Construirea unei lumi digitale mai sigure necesită acțiuni pe mai multe fronturi. Inițiative precum Cybersecurity Awareness Month (CSAM - Luna conștientizării securității cibernetice) sunt oportunități excelente de a reaminti publicului larg cele mai bune practici pentru gestionarea parolelor, corecția vulnerabilităților și multe altele. Acest lucru poate ajuta la îngreunarea demersurilor infractorilor cibernetici care vizează consumatorii reprezentând totodată o oportunitate de a aduce riscurile cibernetice în atenția liderilor din afaceri.

În SUA, a existat o creștere trimestrială de 114% a breșelor de date raportate public în T2 2023, stabilind un nou record. În Europa, ENISA, agenția de securitate a UE, a avertizat în 2022 cu privire la creșterea exploatărilor zero-day și a atacurilor de tip ransomware-as-a-service, de inginerie socială sau asupra lanțului de aprovizionare, precum și a tendinței hackers-for-hire. Pregătirea și planul de răspuns sunt în cele din urmă sarcina CISO (Chief information security officer), dar pentru ca acest rol să fie eficient, are nevoie de sprijinul potrivit din partea consiliului de administrație. Acesta este motivul pentru care este atât de important să obțineți implicare și deschidere pentru astfel de proiecte.

Cum convingeți managementul să susțină un sistem de apărare IT mereu actualizat

A existat adesea o diferență de perspectivă și abordare între conducere și departamentul IT ce implementează strategia cibernetică. În linii mari, percepția managementului despre securitatea cibernetică este că este necesar să țină la distanță amenințările cibernetice, dar nu mult mai mult decât atât. Astfel, multe consilii de administrație pot vedea în continuare IT-ul și securitatea cibernetică ca un cost necesar, dar nu un contribuitor la venituri și cu siguranță nu un factor de sprijin pentru afaceri.

Rezultatul final este că, deși Gartner estimează că cheltuielile globale pentru securitate și managementul riscurilor vor crește cu peste 11% în 2023, până la suma totală de 188 de miliarde de dolari, aceste sume s-ar putea să nu fie neapărat alocate cu înțelepciune. Consiliile, în general mult mai conectate la partea financiară, tind să aprobe buget într-o manieră fragmentară și reactivă, cum ar fi în urma unui incident. Acest lucru duce la rezultate slabe și la o acumulare de soluții punctuale care se dovedesc în cele din urmă mai costisitoare, fiind un raport calitate-preț prost.

De fapt, conform unui studiu, doar 39% dintre factorii de decizie în materie de securitate cred că conducerea companiei lor înțelege cu adevărat rolul pe care îl joacă securitatea cibernetică în succesul afacerii. O pondere similară (36%) susține că securitatea este privită doar prin prisma cerințelor de conformitate. Deci, cum pot CISO și colegii lor să colaboreze și să comunice mai bine cu consiliile de administrație pentru a obține acceptarea pe termen lung pentru inițiative strategice de securitate?

Iată șase sugestii:

• Vorbiți un limbaj comun

Primul pas: trebuie să vă faceți înțeles. Asta înseamnă să vă bazați discursul nu pe prezentări tehnice (detalii tehnologice complexe), ci pe gradul de risc real la nivel de business. Acest lucru va facilita engagementul din partea liderilor din consiliului de administrație și obținerea acceptării unei anumite inițiative strategice. Dacă le spuneți doar că un atac ransomware ar putea scoate zeci de servere offline, reacția va fi de indiferență. Dar dacă explicați și că acest lucru ar putea cauza o săptămână de nefuncționare a companiei, la un cost de 400.000 USD pe oră, le veți capta atenția și astfel reacția va fi cert una diferită.

• Determinați riscul și explicați corect relevanța lui

O parte a conversației într-o limbă pe care ambele părți o înțeleg se rezumă la partajarea datelor bazate pe valori care traduc informațiile de securitate cibernetică în măsurători care interesează la nivel financiar consiliul și afacerea. Domeniile de luat în considerare sunt metrici care arată performanța și eficacitatea controalelor de securitate existente – pentru a ilustra unde lucrurile funcționează bine și zonele care necesită îmbunătățiri. Urmărirea acestora în timp va adăuga un impact suplimentar, la fel ca și comparațiile cu puncte de reper din industrie.

• Promovați securitatea prin proiectare și implicit

Potrivit Forumului Economic Mondial (WEF), 43% dintre liderii de afaceri cred că este probabil ca un atac cibernetic să „afecteze material” organizația lor în următorii doi ani. Deși este un lucru pozitiv faptul că ei apreciază gravitatea riscului cibernetic, acesta reflectă, de asemenea, o mentalitate a managementului din ce în ce mai concentrată pe canalizarea resurselor către investiții de zi cu zi, mai degrabă decât spre investiții strategice.

CISO trebuie să-și convingă colegii și superiorii să privească securitatea cibernetică într-un mod mai strategic și să sublinieze că, prin aceasta, vor obține rezultate mai bune. Securitatea adoptată implicit  încă din faza de design  este cea mai bună practică promovată de autoritățile de reglementare GDPR și alții. Aceasta înseamnă că considerentele de securitate trebuie incluse în noile inițiative sau produse de afaceri chiar la început, mai degrabă decât să fie etichetate la sfârșit sau – și mai rău – după un incident.

• Organizați întâlniri și ședințe regulate

Peste jumătate (56%) dintre CISO se întâlnesc acum lunar sau chiar și mai des cu consiliul lor, potrivit WEF. Acesta este o oportunitate periodică excelentă către obținerea acordului consiliului pentru cheltuieli de securitate, mai ales având în vedere viteza cu care evoluează peisajul amenințărilor. Cu toate acestea, trebuie făcut mai mult pentru a promova înțelegerea reciprocă. O modalitate este ca CISO să raporteze direct directorului general, asigurând astfel că acesta din urmă este mai expus la strategia de securitate cibernetică și că conducerea securității obține feedback direct din partea companiei.

• Standardizați programele de securitate cibernetică

Prea multe programe de securitate cibernetică sunt derulate ad-hoc, fiind concentrate doar pe tehnic. În schimb, ar trebui să fie documentate în mod corespunzător, măsurate în raport cu KPI-uri și valori relevante și standardizate într-o structură de sus în jos. Acest lucru va ajuta la consolidarea rolului securității cibernetice în raport cu afacerea dvs.

• Angajați BISO (Business information security officer) 

Ofițerul de securitate a informațiilor de afaceri (BISO) este un rol specific departamental sau al unității de afaceri responsabil de legătura atât cu afacerea, cât și cu echipa de securitate. Procedând astfel, BISO ajută la transformarea strategiei de nivel înalt în pași operaționali practici. Astfel, ei pot crea acea cultură a securității prin proiectare la care ar trebui să aspire fiecare organizație și pot să demonstreze consiliilor sceptice că securitatea ar trebui să fie încorporată în fiecare parte a afacerii.

Concluzie

Potrivit WEF, instabilitatea geopolitică recentă a contribuit la apropierea punctelor de vedere ale CISO și ale consiliului de administrație cu privire la importanța managementului riscului cibernetic. Astăzi, 91% din această comunitate combinată consideră că un eveniment cibernetic catastrofal de anvergură este oarecum probabil în următorii doi ani. Dar mai este ceva de parcurs. Pentru multe organizații, obținerea de angajament și acceptarea unor noi direcții va fi o muncă de luni sau chiar ani, în sala de consiliu. Și, cel mai important, poate necesita o schimbare de mentalitate nu doar din partea liderilor de afaceri, ci și din partea CISO.