Ne-am obișnuit deja cu celebra afirmație „COVID-19 a schimbat…”. Dar nu știm să fi existat schimbare mai mare decât cea care a survenit în modul în care angajații lucrează. Migrarea angajaților către lucrul de acasă a arătat destul de simplu: fiecare angajat a fost informat să își ia laptopul și să se prezinte la program a doua zi din propria locuință. Pentru angajatori, situația a fost diferită. Dar cei care au facut cea mai mare mobilizare de forțe au fost echipele IT. Să asiguri securitatea cibernetică la sute de endpointuri care ies din spațiul sigur al rețelei companiei și se conectează la fel de fel de WI-FI-uri pe care nu le poți controla. Acest lucru atrage cu sine un buget masiv alocat securității cibernetice. Cheltuiala bugetară majoră apărută din senin a atras atenția conducerii.
Cu ocazia asta, managementul a învățat că trebuie să acorde mai multă atenție unei zone pe care până atunci o gestiona IT-ul. Există 5 motive majore pentru care problema securității cibernetice ar trebui să-i preocupe mai mult pe cei din conducere. Să vedem de ce.
-
Răspunsul pentru securitatea cibernetică nu trebuie să fie niciodată NU
Rolul unui CISO este unul complicat. El este întotdeauna la doar un pas distanță de un titlu șocant dintr-un ziar care anunță că organizația lui a devenit cea mai recentă victimă a atacatorilor cibernetice. Din acest motiv, orice mică schimbare care poate disturba echilibrul delicat în care stă siguranța cibernetică este privită cu teamă.
Siguranța cibernetică CISO
În această situație intervine conducerea și cultura organizațională pe care o stabilește în favoarea departamentului de securitate cibernetică. Capacitatea de a schimba un NU categoric într-un „Hai să ne gândim cum facem asta într-un mod sigur” poate fi folosită numai dacă cei din conducere sunt implicați în discuțiile strategice încă de la început.
Strategiile de securitate cibernetică luate doar de CISO trebuie să rămână în trecut. Acum, interacțiunile regulate dintre CISO și management îi vor conferi acestuia încrederea că aportul lui este valoros.
-
Ce facem cu securitatea fizică?
Cum holurile birourilor încep să se umple cu oameni care poartă măști, devine din ce în ce mai complicat de diferențiat un angajat de o persoană care nu are niciun motiv să fie acolo. Dacă conștientizăm aceast aspect, atunci putem si să presupunem că un hacker poate încerca să profite de protocoalele de securitate care nu au mai fost testate de o perioadă lungă de timp și să se conecteze fizic la un desktop dintr-un colț de birou. Acest desktop fiind închis de un an și nu are niciun patch de securitate aplicat recent.
Este un risc destul de mare pe care vi-l asumați, nu-i așa? Este necesar un efort comun din partea echipei de securitate, întreținere și resurse umane să aducă câteva schimbări pentru a facilita siguranța cibernetică.
Siguranța cibernetică
-
Dar noi nu avem un departament de securitate cibernetică…
Lipsa unui departament nu atrage cu sine și lipsa problemelor pe care aceștia ar trebui să le rezolve. Firmele mici, fără un CISO intern, s-au confruntat cu aceleași probleme când au trecut la modelul de lucru de la distanță. Doar că administrarea securității endpointurilor ieșite de rețea a fost realizată de un agent extern.
Rolul de CISO este îndeplinit de o echipă externă de specialiști în securitate cibernetică care comunică în permanență cu responsabilul IT din compania client. Nu contează cine asigură securitatea cibernetică, important este ca cei din conducere să cunoască toate detaliile problemei ca să sprijine demersul.
Recomandăm o abordare globală a securității cibernetice, care să acopere toate aspectele. Începem cu o evaluare de securitate și câteva teste pentru detecția vulnerabilităților. În funcție de rezultate, trecem la actualizarea soluțiilor de securitate sau înlocuirea acestora cu unele potrivite. Stabilim o relație de lungă durată cu managementul și nimic nu va mai lua prin surprindere securitatea cibernetică.
-
Banii și siguranța cibernetică
Pe ce s-au cheltuit banii în perioada de pandemie? Pe securitate cibernetică! Majoritatea bugetului IT s-a dus aici, dar a și fost depășit in cazurile în care acesta era prea mic. Siguranța costă mult și managerii sunt dispuși să plătească. Insă trebuie să știe exact pe ce se duc banii. Conversațiile sincere și fără termeni tehnici complicați îl salvează pe CISO când face o cheltuială extra.
Un studiu realizat de IDC la început de 2021 pe un eșantion de 1500 de companii din 6 țări din spațiul SEE a arătat că în România comunicarea dintre CISO/ specialiștii externi este precară. Tragem această concluzie din faptul că pentru 36% dintre afaceri bugetul pentru securitatea cibernetică a crescut în ultimii doi ani, pentru 60% este constant și doar pentru 5% a crescut. Doar 36% dintre responsabilii cu securitatea au reușit să expună problema siguranței în pandemie astfel încât să li se aprobe niște sume. Argumentează și ți se va da!
-
Riscul
Aici e momentul în care citiți titlul și credeți că urmează să vă spunem cât de important este ca un CISO să gestioneze și să reducă riscul. Aceasta este o presupunere falsă. Un CISO joacă un rol important în a evidenția potențialul risc crescut pe care schimbările strategice din organizație le aduc asupra profilului de risc.
Deciziile de securitate nu trebuie sa fie decizii tehnice; sunt decizii de business. Aceste decizii nu pot apărea din eter. Necesită discuții colaborative intre consiliul de conducere, centrul de operațiuni de securitate și furnizorii de servicii de securitate. Informații de care un CISO are nevoie în aceste vremuri tulburi.
Concluzia? Securitatea trebuie asigurată cu orice preț în continuare. Pentru că nu este una bruscă, ci progresivă și în etape, este un moment bun să se aplice noi politici de securitate și să se facă câteva actualizări pe endpointurile care au navigat printre conexiuni nesigure. Prețul îl plătește managementul, doar cu condiția să îi prezentați toate faptele așa cum le-am expus noi aici.
Fie că ești un CISO care are doar nevoie de o perspectivă nouă sau un reprezentant IT care are nevoie disperată de o echipă de securitate cibernetică, poate împreună convingem managementul că trebuie să investească ca să fie în siguranță.