Jak prawie każdy lider ds. bezpieczeństwa IT, Matt Riley, specjalista ds. ochrony danych i bezpieczeństwa informacji w firmie Sharp w Europie, często prowadzi trudne rozmowy ze współpracownikami biznesowymi na temat tego, co mogą, a czego nie mogą zrobić z punktu widzenia cyberbezpieczeństwa.
„Moje podejście” — mówi — „to odpowiedź, że nigdy nie jest ‘nie’. Nie zdobędziesz serc i umysłów tym, co jest naprawdę ważnym tematem, mówiąc ‘nie’ cały czas”. Odnosząc się do badań brytyjskiego rządu, Riley mówi, że firmy postrzegają cyberbezpieczeństwo i bezpieczeństwo IT jako wysoki priorytet. „Wiemy, że poziom obaw o cyberbezpieczeństwo rośnie. Ale w porównaniu do 10 lat temu, obecnie jest o wiele większa świadomość, dlaczego jest to ważne”.
Jednak Riley mówi, że jednym z wyzwań, przed którymi stoją specjaliści ds. cyberbezpieczeństwa, jest fakt, że poziom wiedzy na temat cyberbezpieczeństwa jest stosunkowo niski. Decydenci biznesowi nie są ekspertami w dziedzinie cyberbezpieczeństwa. „Samo powiedzenie „nie” oznacza, że stawiamy bariery” — dodaje.
Riley wykorzystuje opowiadanie historii podczas prowadzenia trudnych rozmów z kolegami biznesowymi na temat zagrożenia cybernetyczne związane z inicjatywami lub projektami, które chcą popchnąć do przodu. Mówi: „Chodzi o to, aby ryzyko było powiązane z osobą, z którą rozmawiasz”.
Biorąc pod uwagę, że w terminologii bezpieczeństwa IT używa się wielu terminów technicznych, przekonanie ludzi oznacza zapewnienie im sposobu na ocenić ryzyko w kontekście, który mogą zrozumieć. „Mam wspaniały przykład z zespołem kierowniczym Sharp”, mówi, gdzie decydenci biznesowi byli w stanie podjąć świadomą decyzję o tym, czy podjąć współpracę z nowym dostawcą sprzętu sieci bezprzewodowej. „To była naprawdę, naprawdę dobra propozycja”, mówi. „Wszyscy byli bardzo przekonani, że to świetny pomysł. Dlatego podjąłem kroki, aby przejrzeć firmę. Musieliśmy zrozumieć, w jaki sposób będą chronić nasze dane”.
Po przeprowadzeniu należytej staranności, Riley mówi, że siedział z zespołem kierowniczym i pytał, kto chciałby być zaangażowany na poziomie zarządu w sponsorowanie dostawcy IT, o którym mowa. „Powiedziałem wtedy, że jest kilka zastrzeżeń. Oni [the wireless equipment supplier] nie dostarczy nam umów o gwarantowanym poziomie usług; nie dadzą nam dyspozycyjności; nie dadzą nam żadnej gwarancji, że ich produkt spełnia nasze minimalne wymagania bezpieczeństwa.”
Riley mówi, że po tej rozmowie nikt nie chciał zostać sponsorem wykonawczym. „Nie powiedziałem „nie”, ale poprowadziłem ich do świadomej decyzji, w przypadku której i tak doszli do takiego wniosku” – dodaje.
Jednym z rosnących obszarów zainteresowania szefów ds. bezpieczeństwa IT jest łańcuch dostaw jako potencjalny punkt awarii i słabość cyberbezpieczeństwa. Riley spodziewa się, że zagrożenia dla łańcuchów dostaw wzrosną wykładniczo w nadchodzących latach. Rozwiązywanie takich ataków wymaga zmiany kultury, co zawsze jest trudne. Mówi: „My jako firma, i każda firma, powinniśmy mieć prawdziwy poziom należytej staranności w odniesieniu do łańcucha dostaw. Musimy jednak przyjąć podejście oparte na ryzyku, ponieważ nie żyjemy w świecie czerni i bieli: żyjemy w szarej strefie tego, co jest bezpieczne, a co nie”. Na tym tle mówi, że liderzy ds. bezpieczeństwa IT muszą upewnić się, że wdrożyli odpowiednie kontrole, aby pomóc chronić firmę.