Cei aflați la conducerea companiilor trebuie să realizeze cât de mare este riscul cibernetic, să transforme conștientizarea în acțiune și să facă din securitate o prioritate.
Trăim vremuri tensionate pentru mulți lideri de business. Ratele dobânzilor în creștere, tensiunile geopolitice, perturbările lanțului de aprovizionare și schimbările bruște ale politicilor comerciale au creat un nou climat de incertitudine. În acest context, este de înțeles că amână investițiile și caută zone în care să-și reducă costurile. Există mai multe motive pentru care securitatea cibernetică nu ar trebui să fie printre acestea.
Ca responsabil IT sau de securitate, știți deja de ce. Dar știe și directorul dvs. executiv (CEO) sau consiliul de administrație (CA)? Cercetările arată că doar 29% dintre CISO (Chief Information Security Officers) cred că dispun de un buget suficient pentru a-și atinge obiectivele de securitate. Cu toate acestea, 41% dintre membrii CA consideră că bugetele sunt adecvate. Dacă un astfel de decalaj există și în organizația dvs., este momentul să aduceți argumente mai solide în favoarea securității cibernetice.
IMM-urile sunt încă reticente
Securitatea cibernetică este, fără îndoială, mai bine înțeleasă și apreciată la nivel de management decât în trecut. Totuși, încă este privită ca un cost, nu ca o necesitate strategică, mai ales de către IMM-uri. Potrivit Global Technology Industry Association (GTIA), aproape jumătate (46%) dintre întreprinderile mici și mijlocii descriu domeniul securității cibernetice ca având doar o „importanță moderată”. Alți 12% dintre respondenții din rândul IMM-urilor recunosc că se află încă în faza tactică/reactivă. Cu alte cuvinte, își petrec timpul „stingând incendii”, în loc să investească timp și bani din timp pentru a preveni izbucnirea acestora.
Există două moduri de a schimba o astfel de mentalitate. Mai întâi, explicați mai clar cum securitatea cibernetică poate ajuta CA să prevină riscurile de business potențial critice. Apoi, argumentați mai ferm că securitatea cibernetică este un factor care stimulează afacerea, nu doar o măsură de protecție.
Cât costă compania o strategie de securitate cibernetică nepotrivită
Vestea bună este că nu ducem lipsă de studii de caz pe care le-ați putea folosi pentru a convinge CA cu privire la costul potențial al unei investiții precare în securitate cibernetică:
– M&S estimează o pierdere de profit operațional de 300 de milioane de lire sterline în urma unui atac ransomware recent, care a forțat oprirea sistemelor sale de comerț electronic timp de câteva săptămâni.
– UnitedHealth Group estimează costul unui atac ransomware asupra Change Healthcare la aproape $2,9 miliarde în 2024.
– National Public Data, compania specializată în verificarea antecedentelor, a fost nevoită să declare falimentul în urma unei breșe de securitate din 2024 care a expus aproape trei miliarde de înregistrări.
O altă sursă utilă este raportul IBM „Cost of a Data Breach”, care nu doar că prezintă costul mediu al unei breșe de securitate (4,4 milioane de dolari), dar arată și cât de mult pot reduce suma anumite investiții în tehnologie sau strategii de securitate cibernetică. Concluzia este clară: cu cât atacatorii rămân mai mult timp în rețeaua dvs., cu atât costurile finale pot fi mai mari. Prin urmare, soluții precum SIEM, SOAR și Threat Intelligence se află printre cele mai eficiente în reducerea costurilor. Și mai important, raportul menționează inițiative strategice precum integrarea DevSecOps, numirea unui CISO și implicarea CA în gestionarea securității.
Sperăm că acest tip de informații poate începe să mute conversația de la cheltuielile reactive către dezvoltarea unei culturi mai bine gândite, de tip „securitate prin proiectare” (security-by-design), în cadrul organizației dvs.
De la o cheltuială în plus la factor de creștere
Dacă riscul de prejudiciu financiar și de reputație nu este suficient pentru a schimba percepția asupra securității cibernetice în organizația dvs., poate că argumentul conformității va contribui la luarea unei decizii în această privință.
În UE, reglementări precum NIS2 și DORA impun acum ca securitatea cibernetică să fie tratată ca un program continuu de gestionare a riscurilor, conceput pentru a consolida reziliența afacerii. Conducerea de nivel superior trebuie să definească, să aprobe și să supravegheze direct aceste programe și să urmeze o instruire obligatorie, astfel încât membrii să înțeleagă riscurile și să ia decizii informate. Ulterior, pot fi trași personal la răspundere pentru lipsa de implementare.
Totuși, nu toate IMM-urile vor fi vizate de reglementări progresive. Așadar, cum îi convingeți pe directorii executivi care nu cred că organizația lor este suficient de mare pentru a fi victima unei breșe, că o securitate „suficient de bună” nu este chiar bună? Faceți apel la instinctele lor de business. În acest sens, există argumente solide care susțin că o strategie eficientă de securitate cibernetică ar putea:
– Ajuta la protejarea proprietății intelectuale (IP) și a diferențierii competitive, aspect deosebit de important în anumite sectoare, cum ar fi cel al producției, al tehnologiei și cel media.
– Permite extinderea pe noi piețe unde se pot aplica reglementări riguroase, cum ar fi UE sau unele state americane (de exemplu, legea CCPA privind protecția datelor din California).
– Proteja transformarea digitală. Dacă organizația dvs. suferă un atac cibernetic critic, acesta ar putea opri proiecte, deturna resurse, submina încrederea partenerilor și schimba prioritățile de business.
– Ajuta la fidelizarea clienților și la creșterea profiturilor prin lansarea de produse inovatoare pe piață. Toate companiile sunt astăzi, într-o anumită măsură, companii de software. Dar dacă lansați un produs nesigur, acesta poate vă distruge reputația și încrederea clienților.
Mesajul și mesagerul
Așadar, aveți ideile potrivite, dar consiliul tot nu ascultă. Care ar putea fi problema? Vina poate aparține ambelor părți. Pe de o parte, liderii de business sunt adesea predispuși în virtutea inerției să privească securitatea cibernetică drept o „problemă IT”, separată de activitatea esențială de conducere a organizației. Pe de altă parte, uneori chiar CISO-ii își pot submina cauza, nereușind să vorbească limba mediului de afaceri.
Pentru a depăși această provocare, luați în considerare:
– Să prezentați securitatea cibernetică drept risc de business: renunțați la limbajul tehnic și concentrați-vă pe impactul diferitelor scenarii asupra afacerii.
– Să folosiți indicatori aliniați la obiectivele financiare și de afaceri, în locul celor centrați exclusiv pe securitate. Studiul IBM ar putea fi util aici, la fel ca rapoartele privind Total Economic Impact pentru soluțiile dorite.
– Să folosiți exemple reale de breșe și costuri implicate (precum cele menționate mai sus) atunci când încercați să convingeți CA să aprobe investiții specifice.
– Să încadrați postura de securitate a organizației dvs. în context. Cu alte cuvinte, folosiți informații despre investițiile unor companii similare, de ce și ce rezultate au obținut. Îi va ajuta pe cei din conducere să înțeleagă de ce ar putea rămâne în urmă compania.
– Să raportați frecvent, dar concis către CA. Aceștia nu vor să fie copleșiți de date, așa că păstrați prezentările scurte și clare pentru a le capta atenția. Totuși, mediul amenințărilor evoluează rapid, ceea ce face ca actualizările regulate să fie esențiale.
– Dezvoltați relații personale cu membrii CA și/sau cu directorii executivi. Este întotdeauna util să aveți un aliat în poziții de decizie.
Cele mai reziliente companii sunt cele care trec de la securitatea cibernetică văzută drept cost operațional la considerarea ei ca adaos de valoare pe termen lung. În cele din urmă, este mult mai ieftin să integrați securitatea încă din faza de design (security by design) a noilor proiecte și produse, decât să o adăugați ulterior, după ce apar probleme. Dvs. știți deja acest lucru. Acum, sarcina este să convingeți consiliul de administrație.
Lasa un comentariu