Posted inCyberBezpieczeństwo

Dlaczego zarząd powinien interesować się cyberbezpieczeństwem?

Brak komentarzy.
zarząd cyberbezpieczeństwo odpowiedzialność

W wielu firmach cyberbezpieczeństwo jest traktowane jako temat działu IT. Administratorzy pilnują serwerów, aktualizacji i backupów. Zarząd zakłada, że skoro „informatyka działa”, to wszystko jest pod kontrolą.

W praktyce tak to nie wygląda.

Gdy dochodzi do poważnego incydentu, bardzo szybko okazuje się, że problem nie jest techniczny. Zaczynają się pytania o odpowiedzialność, straty finansowe, obowiązki prawne i komunikację z klientami. I wtedy cyberbezpieczeństwo nagle trafia na poziom zarządu.

Tylko że w tym momencie jest już za późno na spokojne planowanie.

Z mojego doświadczenia wynika, że firmy które radzą sobie najlepiej z incydentami bezpieczeństwa mają jedną wspólną cechę. Zarząd rozumie, że bezpieczeństwo IT jest elementem zarządzania firmą, a nie wyłącznie zadaniem administratora.

Odpowiedzialność prawna

Jeszcze kilka lat temu zarządy mogły traktować cyberbezpieczeństwo dość swobodnie. Jeśli coś się wydarzyło, odpowiedzialność zwykle kończyła się na poziomie działu IT.

Dziś sytuacja wygląda inaczej.

Firmy przetwarzają ogromne ilości danych. Dane klientów, pracowników, partnerów biznesowych. W przypadku wycieku informacji pojawiają się konkretne obowiązki wynikające z przepisów o ochronie danych.

Jeżeli dojdzie do incydentu, trzeba ustalić co się stało, jakie dane zostały ujawnione i czy konieczne jest zgłoszenie naruszenia do odpowiedniego organu. To nie jest już sprawa administratora systemu. To decyzja zarządu.

Często pierwsze pytanie ze strony właściciela firmy brzmi: „czy ktoś może mnie za to pociągnąć do odpowiedzialności”.

Jeżeli firma nie ma żadnej dokumentacji bezpieczeństwa, nie prowadzi analiz ryzyka i nie potrafi pokazać, że dba o ochronę danych, odpowiedź na takie pytanie zaczyna być niewygodna.

Dlatego coraz częściej zarządy chcą wiedzieć, w jakim stanie jest bezpieczeństwo ich organizacji.

Ryzyko finansowe

Właściciele firm zwykle patrzą na bezpieczeństwo przez pryzmat kosztów. Nowe systemy, audyty, testy bezpieczeństwa. Łatwo uznać, że to kolejny wydatek.

Problem polega na tym, że incydenty bezpieczeństwa potrafią kosztować znacznie więcej.

Przykład z jednej firmy produkcyjnej. Atak ransomware zaszyfrował serwery i system produkcyjny. Firma przez kilka dni nie była w stanie realizować zamówień. Linia produkcyjna stanęła.

Straty wynikały nie tylko z przestoju. Pojawiły się też kary umowne za opóźnienia w dostawach.

Dział IT był przekonany, że backupy działają poprawnie. Dopiero po ataku okazało się, że część kopii zapasowych była uszkodzona, a procedura odtworzenia systemu nigdy wcześniej nie została przetestowana.

Z punktu widzenia zarządu to nie był problem technologiczny. To był problem zarządzania ryzykiem.

Cyberbezpieczeństwo zaczyna przypominać inne obszary zarządzania firmą. Tak jak kontrola finansowa czy zarządzanie ryzykiem operacyjnym.

Reputacja

Najbardziej bolesne skutki incydentów bezpieczeństwa często nie mają nic wspólnego z technologią.

Chodzi o zaufanie.

Jeśli firma traci dane klientów, informacja bardzo szybko zaczyna krążyć w branży. Partnerzy biznesowi zaczynają zadawać pytania. Nowi klienci chcą wiedzieć, jak chronione są ich informacje.

W sektorze usług IT czy firm pracujących z danymi klientów potrafi to mieć ogromne znaczenie.

W jednej z firm wyciek danych nie był bardzo duży. Kilka tysięcy rekordów. Problem polegał na tym, że wśród klientów były duże organizacje. Informacja o incydencie szybko dotarła do działów bezpieczeństwa po stronie partnerów.

Efekt był prosty. Kilka projektów zostało wstrzymanych do czasu wyjaśnienia sytuacji.

Zarząd nagle zaczął interesować się tym, jak wygląda polityka bezpieczeństwa, kto ma dostęp do danych i jak monitorowana jest infrastruktura.

Takie rozmowy najlepiej prowadzić zanim wydarzy się incydent.

Raport dla zarządu

Jednym z największych problemów w firmach jest sposób komunikacji między działem IT a zarządem.

Administratorzy mówią o podatnościach, aktualizacjach i konfiguracji systemów. Zarząd chce wiedzieć, jakie ryzyko ponosi firma.

To są dwa różne języki.

Dlatego coraz częściej przygotowuje się raporty bezpieczeństwa skierowane właśnie do zarządu. Chodzi w nich o pokazanie stanu bezpieczeństwa organizacji w sposób zrozumiały dla osób zarządzających firmą.

Dobry raport powinien odpowiedzieć na kilka prostych pytań.

  • Jak wygląda poziom zabezpieczeń infrastruktury IT.
  • Czy w systemach znajdują się znane podatności.
  • Jak wygląda zarządzanie dostępem do danych.
  • Czy firma jest przygotowana na incydent bezpieczeństwa.
  • Jakie działania warto wykonać w pierwszej kolejności.

Kiedy zarząd widzi to w uporządkowanej formie, łatwiej podejmować decyzje. Bezpieczeństwo przestaje być abstrakcyjnym tematem z działu IT. Staje się elementem zarządzania firmą.

Z mojego doświadczenia wynika, że najlepsze efekty pojawiają się wtedy, gdy zarząd traktuje cyberbezpieczeństwo tak samo jak inne obszary ryzyka. Regularne przeglądy, raportowanie i konkretne działania naprawcze.

Technologia oczywiście jest ważna. Ale najważniejsze decyzje i tak zawsze zapadają na poziomie zarządu.

Chcesz sprawdzić wiarygodność kontrahenta przed podpisaniem umowy?

Prowadzimy szkolenia dla zarządów i kadry menedżerskiej. Pokazujemy w prosty sposób, gdzie w firmie pojawia się ryzyko cyberataków, jakie konsekwencje może mieć incydent oraz jak podejmować decyzje dotyczące bezpieczeństwa IT.

Umów rozmowę i sprawdź, jak możemy przygotować szkolenie dla Twojego zarządu.

Odezwij się do nas!
Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *