Jak může CISO a jeho kolegové lépe spolupracovat s vedením společnosti, aby získali dlouhodobou podporu pro strategii kybernetické bezpečnosti?
Budování bezpečnějšího digitálního světa vyžaduje opatření na několika frontách. Iniciativy, jako je Měsíc povědomí o kybernetické bezpečnosti, jsou skvělou příležitostí, jak široké veřejnosti připomenout důležité osvědčené postupy pro správu hesel, správu zranitelností a další. To může ztížit život kyberzločincům, kteří se zaměřují na běžné uživatele, ale je to také příležitost, jak na kybernetická rizika upozornit vedoucí pracovníky firem.
Bezpečnostní agentura EU ENISA v roce 2022 varovala před prudkým nárůstem zneužití zranitelností nultého dne, ransomwaru jako služby, nájemných hackerů, útoků na dodavatelský řetězec a sociálního inženýrství. Vypořádat se s takovými hrozbami je úkolem CISO. Aby však jeho role mohla fungovat efektivně, potřebuje, aby se na projektech kybernetické bezpečnosti podílelo vedení společnosti a aktivně je podporovalo.
Společný přístup ke kyberbezpečnosti
Mezi vedením podniku a osobami odpovědnými za IT a kybernetickou strategii často dochází k rozporům. Obecně řečeno, bezpečnost je vnímána tak, že je nutná k odvrácení kybernetických hrozeb, ale ne o moc víc. To znamená, že vedení společnosti často může stále vnímat IT a kyberbezpečnost jako nezbytné náklady, ale ne jako činitele přispívající k výnosům a podpoře podnikání.
Ačkoli Gartner předpovídá, že globální výdaje na bezpečnost a řízení rizik dosáhnou v roce 2023 nárůstu o 11 % na 188 miliard dolarů, nemusí být vždy vynakládány rozumně. Neangažovaná představenstva firem mají tendenci uvolňovat rozpočet dílčím a reaktivním způsobem, například po narušení bezpečnosti. To může vést ke špatným výsledkům a hromadění specializovaných řešení, která se v konečném důsledku ukáží jako špatný poměr ceny a výkonu.
Podle jedné studie se pouze dvě pětiny (39 %) osob s rozhodovací pravomocí v oblasti bezpečnosti domnívají, že vedení jejich společnosti skutečně chápe, jakou roli hraje kybernetická bezpečnost v úspěchu jejich podnikání. Podobný podíl (36 %) tvrdí, že se na bezpečnost dívá pouze optikou požadavků na dodržování předpisů.
Jak tedy mohou CISO a jejich kolegové lépe spolupracovat s vedením společnosti, aby získali dlouhodobou podporu pro strategické iniciativy?
Mluvte správným jazykem
Prvním krokem k lepšímu sladění kybernetického a obchodního záměru je být srozumitelný. To znamená mluvit jazykem nikoli bitů a bajtů a složitých technologických detailů, ale obchodních rizik. To usnadní zapojení vedení a získání podpory pro konkrétní strategickou iniciativu. Řekněte jim, že útok ransomwaru může vyřadit z provozu 200 serverů, a oni si možná pomyslí „no a co?“. Když jim ale vysvětlíte, že to může způsobit týdenní výpadek s náklady 8 mil. Kč za hodinu, reakce bude zcela jiná.
Měřte riziko a jeho relevanci
Součástí konverzace v jazyce, kterému obě strany rozumí, je sdílení dat založených na metrikách, které informace o kybernetické bezpečnosti převádějí do měřítek, na kterých představenstvu a podniku záleží. Oblasti, které je třeba zvážit, jsou metriky, které ukazují výkonnost a účinnost stávajících bezpečnostních kontrol, aby bylo možné ilustrovat, kde věci fungují dobře a kde je třeba je zlepšit. Sledování těchto ukazatelů v čase ukazuje další dopady a umožňuje srovnání napříč odvětvím.
Při jejich prezentaci nejvyššímu vedení se držte jednoduchosti a stručnosti. Nebojte se ale použít příběhy nebo příměry ze společnosti, abyste zdůraznili podstatu věci.
Podporujte bezpečnost již od návrhu a ve výchozím nastavení
Podle Světového ekonomického fóra (WEF) si 43 % vedoucích pracovníků firem myslí, že je pravděpodobné, že v příštích dvou letech kybernetické útoky podstatným způsobem ovlivní jejich organizaci. Je sice pozitivní, že si uvědomují závažnost kybernetického rizika, ale zároveň to odráží způsob myšlení představenstva, které se stále více zaměřuje na směřování zdrojů do každodenních, nikoli strategických investic.
CISO musí přesvědčit své kolegy z vedení, aby se na kyberbezpečnost dívali strategičtěji s vědomím, že tím dosáhnou lepších výsledků. Zabezpečení díky návrhu (secure by desing) a zabezpečení ve výchozím nastavení (secure by default) jsou osvědčené postupy, které prosazují také regulační orgány v čele s GDPR. Znamená to, že bezpečnostní aspekty musí být zapracovány do nových obchodních iniciativ nebo produktů již při jejich vzniku, nikoliv až na konci nebo – ještě hůře – po incidentu.
Častěji se setkávejte
Podle WEF se více než polovina (56 %) CISO nyní setkává s vedením společnosti každý měsíc nebo častěji. To je skvělý krok k získání podpory vedení pro bezpečnost, zejména vzhledem k rychlosti, s jakou se vyvíjí prostředí hrozeb. Pro podporu vzájemného porozumění je však třeba udělat více. Jedním ze způsobů je zajistit, aby manažer informační bezpečnosti byl přímo podřízen generálnímu řediteli. Tím se zajistí, že se CEO bude více zajímat o kybernetickou bezpečnost a že bezpečnostní manažeři získají více přímé zpětné vazby od businessu.
Formalizujte programy kybernetické bezpečnosti
Mnoho programů kybernetické bezpečnosti vzniká na ad hoc bázi a je příliš technických. Místo toho by programy měly být řádně zdokumentovány, měřeny na základě příslušných KPIs a metrik a formalizovány ve struktuře shora dolů. To pomůže upevnit roli kybernetické bezpečnosti v podniku.
Najměte si BISO
Business Information Security Officer (BISO) je specifická funkce oddělení nebo obchodní jednotky, která je zodpovědná za spojení s obchodním i bezpečnostním týmem. Pomáhá tak převádět high-level strategii do praktických operativních kroků. BISOs tak mohou vytvořit kulturu „security-by-design“, o kterou by měla usilovat každá organizace. A tím dokázat skeptickému vedení podniku, že bezpečnost by měla být začleněna do všech částí společnosti.
Podle WEF pomohla nedávná geopolitická nestabilita sblížit názory manažerů informační bezpečnosti a vedení společnosti na důležitost řízení kybernetických rizik. Pro mnoho organizací ale bude získání tak důležitého zapojení a souhlasu vedení podniku práce na několik měsíců nebo dokonce let. A co je nejdůležitější, může to vyžadovat změnu myšlení nejen od vedoucích představitelů podniků, ale také od manažerů informační bezpečnosti.
