital corporate information and related technology and processes. Rapid evolution of information and communication technology (ICT) and ways it is used to collect, analyze and disseminate information carries many opportunities to improve corporate value chain, but also carries uncertainty and new risks. Unexpected flaws were recently discovered in fundamental building blocks of ICT such as OpenSSL challenging methods used to manage corporate information security. In this paper, we will review information security management process focusing on its risk management component and suggest improvements in order to remain proactive. Suggested improvements will cover methods for assessing and measuring risk in the areas of ICT that were hit by unexpected vulnerabilities such as business application development and integration, establishing corporate information security incident response teams, and developing a framework for exchanging information security threat intelligence. Apstrakt: Optimalnim poslovnim procesom smatra se svaki dinamicni proces koji se brzo prilagođava pomenama u okruženju i može da održi zadovoljavajuci nivo performansi kako bi se realizovali unapred postavljeni ciljevi.Upravljanje bezbednoscu informacija unutar preduzeca predstavlja poslovni proces koji je usmeren ka upravljanju rizicima koji mogu negativno uticati na bitne informacije unutar preduzeca kao i na upotrebu tehnologija i procesa u samoj organizaciji. Brz razvoj informacionih i komunikacionih tehnologija (IKT) kao i nacin na koji se one koriste za prikupljanje, obradu i prenos podataka nose sa sobom brojne mogucnosti za unapređenje korporativnog lanca vrednosti, ali i brojne neizvesnosti i rizike. Neocekivani nedostaci nedavno su otkriveni u osnovnim gradivnim elementima IKT-a poput OpenSSL paketa, i predstavljaju izazov za metode upravljanja bezbednoscu informacija unutar preduzeca. U ovom radu razmatra se proces upravljanja bezbednoscu informacija sa naglaskom na komponentu upravljanja rizikom i nude predlozi za moguca poboljsanja u cilju ocuvanja proaktivnosti. Ona obuhvaju metode za procenu i merenje rizika u oblastima IKT-a koje su pogođene neocekivanim slabostima, poput razvoja i integracije poslovnih aplikacija, uspostavljanje centra za brzu reakciju u slucaju incidenata vezanih za bezbednost informacija, i razvijanje okvira za razmenu informacija o mogucim pretnjama.