Dział bezpieczeństwa cybernetycznego to nie zespół back-office, którego nigdy nie widać ani nie słychać. Aby naprawdę chronić firmę, bezpieczeństwo cybernetyczne dotyka każdego zakątka firmy i zaczyna się od góry.
Na ISACA wirtualna konferencja, która odbyła się 22 lutego 2024 r., poprowadziłem sesję na temat tego, w jaki sposób CISO mogą „zaatakować sposób myślenia zarządu” lepsze dostosowanie bezpieczeństwa cybernetycznego do zarządzania. Bez fundamentalnego poparcia zarządu firmy są narażone na cyberataki o niszczycielskich konsekwencjach. Jeśli bezpieczeństwo cybernetyczne nie będzie priorytetem, zespołom ds. cyberbezpieczeństwa przydzielonych zostanie mniej zasobów, przez co będą one słabo zaludnione i przeciągnięte w czasie. Ta słabsza ogólna ochrona otwiera z kolei obszar ataku dla cyberprzestępców – wielu hakerów nie chce nawet dać się poznać, a raczej infiltruje system i wysysa dane niezauważone przez lata. Mniejsze zasoby oznaczają, że zespoły cybernetyczne są mniej proaktywne i bardziej reaktywne, podczas gdy kluczowym elementem sukcesu jest być o krok przed atakującymi.
Zarządy nie ponoszą odpowiedzialności w przypadku wystąpienia naruszenia; są pociągani do odpowiedzialności, jeśli nie zadają pytań lub nie rozumieją lub nie sprawdzają odpowiedzi. Dlatego też pierwszą misją CISO musi być zapewnienie zadawania właściwych pytań.
Dąż do przejrzystości w kwestii samego bezpieczeństwa cybernetycznego
Organizacje muszą jasno określić swoją definicję cyberbezpieczeństwa. Wraz z ewolucją technologii zmieniają się również terminy, których używamy i jak je rozumiemy, np. gdy „bezpieczeństwo IT” powoli stało się „bezpieczeństwem informacji”, a następnie „bezpieczeństwem cybernetycznym”, a obecnie zostało ujęte w szerszą wizję „zaufania”. Członkowie zarządu muszą raczej rozumieć wszystkie obszary działalności firmy oraz wpływ możliwości i zagrożeń cybernetycznych, a nie tylko posiadać wiedzę na temat jednego konkretnego obszaru. Bez tego ludzie są skłonni do domniemań, nie rozumiejąc właściwie, co mają na myśli. Jeśli bezpieczeństwo cybernetyczne nie jest rozumiane na najwyższym poziomie, może zostać pozbawione priorytetów lub błędnie zinterpretowane. Zadaniem CISO jest przełożenie kwestii bezpieczeństwa cybernetycznego na warunki biznesowe, dzięki którym kwestia staje się znana, zrozumiała i namacalna dla członków zarządu.
Zapewnij członkom zarządu swobodę zadawania pytań, nawet jeśli nie znają odpowiedzi
Zarządy nie „robią” – „kierują”. Pytania zadawane przez członków zarządu mają istotne znaczenie dla firmy i nie powinni oni bać się cyberbezpieczeństwa, ponieważ nie mają właściwych odpowiedzi lub rozwiązań. Nie oczekuje się od nich tego. Tak długo, jak zarząd będzie zadawał właściwe pytania, eksperci ds. cyberbezpieczeństwa będą znali odpowiedzi – kluczem jest ciekawość i zagłębianie się w kwestie „dlaczego” i „co”, a nie „jak”. Jeśli te problemy zostaną rozwiązane, firma będzie w najlepszej sytuacji.
Członkowie zarządu dbają o nadzór, ryzyko i kulturę organizacji i muszą oddzielić zarządzanie od obowiązków zarządczych. Cyberbezpieczeństwo nie jest nowym obowiązkiem zarządu, to temat, który trzeba brać pod uwagę podczas wykonywania podstawowych obowiązków.
Na przykład zarządy muszą stworzyć warunki, które pozwolą przedsiębiorstwu odnieść sukces. Z tego powodu mają obowiązek dochowania należytej staranności w celu zapewnienia odpowiedniego zarządzania bezpieczeństwem cybernetycznym. Muszą także zapobiegać stratom i łagodzić warunki, a w związku z tym zapewnić zarządzanie ryzykiem cybernetycznym zgodnie z zatwierdzonym apetytem na ryzyko. Zarządy muszą umożliwiać wytyczenie strategicznego kierunku, który przyniesie wartość, dlatego należy wdrożyć zasady i procedury zarządzania ryzykiem cybernetycznym. Wreszcie zarządy nie powinny ingerować w decyzje zarządcze ani kwestie operacyjne, w związku z czym muszą skupić się na pytaniach związanych z cyberprzestrzenią, które mogą zadać kierownictwu.
Pokaż, że w sercu cyberbezpieczeństwa znajdują się ludzie, a nie technologia
Jeśli chodzi o cyberbezpieczeństwo, ważne jest, aby myśleć jak wróg i bronić się za pomocą tej samej technologii, której używają hakerzy. W epoce cyfrowej technologia uległa demokratyzacji i jest szeroko dostępna, dlatego inwestycje w cyberbezpieczeństwo muszą dotyczyć zarówno technologii, jak i procesów i ludzi. Inwestycje cybernetyczne nigdy nie powinny być wyborem między technologią a ludźmi, ale jednym i drugim – nie chodzi o to, aby ludzie bronili się przed technologią, ale o wykorzystywanie technologii do obrony przed nikczemnym wykorzystaniem jej przez innych.
Podsumowując, odpowiedzialność za bezpieczeństwo cybernetyczne ma charakter przekrojowy – skrzyżowanie codziennych obowiązków zarządu z jego szerszymi zagadnieniami dotyczącymi nadzoru biznesowego, kultury i ryzyka. Zarząd może nie ponosić bezpośredniej odpowiedzialności w przypadku wystąpienia naruszenia. Ponoszą jednak odpowiedzialność, jeśli nie zadają właściwych pytań lub nie poświęcają czasu na właściwe zrozumienie, czego się od nich oczekuje.
Bruno Soares jest prezesem lizbońskiego oddziału ISACA.