Jesteś menadżerem? Także od ciebie zależy cyberbezpieczeństwo firmy

Jakub Bojanowski przez ponad 20 lat kierował działem cybersecurity w firmie Deloitte, specjalizującym się w doradzaniu przedsiębiorcom, jak chronić się przed atakami hakerów. Pisząc książkę „Zdążyć przed hakerem”, chciał pokazać, że kadra menedżerska może aktywnie uczestniczyć w zarządzaniu bezpieczeństwem.

Fragment książki „Zdążyć przed hakerem” Jakuba Bojanowskiego
Śródtytuły pochodzą od redakcji

W rezultacie działalności cyberprzestępców jesteśmy bardziej niż kiedykolwiek wcześniej narażeni na próby oszustwa, wyłudzenia informacji lub środków finansowych czy kradzież tożsamości. Mimo że korzystanie z technologii w sposób bezpieczny ma coraz większe znaczenie, nasze zachowania w internecie (na co często zwracają uwagę socjologowie) można wiązać z tzw. paradoksem prywatności. Internauci głośno deklarują swoje dążenie do zachowania prywatności w sieci, ale w ślad za tą deklaracją nie idą praktyczne działania.

Charakter publikacji dokonywanych przez typowego internautę w mediach społecznościowych (publikowanie zdjęć i informacji o życiu prywatnym) nie ma nic wspólnego z zachowaniem prywatności. Bardzo podobny paradoks (nazwijmy go cyberparadoksem) możemy zaobserwować w odniesieniu do bezpieczeństwa informacji w sferze biznesu.

Deklaracje i praktyka

Firmy i zarządzający nimi menadżerowie głośno deklarują, że zagrożenia z zakresu cyberbezpieczeństwa są jednymi z najważniejszych wyzwań biznesowych, ale przyglądając się działaniom podejmowanym w celu zapobiegania cyberincydentom, możemy zauważyć, że nie zawsze te deklaracje przekładają się na konkretne działania praktyczne. Zapewnienia menadżerów o priorytetowym podejściu do cyberbezpieczeństwa rzadko są odzwierciedlane w tematyce spotkań zarządów lub rad nadzorczych. Nawet wśród liderów rynku, w przypadku których poziom bezpieczeństwa informatycznego jest na odróżniającym ich od innych poziomie, udział menadżerów w zarządzaniu tym obszarem często ogranicza się do powołania szefa ds. bezpieczeństwa informacji (ang. Chief Information Security Officer – CISO) i zdelegowaniu na niego wszystkich decyzji.

Cyberparadoks przejawia się w tym, że zarządy wolą koncentrować się na tradycyjnych zagadnieniach menedżerskich, takich jak finanse, sprzedaż czy działalność operacyjna. Oceniając zarząd, który temat zachowania płynności finansowej spółki w całości zdelegował na szefa działu finansów i nie interesuje się stanem rachunku bankowego, uznalibyśmy go za niedostatecznie wykonujący swoje obowiązki. Analogiczna postawa zarządu w odniesieniu do (zgodnie z deklaracjami – priorytetowego obszaru) cyberbezpieczeństwa nie tylko nie razi, lecz nawet jest praktycznym standardem. Jednym (choć na pewno niejedynym) czynnikiem, który przyczynia do cyberparadoksu, jest bariera komunikacyjna, która utrudnia menadżerom dotarcie do praktycznych informacji na temat tego, w jaki sposób mogą włączyć się w zarządzanie cyberbezpieczeństwem.

Mimo że o cyberbezpieczeństwie mówi się dużo i szeroko, komunikaty, które docierają do typowego menadżera, ciężko jest wykorzystać do zbudowania rzetelnej wiedzy na ten te- mat, tak aby móc przełożyć ją na konkretne działania zarządcze. Media, podejmując tematykę cyberbezpieczeństwa, najczęściej skupiają się na szczególnie spektakularnych incydentach dotyczących największych korporacji lub czołowych instytucji sektora publicznego. Incydenty nagłaśniane w mediach mogą na tyle przerażać skalą swoich skutków, że potencjalny atak hakerów, jako rzeczywiste zagrożenie, jest przez menadżerów niejako wypierany (podobne wyparcie zachodzi w odniesieniu do katastrof naturalnych – w praktyce nikt nie wierzy, że jego dom lub miejsce pracy będzie zniszczone w wyniku pożaru lub powodzi).

Bariery komunikacyjne

W przekazie medialnym w dalszym ciągu umyka fakt, że różne formy cyberataków są obecnie coraz bardziej powszechne i dotyczą praktycznie każdego, choć nie zawsze wiążą się z incydentami na ogromną skalę. Do zainteresowania zarządzających instytucjami tematyką cyberbezpieczeństwa nie przyczyniają się także eksperci techniczni, którzy nie tylko posługują się hermetycznym i specjalistycznym żargonem, lecz także zazwyczaj koncentrują uwagę na zagadnieniach technicznych związanych z zabezpieczaniem poszczególnych systemów.

Analizując dyskusje środowiska specjalistów na temat znanych cyberincydentów, widzimy, że dominującym tematem jest sposób realizacji określonego cyberataku, a nie skutków, jakie wywołał on dla działalności instytucji będącej jego ofiarą, czy reakcji na ten incydent. Rezultatem bariery komunikacyjnej, której doświadczają menadżerowie (w większości specjaliści od finansów, sprzedaży czy produkcji, a nie technologii), jest decyzja o pozostawieniu zagadnień cyberbezpieczeństwa jako „domeny wyłącz- nie dla fachowców”.

Szefowie, którzy nie czują się komfortowo, podejmując dyskusję na tematy techniczne z fachowcami i bojąc się zarzutu braku kompetencji, pozostawiają specjalistom od bezpieczeństwa szeroką (szerszą niż w innych obszarach zarządzania) autonomię działania. W organizacjach, gdzie na stanowisko CISO powołano osobę, która ma kompetencje i możliwości organizacyjne do samodzielnego podejmowania decyzji, taki podział zadań niekoniecznie musi być problemem, ale w większości instytucji i w dłuższej perspektywie czasu rozwiązanie takie prowadzi do pogłębienia cyberparadoksu.

W trakcie swojej ponaddwudziestoletniej kariery zawodowej jako doradca zajmujący się bezpieczeństwem informatycznym miałem okazję współpracować zarówno z ekspertami od cyberbezpieczeństwa, jak i ich przełożonymi – członkami zarządów firm o różnej wielkości, reprezentujących prawie wszystkie sektory gospodarki. Moje doświadczenia wskazują, że bariera informacyjna stojąca u podstaw cyberparadoksu jest możliwa do przełamania i że o wielu zagadnieniach z obszaru cyberbezpieczeństwa możemy dyskutować, bazując na swoich ogólnych doświadczeniach w zarządzaniu, nawet jeżeli nie jesteśmy ekspertami technicznymi. Ogólna wiedza menedżerska i doświadczenie zawodowe zarządzających stanowią doskonałą podstawę do tego, aby obszar bezpieczeństwa informacji traktować na równi z innymi obszarami biznesowymi. A podstawy wiedzy technicznej leżące u fundamentów cyberbezpieczeństwa nie są tak trudne, jak to się powszechnie uważa.