Medzi vedením firmy a osobami zodpovednými za IT bezpečnosť často dochádza k rozporu. Mnohé správne rady stále vnímajú kybernetickú bezpečnosť ako oblasť, za ktorú treba vynaložiť nevyhnutné náklady. Nevidia však, aké prostriedky dokáže kvalitná ochrana ušetriť. Október je ako mesiac kybernetickej bezpečnosti vhodným obdobím na zdôraznenie potreby zabezpečenia vedeniu.
IT segment vs vedenie firmy
V USA bol zaznamenaný 114 % štvrťročný nárast verejne nahlásených prípadov úniku údajov za 2. štvrťrok 2023, čím sa tento rok priblížil k ďalšiemu rekordu. Bezpečnostná agentúra EÚ ENISA varovala v roku 2022 pred prudkým nárastom zero-day hrozieb, ransomvéru ako služby a nájomných hackerov, útokov na dodávateľský reťazec a techník sociálneho inžinierstva. Zvládnutie tejto problematiky je v konečnom dôsledku úlohou riaditeľa informačnej bezpečnosti. Aby však bol výsledok jeho postavenia efektívny, potrebuje dostatočnú podporu vedenia. Preto je pri projektoch také dôležité zapojenie sa a súhlas aj z jeho strany.
Všeobecne povedané, zabezpečenie sa považuje za prvok potrebný na zabránenie kybernetickým hrozbám, ale to je tak všetko. Hoci spoločnosť Gartner predpovedá nárast globálnych výdavkov na bezpečnosť a riadenie rizík v roku 2023 o viac ako 11 % na 188 miliárd USD, nemusia byť nevyhnutne vynaložené rozumne. Neangažované správne rady majú tendenciu uvoľňovať rozpočet čiastkovo a reaktívne, napríklad až po narušení bezpečnosti. To môže viesť k zlým výsledkom a hromadeniu bodových riešení, ktoré nie sú z dlhodobého hľadiska finančne výhodné.
Podľa jednej štúdie len dve pätiny (39 %) osôb s rozhodovacími právomocami v oblasti bezpečnosti veria, že vedenie ich spoločnosti skutočne chápe úlohu, ktorú kybernetická ochrana zohráva v obchodnom úspechu. Podobný podiel (36 %) ľudí tvrdí, že na bezpečnosť sa nazerá len cez prizmu požiadaviek na súlad s nariadeniami. Ako teda môžu riaditelia informačnej bezpečnosti a ich kolegovia lepšie spolupracovať s vedením s cieľom získať dlhodobú podporu pre strategické iniciatívy?
Nižšie uvádzame šesť návrhov:
1. Hovorte správnym jazykom
Prvým krokom k lepšiemu zosúladeniu kybernetickej a obchodnej sféry je porozumenie. Nehovorte teda v jazyku bitov a bajtov a zložitých technických detailov, ale jazykom obchodných rizík. Uľahčíte si tak spoluprácu s vedúcimi predstaviteľmi a získanie podpory pre konkrétnu strategickú iniciatívu. Ak im poviete, že útok ransomvéru môže vyradiť z prevádzky 200 serverov, možno si pomyslia: „No a čo?“ Keď však objasníte, že takýto útok by mohol spôsobiť týždenný výpadok za cenu 400 000 dolárov za hodinu, reakcia bude úplne iná.
2. Zmerajte riziká a vysvetlite ich relevantnosť
Súčasťou konverzácie v jazyku, ktorému rozumejú obe strany, je zdieľanie údajov na základe metrík premietajúcich informácie o kybernetickej bezpečnosti do meraní, ktoré sú relevantné pre podnikanie a správnu radu. Oblasti na zváženie sú metriky, ktoré ukazujú výkonnosť a účinnosť existujúcich bezpečnostných kontrol s cieľom ilustrovať, kde aplikované postupy fungujú dobre a kde je potrebné ich zlepšiť. Ich sledovanie v priebehu času prináša ďalší vplyv, rovnako ako porovnanie s referenčnými ukazovateľmi v odvetví.
Pri ich predkladaní vedeniu sa snažte o zachovanie jednoduchosti a vysokej úrovne. Na zdôraznenie niektorých bodov sa však nebojte použiť ani anekdotické príbehy, ktorým ľudia v spoločnosti porozumejú.
3. Vyzývajte na podporu zabezpečenia už v zárodku
Podľa Svetového ekonomického fóra si 43 % vedúcich predstaviteľov podnikov myslí, že je pravdepodobné, že kybernetický útok „podstatne ovplyvní“ ich organizáciu v nasledujúcich dvoch rokoch. Hoci uvedomovanie si závažnosti kybernetických rizík je pozitívnou správou, odráža aj spôsob myslenia predstavenstva, ktoré sa čoraz viac zameriava na smerovanie zdrojov do každodenných, a nie strategických investícií.
Riaditeľ informačnej bezpečnosti musí presvedčiť svojich kolegov z vrcholového manažmentu, aby sa na kybernetickú bezpečnosť pozerali strategickejšie, čím dosiahnu lepšie výsledky. Integrované a predvolené zabezpečenie je osvedčeným postupom, ktorý presadzujú regulačné orgány na uplatňovanie nariadenia GDPR a ďalšie. Znamená to, že bezpečnostné aspekty musia byť zakomponované do nových obchodných iniciatív alebo produktov už pri ich vzniku, a nie až na konci alebo – ešte horšie – po incidente.
4. Stretávajte sa častejšie
Podľa Svetového obchodného fóra sa viac ako polovica (56 %) riaditeľov informačnej bezpečnosti stretáva so správnou radou spoločnosti raz za mesiac alebo častejšie. Ide o skvelý krok k získaniu podpory predstavenstva pre potreby bezpečnosti, najmä vzhľadom na rýchlosť, akou sa vyvíja prostredie hrozieb. Na vznik vzájomného porozumenia je však potrebné urobiť viac. Jednou z možností je zaistiť priame podriadenie riaditeľa informačnej bezpečnosti generálnemu riaditeľovi. Ten tak bude mať viac informácií o kybernetickej bezpečnosti a tím, ktorý sa jej venuje, získa od spoločnosti priamu spätnú väzbu.
5. Sformalizujte programy kybernetickej bezpečnosti
Príliš veľa programov týkajúcich sa kybernetickej bezpečnosti je robených ad hoc a má technické zameranie. Namiesto toho by mali byť riadne zdokumentované, merané na základe príslušných kľúčových ukazovateľov výkonnosti a metrík a formalizované v štruktúre smerom zhora nadol. Vo firme sa tak upevní úloha kybernetickej bezpečnosti.
6. Zamestnajte pracovníkov BISO
Odborník na informačnú bezpečnosť podniku (BISO) vykonáva špecifickú úlohu v rámci oddelenia alebo obchodnej jednotky a figuruje ako styčný bod medzi obchodným a bezpečnostným tímom. Pomáha premeniť prepracovanú stratégiu na praktické operačné kroky. Môže teda prispieť k spomínanému integrovanému zabezpečeniu, o ktoré by sa mala usilovať každá organizácia, a tým dokázať skeptickým správnym radám, že bezpečnosť by mala byť súčasťou každej časti podnikania.
Záver
Podľa Svetového obchodného fóra nedávna geopolitická nestabilita pomohla zblížiť názory riaditeľov informačnej bezpečnosti a správnych rád na dôležitosť riadenia kybernetických rizík. V súčasnosti 91 % tejto prepojenej komunity verí, že v najbližších dvoch rokoch je do určitej miery pravdepodobná katastrofická udalosť týkajúca sa kybernetickej bezpečnosti s ďalekosiahlymi následkami. Čaká nás však ešte dlhá cesta. Pre mnohé organizácie bude získanie dôležitého zapojenia sa a súhlasu správnych rád prácou na mesiace alebo dokonca roky. A čo je najdôležitejšie, potrebná môže byť zmena myslenia nielen zo strany vedúcich predstaviteľov spoločností, ale aj riaditeľov informačnej bezpečnosti.