Security Zone

Securitatea cibernetică – problemă de business sau IT?

securitatea cibernetică

Ne-am obișnuit deja cu celebra afirmație „COVID-19 a schimbat…”, dar nu știm să fi existat schimbare mai mare decât cea care a survenit în modul în care angajații de pe toată planeta lucrează. Din exterior, migrarea angajaților către lucrul de acasă a arătat destul de simplu: fiecare angajat a fost informat să își ia laptopul sau unitatea și monitorul și să se prezinte la program a doua zi la aceeași oră, însă din propria locuință; detaliile s-au stabilit pe drum. Pentru angajatori, situația a fost diferită și cei care au fost nevoiți să facă cea mai mare mobilizare de forțe nu au fost alții decât echipele IT. Să asiguri securitatea cibernetică peste noapte sute de endpointuri care ies din spațiul sigur al rețelei companiei și se conectează la fel de fel de WI-FI-uri pe care nu le poți controla, atrage cu sine un buget masiv necesar pentru securitate cibernetică. Cheltuiala bugetară majoră apărută din senin în desfășurător a atras atenția conducerii.

Cu ocazia asta, managementul a învățat că trebuie să acorde mai multă atenție unei zone pe care până atunci o gestiona din umbră IT-ul, fără prea mult-tam. Și există și 5 motive majore pentru care problema securității cibernetice ar trebui să-i preocupe mai mult pe cei din conducere decât pe cei din echipa IT, acum că angajații încep să revină la birou. Să vedem de ce.

  1. Răspunsul pentru securitatea cibernetică nu trebuie să fie niciodată NU

Rolul unui CISO este unul complicat. El este întotdeauna la doar un pas distanță de un titlu șocant dintr-un ziar titrat care anunță sonor că organizația lui a devenit cea mai recentă victimă a atacatorilor cibernetici. Din acest motiv, orice mică schimbare care poate disturba echilibrul delicat în care stă siguranța cibernetică și poate lărgi suprafața de risc este privită cu teamă și întâmpinată cu un NU de către CISO.

siguranța cibernetică CISO

În această situație intervine conducerea și cultura organizațională pe care o stabilește în favoarea departamentului de securitate cibernetică. Capacitatea de a schimba un NU categoric într-un „Hai să ne gândim cum facem asta într-un mod sigur” poate fi folosită numai dacă cei din conducere sunt implicați în discuțiile strategice încă de la început, mai degrabă decât să fie informați la final.

Deciziile strategice de securitate cibernetică luate doar de CISO trebuie să rămână în trecut. Acum, interacțiunile regulate dintre CISO și management îi vor conferi acestuia încrederea că aportul lui este valoros și că poate găsi un partener de încredere în consiliul administrativ.

  1. Ce facem cu securitatea fizică?

Cum holurile birourile încep să se umple cu oameni care poartă măști, devine din ce în ce mai complicat de diferențiat între un angajat și o persoană aleatorie care nu ar avea niciun motiv să fie acolo. Dacă conștientizăm această realitate, atunci putem și să presupunem că un hacker poate încerca să profite de protocoalele de securitate care nu au mai fost testate de o perioadă lungă de timp și să se conecteze fizic la un desktop dintr-un colț de birou care stă închis de un an și nu are niciun patch de securitate aplicat recent.

Este un risc destul de mare pe care vi-l asumați, nu-i așa? Este necesar un efort comun din partea echipei de securitate, întreținere și resurse umane să aducă câteva schimbări educaționale și structurale pentru a asigura seiguranța cibernetică și fizică a tuturor angajaților.

siguranța cibernetică

  1. Dar noi nu avem un departament de securitate cibernetică…

Lipsa unui departament nu atrage cu sine și lipsa problemelor pe care aceștia ar trebui să le rezolve. Și firmele mai mici, fără un CISO intern, s-au confruntat cu aceleași probleme când au trecut la modelul de lucru de la distanță, doar că administrarea securității endpointurilor ieșite de rețea a fost realizată de un agent extern.

Rolul de CISO este îndeplinit de o echipă externă de specialiști în securitate cibernetică care comunică în permanență cu responsabilul IT din compania client, și din ce în ce mai mult și cu managementul. Practic, nu contează cine asigură securitatea cibernetică, important este ca cei din conducere să cunoască toate detaliile problemei ca să poată sprijini acest demers.

Dacă din ce în ce mai mulți angajați încep să renunțe la pijamale și se întorc la pantofi cu toc și cămăși, e momentul pentru o mică pregătire la interior, cum e curățenia de primăvară. Recomandăm o abordare globală a securității cibernetice, care să acopere toate aspectele. Începem cu o evaluare de securitate și câteva teste pentru detecția vulnerabilităților. În funcție de rezultate, trecem la actualizarea soluțiilor de securitate sau înlocuirea acestora cu unele potrivite modalității și nevoilor de lucru. Stabilim o relație de lungă durată cu managementul și nicio pandemie nu va mai lua prin surprindere securitatea cibernetică.

  1. Banii și siguranța cibernetică

Pe ce s-au cheltuit banii în perioada de pandemie? Pe securitate cibernetică! Majoritatea bugetului IT s-a dus aici, dar a și fost depășit in cazurile în care acesta era prea mic în general. Siguranța costă mult și managerii sunt dispuși să plătească, însă trebuie să știe exact pe ce se duc banii. Conversațiile sincere, fără filtru și fără termeni tehnici complicați îl salvează pe CISO când face o cheltuială extra.

Un studiu realizat de IDC la început de 2021 pe un eșantion de 1500 de companii din 6 țări din spațiul SEE a arătat că în România comunicarea dintre CISO/ specialiștii externi este destul de precară. Tragem această concluzie din faptul că pentru 36% dintre afaceri bugetul pentru securitatea cibernetică a crescut în ultimii doi ani, pentru 60% este constant și doar pentru 5% a crescut. Doar 36% dintre responsabilii cu securitatea au reușit să expună problema siguranței în pandemie astfel încât să li se aprobe niște sume. Argumentează și ți se va da!

  1. Riscul

Aici e momentul în care citiți titlul și credeți că urmează să vă spunem cât de important este ca un CISO să gestioneze și să reducă riscul. Aceasta este o presupunere falsă. Un CISO joacă un rol important în a evidenția potențialul risc crescut pe care schimbările strategice din organizație le aduc asupra profilului de risc.

Deciziile de securitate nu trebuie să fie decizii tehnice; sunt decizii de business, rezultatul final fiind un profil de risc modificat. Aceste decizii nu pot apărea din eter, în schimb necesită discuții colaborative dintre consiliul de conducere, centrul de operațiuni de securitate și furnizorii de servicii de securitate care oferă îndrumări prețioase de care un CISO are nevoie în aceste vremuri tulburi.

 

Concluzia? Securitatea trebuie asigurată cu orice preț în continuare, odată cu reîntoarcerea angajaților la birouri. Pentru că nu este una bruscă, ci progresivă și în etape, este un moment bun să se aplice noi politici de securitate și să se facă câteva actualizări pe endpointurile care au navigat printre conexiuni nesigure sau securizate pe repede înainte cu un buget limitat. Prețul îl plătește managementul, doar cu condiția să îi prezentați toate faptele așa cum le-am expus noi aici.

Fie că ești un CISO care are doar nevoie de o perspectivă nouă sau un reprezentant IT care are nevoie disperată de o echipă de securitate cibernetică, poate împreună convingem managementul că trebuie să investească ca să fie în siguranță.