Cyberbezpieczeństwo: jak utrzymać właściwy kurs podczas szalejącej burzy

W ciągu ostatniego roku każda firma musiała dostosować się do sytuacji związanej z pandemią i zmianą systemu pracy. Niektóre rozwiązania jeszcze niedawno wydawały się niemożliwe. A jednak nowoczesne przedsiębiorstwa szybko wprowadziły technologie ułatwiające kontakt z klientem i sprzedaż oraz narzędzia oparte na chmurze, które umożliwiały pracę zdalną oraz utrzymywały dotychczasowe relacje w tym zakresie.

Za szybkość zmian przychodzi jednak zapłacić wysoką cenę. Wiele firm nie wzięło pod uwagę bezpieczeństwa cybernetycznego podczas podejmowania decyzji dotyczących funkcjonowania organizacji. Stało się tak z powodu niedopatrzenia oraz wymaganego przez sytuację i dynamizm pandemii pośpiechu. W rezultacie stały się podatne na ataki, które cały czas stanowią dla nich zagrożenie.

Szybka transformacja to nowe zagrożenia

W chwili, kiedy powstaje ten tekst, dyrektorzy do spraw bezpieczeństwa i ich współpracownicy mogą jeszcze nie mieć pełnej oceny długoterminowego znaczenia przyjętych rozwiązań, które będą miały wpływ na skuteczność ochrony oraz bezpieczeństwo. Tymczasem pracownicy innych działów cały czas będą z nich korzystać nie bacząc na związane z tym ryzyko.

“Nagły kryzys i jego charakter sprawiły, że przeoczono kwestie bezpieczeństwa nawet wtedy, kiedy otwierano systemy, które nigdy przedtem nie były dostępne” - twierdzi Richard Watson, EY Asia-Pacific Cybersecurity Risk Consulting Leader. - “Nie wszystkie organizacje zdają sobie sprawę z tego, że muszą rozważyć podjęte kroki i zająć się tym, czego nie zrobiono wcześniej”. 

Ryzyko związane z kontynuowaniem działań bez rozwiązania narastających problemów jest jednak bardzo realne i coraz bardziej naglące. Ponad trzech na czterech (77%) respondentów tegorocznego badania GISS ostrzega, że w ciągu ostatnich 12 miesięcy zaobserwowało wzrost liczby ataków takich jak ransomware. Dla porównania: tylko 59% respondentów zaobserwowało ich wzrost w ciągu poprzedniego roku.

Mimo to CISO wciąż muszą podejmować starania, by ich sugestie były słyszane. Większość respondentów (56%) przyznaje, że podczas podejmowania strategicznych decyzji dotyczących działania przedsiębiorstwa, nikt się z nimi nie konsultuje lub robi to zbyt późno. Chociaż część uczestników badania przyznaje, że podobne zdarzenia występują “niezbyt często” to należy pamiętać, że wystarczy jedna błędna decyzja, by cyberprzestępcy wykorzystali lukę istniejącą w zabezpieczeniach.

Wynikiem tej sytuacji jest niepokój o to, co przyniesie przyszłość. “Dążymy do tego, by bezpieczeństwo umożliwiało rozwój, - ale nadal istnieją organizacje, w których konsultacje z działem bezpieczeństwa odbywają się tuż przed oddaniem gotowego projektu” - mówi Richard Watson.

W najgorszym przypadku ostrzeżenia CISO są nawet ignorowane. W tegorocznym badaniu GISS 43% z nich prezentuje obawy związane ze zdolnością do zarządzania cyberzagrożeniami. Na szczęście nie zawsze musi tak być.

TikTok - bezpieczeństwo wbudowane w szybki rozwój

Roland Cloutier, Global Chief Security Officer (CSO) w platformie TikTok jest zaangażowany w podejmowanie strategicznych decyzji podczas cyklicznego powtarzanego procesu rozwoju, który ma miejsce tydzień po tygodniu. “Może to być zarówno strategia wzrostu liczby użytkowników, jak i nowy rodzaj monetyzacji lub produkt muzyczny" - mówi. - “Skupiam się na rozumieniu skutków istniejących i nieznanych jeszcze zagrożeń, a następnie, podczas tworzenia produktu, dodaję do niego szybkość, bezpieczeństwo i ochronę prywatności. Następnie przygotowuję organizację na napływ nowych informacji. To właśnie sprawia, że ta praca przynosi tyle satysfakcji”.

Cyberprzestępcy osiągnęli nowy próg dojrzałości

W ciągu ostatniego roku podmioty odpowiedzialne za zagrożenia w coraz większym stopniu przyjmowały nowe strategie. Odbywało się to zarówno poprzez kierowanie do firm kampanii phishingowych zawierających złośliwe oprogramowanie. Jest ono przesyłane przez pracowników lub poprzez osadzanie backdoora, który umożliwia im późniejsze przełamanie zabezpieczeń komercyjnego oprogramowania już po tym, jak zostało ono zamówione przez klientów.

Stawka nie mogła być wyższa. Włamywacze, którzy zablokowali działanie rurociągu US Colonial Pipeline w maju 2021 roku, stworzyli bardzo poważne zagrożenie dla ważnych organizacji w całej gospodarce i społeczeństwie. Do ataku wykorzystali zakupione w modelu ransomware-as-a-service złośliwe oprogramowanie, które wielu przestępców może po prostu kupić na czarnym rynku. W tym samym czasie osoby, które przez kilka miesięcy w 2020 roku infiltrowały SolarWinds przeprowadziły ataki poprzez skomplikowany łańcuch dostawców. Scenariusz ten zaskoczył zespoły ds. bezpieczeństwa.

Atakujący mają na celowniku coraz więcej zagrożonych obszarów i ich taktyka jest coraz bardziej nieprzewidywalna. Zaledwie jeden na trzech respondentów jest przekonany o tym, że ma zdolność do uszczelnienia łańcucha dostaw i uodpornienia go na takie ataki. To podkreśla też znaczenie ścisłej współpracy z  z działami zaopatrzenia oraz operacji. Mniej niż połowa (47%) badanych twierdzi, że rozumie i potrafi przewidzieć strategie atakujących. Świadczą o tym incydenty, które związane są z infiltracją oprogramowania przed ich sprzedażą zainteresowanych nimi klientów. 

Chociaż poczyniono znaczne postępy w reagowaniu na skutki pandemii Covid-19, potrzeba szybkiej transformacji wcale nie zniknęła. Obecny kryzys będzie trwał i przechodził kilka etapów, zanim firmy wrócą do tzw. “normalności” - jakakolwiek by ona nie była.

Pracodawcy starają się wspierać hybrydowe modele pracy, jednocześnie wspomagając wzrost gospodarki odradzającej się po pandemicznym kryzysie. Ostatnie badanie EY, Work Reimagined 2021, wykazało, że 54% respondentów rozważyłoby rezygnację z pracy, gdyby pracodawca odmówił im możliwości wykonywania jej  w sposób elastyczny. CISO powinni być również świadomi, że połowa pracowników (48%) chce, by inwestowano w nowe technologie wykorzystywane do  pracy z domu. Jeśli firmy nie będą mogły zapewnić bezpieczeństwa już w fazie projektowania, dla cyberprzestępców otworzą się kolejne możliwości do przeprowadzenia ataku.

Wszystkie oczy zwrócone są na CISO

CISO znajdują się obecnie w punkcie zwrotnym. Według EY CEO Imperative Study 2021, pełnią oni strategiczne funkcje co umożliwia osiągnięcie wzrostu w firmie. Warunkiem jednak będzie wsparcie przez nich transformacji już na etapie planowania, czyli wtedy, kiedy 68% dyrektorów generalnych planuje duże inwestycje w dane i technologię na kolejne 12 miesięcy. Jeśli nie będą aktywni i ich pozycja podczas posiedzeń zarządu spadnie, zagrożenie cyberatakiem może wzrosnąć. 

Zespół kierowniczy wyższego szczebla już dziś jest zaniepokojony tym, czy firmy mają zdolność do ochrony organizacji przed cyberatakami. Ponad połowa (55%) respondentów twierdzi, że bezpieczeństwo z tym związane wymaga obecnie o wiele większej uwagi niż miało to miejsce kiedykolwiek wcześniej. Obecnie więcej (39%) organizacji umieszcza kwestię bezpieczeństwa cybernetycznego na agendzie zarządu raz na kwartał, co stanowi wzrost intensywności zajmowania się tą kwestią w porównaniu do 29% zadeklarowanych w tym zakresie w 2020 roku.

A jednak w badaniu EY Global Board Risk Study 2021, zaledwie 9% zarządów zadeklarowało, że są przekonane, iż można ochronić organizację przed poważnymi cyberatakami po tym jak przedstawiono im czynniki ryzyka i środki zaradcze z tym związane. W zeszłym roku odsetek ten wynosił 20%. 

Szansa w kryzysie

CISO, którzy potrafią ograniczyć ryzyko jednocześnie umożliwiając rozwój swoich firm i wdrażając ambitne technologie mają przed sobą świetlaną przyszłość. Większość z nich zdaje sobie z tego sprawę. 57% respondentów badania uważa, że kryzys stanowi okazję dla poprawy cyberbezpieczeństwa i wzmocni jego znaczenie.

Dave Burg namawia CISO, by wykorzystali moment, w którym ich znaczenie wzrasta. "Znam wielu specjalistów ds. bezpieczeństwa, którzy byli postrzegani jako gwiazdy, a my chcemy, aby zostali oni wysunięci na pierwszy plan tworzenia innowacji w firmie" - mówi.

Czy zatem dyrektorzy ds. bezpieczeństwa są gotowi skorzystać z możliwości jakie daje nowa, sprzyjająca rozwojowi firm rola? Czy są w stanie zapewnić przedsiębiorstwu odporność przed kolejnym kryzysem, który zakłóci  działalność firmy? Odpowiedź musi brzmieć “tak”, ale tylko wtedy, kiedy będą oni w stanie zająć się jednocześnie trzema krytycznymi i powiązanymi wzajemnie wyzwaniami, które mogą pojawić się na ich drodze.

1. Organizacja bezpieczeństwa cybernetycznego jest poważnie niedofinansowana i to w czasie, gdy potrzebuje pieniędzy i elastycznego wsparcia bardziej niż kiedykolwiek wcześniej.
2. Rozdrobnienie przepisów prawnych jest coraz większym utrudnieniem, które zwiększa ilość zadań i problemów związanych z posiadanymi zasobami.
3. Relacje pomiędzy pionem bezpieczeństwa cybernetycznego, a innymi działami, ulegają pogorszeniu i dzieje się to akurat w momencie, kiedy to właśnie silniejsze powiązania są najbardziej potrzebne.
   

1.    Dzisiaj organizacja zajmująca się bezpieczeństwem cybernetycznym jest poważnie niedofinansowana.

Pomimo rosnącego zagrożenia atakami cybernetycznymi, budżet na bezpieczeństwo cybernetyczne jest niski w porównaniu do ogólnych wydatków na IT. Wprowadzanie zmian w budżecie jest jednak zbyt powolne. 

Budżety nie są zsynchronizowane z potrzebami

Tworząc niniejszy raport, EY przeprowadził wywiady jakościowe z szefami ds. cyberbezpieczeństwa oraz osobno przebadał 1010 starszych specjalistów z tej dziedziny. Respondenci badania w zeszłym roku mieli średni budżet w wysokości około 11 miliardów dolarów, ale tylko 5,28 miliona dolarów, czyli 0,05% całego budżetu wydawali na narzędzia związane z cyberbezpieczeństwem.

Obraz tej sytuacji różni się jednak w zależności od sektora. Jeden biegun to bardzo regulowany sektor usług finansowych oraz technologii, mediów, rozrywki i telekomunikacji. Tutaj przeciętny respondent GISS wydał na cyberbezpieczeńswo w zeszłym roku odpowiednio 9,43 mln USD i 9,62 mln USD. Na drugim biegunie znalazły się firmy energetyczne, które wydały zaledwie 2,17 mln dolarów. Widoczne są również różnice w zależności od wielkości firmy, przy czym najmniejsze przedsiębiorstwa wydają na ten cel relatywnie więcej.

Jedna z kluczowych kwestii będąca przedmiotem badania dotyczy sposobu planowania i alokacji budżetu. Około sześciu na dziesięciu (61%) respondentów twierdzi, że ich budżet na bezpieczeństwo cybernetyczne stanowi część większych wydatków korporacyjnych, takich jak IT, a 19% , że jest on stały i określany cyklicznie. Ponad jedna trzecia (37%) uważa, że koszty z tym związane są dzielone w całej organizacji, ale tylko 15% uzależnia je od wykorzystania istniejących zasobów.

Innymi słowy, bardzo niewiele organizacji definiuje swoje budżety na bezpieczeństwo cybernetyczne jako zmienny i warunkowy koszt prowadzenia działalności. W rezultacie CISO mogą mieć trudności z podejmowaniem skutecznych działań w kontekście konkretnych i szybko zmieniających się inicjatyw biznesowych stanowiących odpowiedź na potrzeby rynku.

Przyczyną niedociągnięć jest cięcie kosztów

CISO są w pełni świadomi słabych punktów, które powstają w ich organizacjach z powodu nieelastycznych i niewystarczających budżetów.

Czterech na dziesięciu respondentów (39%) twierdzi, że wydatki związane z bezpieczeństwem cybernetycznym nie są odpowiednio uwzględniane w kosztach inwestycji strategicznych, takich jak transformacja łańcucha dostaw IT. Ponad jedna trzecia uczestników badania (36%) twierdzi, że to tylko kwestia czasu, kiedy dojdzie do poważnego naruszenia bezpieczeństwa, którego można byłoby uniknąć dzięki odpowiednim inwestycjom w ochronę cybernetyczną.

Biorąc pod uwagę, jak bardzo organizacje spieszyły się z wprowadzeniem zmian do swojego systemu pracy w wyniku kryzysu spowodowanego pandemią możemy spodziewać się nasilenia tego problemu, zwłaszcza kiedy firmy będą inwestować w celu wspierania ich wzrostu. Czterech na dziesięciu respondentów (39%) ostrzega, że budżet ich organizacji jest niższy od tego, który jest wymagany do zarządzania w przypadku nowych wyzwań, które pojawiły się w ciągu ostatnich 12 miesięcy.

CISO muszą podejmować trudne decyzje i w związku z ograniczonym budżetem muszą redukować niektóre strategiczne działania, które rozpoczęli jeszcze przed wystąpieniem kryzysu.. Ponad połowa (56%) firm zmagających się z niewystarczającymi środkami i przyznała, że musiała zmienić swoje oczekiwania dotyczące bezpieczeństwa cybernetycznego. Z kolei 44% twierdzi, że zostało zmuszonych do cięcia kosztów poprzez skupienie się na dotychczasowej architekturze oraz na istniejących systemach.

Niektóre organizacje stosują jednak bardziej strategiczne podejście do finansowania cyberbezpieczeństwa. W Assicurazioni Generali, jednej z największych firm ubezpieczeniowych na świecie, Remo Marini, dyrektor ds. bezpieczeństwa grupy twierdzi, że firma stosuje podejście do finansowania cyberbezpieczeństwa oparte na ryzyku.

"Tworzymy bezpośredni związek pomiędzy inwestycjami w bezpieczeństwo, wartością biznesową i minimalizacją ryzyka" - mówi. "Nasz budżet odzwierciedla wyrafinowane działania planistyczne, które rozpoczynają się od określenia naszej strategii, zwykle z horyzontem trzech lat oraz zbierają dane wejściowe od wszystkich istotnych interesariuszy wewnętrznych i zewnętrznych".

2. Fragmentacja przepisów to duży stres dla CISO

Globalne środowisko regulacji prawnych staje się coraz bardziej złożone. Objęte jest ono jurysdykcjami działającymi na różnych poziomach. Od regionalnego do krajowego, a niekiedy nawet globalnego. Organizacje w niektórych sektorach - zwłaszcza usług finansowych - muszą również zarządzać regulacjami specyficznymi dla danej branży.

Mike Maddison, EY EMEIA Cybersecurity Consulting Leader, uważa, że regulacje prawne są coraz większym problemem. "Jeśli jesteś organizacją międzynarodową, sposób, w jaki zarządzasz tymi nakładającymi się - ale czasami sprzecznymi - regulacjami stanowi wyzwanie zwłaszcza, że informacje stają się wszechobecne i  są przekazywane w skali międzynarodowej".

Drenaż cennego czasu i zasobów

Regulacje prawne pochłaniają więcej czasu niż CISO może na te zadania przeznaczyć. Jeden na dwóch (49%) ostrzega, że zapewnienie zgodności z przepisami może być najbardziej stresującą częścią ich pracy. Sześciu na dziesięciu (57%) przewiduje, że w nadchodzących latach regulacje staną się bardziej heterogeniczne i czasochłonne,   a niektórzy mogą powiedzieć, że nawet chaotyczne. Ponieważ CISO walczą o zabezpieczenie potrzeb w zakresie zapewnienia pracowników i odpowiednich budżetów to wpływ na poziom ich stresu wydaje się być w pełni zrozumiały.

"Agenda regulacyjna staje się - z dnia na dzień - coraz bardziej napięta ponieważ lokalne i międzynarodowe organy regulacyjne intensyfikują swoje działania" - potwierdza Marini z Assicurazioni Generali. "Obserwujemy inflację przepisów, które stwarzają trudności, szczególnie dla grup międzynarodowych. Ujednolicone i wspólne ramy w tym zakresie byłyby bardziej efektywne.”

Dodatkowym problemem, przynajmniej w USA, jest to, że Departament Sprawiedliwości podniósł ataki ransomware do tego samego poziomu priorytetu co terroryzm i koordynuje dochodzenia w tych sprawach poprzez grupę zadaniową w Waszyngtonie.

Zgodność z przepisami zmienia się we wroga budżetu

Obserwujemy fundamentalną zmianę w sposobie, w jaki CISO traktują regulacje prawne.  Rodzi to niepokojące konsekwencje dla ich relacji z organem regulacyjnym. W ubiegłorocznym badaniu GISS, CISO określali pozytywnie rolę przedmiotowych regulacji. W tym roku respondenci dostrzegają, że środowisko przepisów prawnych stało się tak fragmentaryczne i złożone, że zaczyna przeszkadzać w prowadzeniu działalności. Zgodność z regulacjami nie działa już na korzyść CISO, ponieważ nie uzasadnia już budżetów w taki sposób, w jaki to robiła wcześniej.

Dodatkowo respondenci tegorocznego badania są mniej przekonani o tym, że przepisy wspierają poprawę standardów cyberbezpieczeństwa w organizacjach.

W zeszłorocznym badaniu GISS, 46% respondentów uważało, że zgodność z przepisami prowadzi do właściwych zachowań w ich firmach. W 2021 roku odsetek ten spadł do 35%. Jednocześnie mniej niż jeden na pięciu (18%) respondentów uważa, że regulacje są dla nich skutecznym sposobem przekonywania zarządów o konieczności zapewnienia dodatkowego budżetu, co oznacza spadek w tym zakresie z 29% w 2020 roku.

Kierownictwo wyższego szczebla nie jest tak wrażliwe na ostrzeżenia CISO dotyczące rosnących wydatków związanych z przestrzeganiem przepisów, jak w przypadku, kiedy wydatki mają być zwiększone na cyberbezpieczenstwo i transformację.

Nie wszyscy liderzy ds. cyberbezpieczeństwa są pesymistycznie nastawieni do wprowadzanych regulacji. Roland Cloutier z firmy TikTok twierdzi, że co prawda  pochłaniają one "co najmniej 50-60%" jego czasu, ale ogólnie rzecz biorąc jest do nich pozytywnie nastawiony. "Nasze strategiczne programy bezpieczeństwa opierają się na nowych wymaganiach dotyczących kwestii regulacyjnych i ochrony konsumenta. To wspaniała sprawa, gdyż umożliwia przygotowanie przodującej w branży koncepcji tego, jak firma może przyczynić się do ochrony bezpieczeństwa i prywatności naszych użytkowników na całym świecie."

3. Pogarszają się relacje pomiędzy działami cyberbezpieczeństwa a innymi liderami

Już na najwcześniejszych etapach podejmowania decyzji inwestycyjnych, CISO muszą pełnić ważną funkcję doradczą, aby sprawnie zarządzać ryzykiem cybernetycznym związanym z transformacją strategiczną. Jednak pomiędzy działem bezpieczeństwa cybernetycznego, a innymi działami w firmie brakuje pozytywnego podejścia do prowadzenia konsultacji w przedmiotowej kwestii.

Liderzy biznesowi wykluczają CISO

Słabe relacje od dawna były przedmiotem troski CISO, ale tegoroczne badanie GISS sugeruje, że problem ten staje się coraz bardziej dotkliwy. Według badania liderzy biznesowi nie podejmują rozmów dotyczących bezpieczeństwa cybernetycznego. Około sześciu na dziesięciu badanych (58%) twierdzi, że ich organizacja czasami wdraża nowe technologie w terminach, które nie pozwalają na odpowiednią ocenę lub nadzór nad związanym z tym bezpieczeństwem cybernetycznym.

Dan Higgins, Globalny Lider Technologii Konsultingowych EY, uważa za niepokojący fakt, że CISO są angażowani dopiero na późnym etapie w proces wdrażania nowych technologii i rozwiązań w zakresie danych. "Konieczne jest, aby CISO zajęli miejsce przy stole w momencie opracowywania strategii i architektury rozwiązań transformacji cyfrowej, kiedy można aktywnie przeciwdziałać i unikać tych zagrożeń" - mówi.

Jest to trend, który może być napędzany przez najważniejszych liderów firmy. Według badania EY CEO Imperative Study 2021, dyrektorzy generalni nie określają już bezpieczeństwa cybernetycznego jako swojego głównego zmartwienia jak miało to miejsce w 2020 roku. W 2021 roku skupili się oni na wyzwaniach związanych z wdrażaniem nowych technologii.

"W dynamicznym środowisku, które pojawiało się w wyniku pandemii COVID-19 istniała potrzeba szybkiego reagowania i organizacje zastanawiały się, czy zespoły ds. cyberbezpieczeństwa posiadają odpowiednie umiejętności w tym zakresie" - mówi Mike Maddison. "Czy ocena działu bezpieczeństwa była właściwa? Czy byli postrzegani jako osoby blokujące, czy jako osoby oferujące skuteczne rozwiązania? Tam, gdzie odpowiedzi na te pytania budziły wątpliwości oznacza, że inne części organizacji radziły sobie z problemami same, bez wsparcia zespołu cyber security."

Relacje są najsłabsze tam, gdzie powinny być najsilniejsze

Problem ten najbardziej dotyka tych działów, które w nadchodzących miesiącach będą wdrażać, rozwijać i skalować nową technologię opartą na chmurze. Zatem są narażone na duże ryzyko włamań, szczególnie tych związanych z użyciem złośliwego oprogramowania typu ransomware. Takim działem może być na przykład pion marketingu.

W tegorocznym badaniu 41% respondentów określiło swoje relacje z działem marketingu jako negatywne, w porównaniu z 36% respondentów, którzy stwierdzili to samo rok temu. Jednocześnie 28% z nich twierdzi, że ich relacje z właścicielami firm są złe, w porównaniu z 23% badanych w tej kwestii rok temu.

W rezultacie tych słabych lub złych relacji zaledwie 19% uczestników badania uznało, że konsultowano z nimi nowe inicjatywy już na etapie planowania, podczas gdy w ubiegłorocznym badaniu odsetek ten  wyniósł 36%.

Relacje pomiędzy działem dbającym o bezpieczeństwo, a innymi pionami biznesowymi: rozwojem produktu i marketingiem są negatywne, a interakcje działu cyberbezpieczeństwa z działem prawnym i IT wypadają natomiast pozytywne. Zasadniczo dla CISO relacje stają się tym bardziej pozytywne, im bardziej oddalają się oni od cyklu planowania. Stanowi to poważny problem. Nie biorą oni bowiem udziału w pracach tam, gdzie osoby odpowiedzialne za bezpieczeństwo powinny być najbardziej zaangażowane i wspierać rozwój firmy.

Załamanie komunikacji

Słaba komunikacja pomiędzy wieloma zespołami w firmie stanowi barierę postępu. CISO przyznają, że mają trudności z przekonaniem swoich pracowników do deklaracji, że potrzebują konsultacji w sposób właściwy dla biznesowej współpracy. Co więcej, biznes może dostrzegać tradycyjne zalety współpracy z działem odpowiedzialnym za cyberbezpieczeństwo, takie jak kontrola ryzyka, ale nie zawsze traktuje osoby z tego pionu jak partnera strategicznego.

“W całej branży zauważyłem pozytywne zmiany sposobu myślenia wśród zarządów uznających, że cyberbezpieczeństwo stanowi zagrożenie - mówi Darren Kane, Chief Security Officer w NBN Co w Australii, który wziął udział w wywiadzie jakościowym na potrzeby tego raportu, ale nie uczestniczył w samym badaniu. “Jednak przed CISO wciąż jest praca do wykonania, jeśli chodzi o przełamywanie barier komunikacyjnych. Powinni mówić mniej technicznym językiem, aby zarządy lepiej rozumiały potencjalne ryzyko biznesowe”.

Mniej niż połowa respondentów (44%) jest przekonana o zdolności swojego zespołu do mówienia tym samym językiem, co współpracownicy, a tylko 26% wierzy, że liderzy wyższego szczebla użyliby takich samych określeń do opisania tych samych działań. Zaledwie jeden na czterech (25%) uważa, że liderzy biznesowi wyższego szczebla opisaliby cyberbezpieczeństwo jako działanie o charakterze komercyjnym.

Respondenci przyznają, że reszta organizacji jest bardziej skłonna uznać, że cyberbezpieczeństwo jest ochroną dla prowadzonego biznesu i pozwala na szybkie reagowanie na sytuacje kryzysowe. Chociaż te cechy same w sobie są godne podziwu to muszą być zrównoważone umiejętnością komunikacji, perswazji i budowania zaufania.

W jaki sposób CISO powinni odpowiedzieć na główne wyzwania przedstawione w tegorocznym GISS? Nie ulega wątpliwości, że powinni oni odgrywać bardziej strategiczną i komercyjną rolę w swoich organizacjach. Powinni przekształcać swoje zespoły, by stały się one kołem napędowym umożliwiającym transformację.

"CISO odgrywają kluczową rolę w pracy organizacji, która ma celu transformację i dostarczanie długofalowych korzyści" - mówi Errol Gardner, wiceprezes EY ds. konsultingu. Omawiając sposób, w jaki CISO powinni ugruntowywać swoją pozycję osób umożliwiających transformację, Gardner dodaje: "Podczas gdy dyrektorzy generalni są na drodze do realizacji swojej wizji i skutecznego przekształcania swoich firm za pomocą technologii, nie mogą sobie pozwolić na przymykanie oczu na zagrożenia cybernetyczne, jakie pojawiają się w tej sytuacji".

"Jednocześnie to na CISO spoczywa obowiązek upewnienia się, że dyrektorzy generalni właściwie rozumieją wartość, jaką przynosi inwestowanie w cyberbezpieczeństwo i że uznają to za integralną część zmian i transformacji. Inwestowanie w budowanie strategicznych relacji pomiędzy CISO, dyrektorami generalnymi i resztą kadry kierowniczej zapewni sukces programom transformacji i wdrożenie postępowych zmian w sposób bezpieczny dla organizacji i jej pracowników."

Zdolność kadry kierowniczej ds. cyberbezpieczeństwa do wywierania wpływu i sprawienia, by działy biznesowe wspierały ich rosnącą rolę w firmie nie jest wcale oczywista. Osiem na dziesięć zarządów uważa, że ulepszone zarządzanie ryzykiem będzie miało kluczowe znaczenie dla ochrony i budowania wartości przedsiębiorstwa, według EY Global Board Risk Study 2021, ale wkład CISO jest wciąż niedoceniany.

Warto zauważyć, że działania te są zgodne ze wskazówkami, które przedstawiliśmy w naszym raporcie z 2020 r., aczkolwiek z pewną zmianą procesu myślowego. Wydarzenia, które wywołała pandemia i ogólnoświatowy kryzys jedynie uwypukliły konieczność szybkiego wprowadzania zmian. 

1. Ponownie oceń swoją współpracę z biznesem

Zespoły do spraw cyberbezpieczeństwa tradycyjnie najlepiej oceniają swoje możliwości w zakresie identyfikacji ryzyka i budowania planów rozwoju na przyszłość.

CISO powinni skupić uwagę na tych elementach cyberbezpieczeństwa, które w przeszłości były słabsze. W szczególności powinni oni dążyć do wzmocnienia swojego zaangażowania we współpracę z interesariuszami, zapewnienia zgodności z podstawowymi celami i zadaniami biznesowymi oraz oceny zadowolenia swoich partnerów biznesowych z wydajności i świadczenia usług bezpieczeństwa.

Ponieważ ich relacje z partnerami biznesowymi pogorszyły się w ostatnich latach, CISO mogą teraz nie mieć wystarczających informacji, których potrzebują, aby działać w harmonii z innymi działami firmy i realizować strategię, która jest zgodna z założeniami biznesowymi.

Żeby zbudować wartościowe relacje, CISO muszą zapewnić swoim pracownikom większy kontakt z takimi działami jak marketing, innowacje i innymi istotnymi jednostkami biznesowymi. "Ludzie zajmujący się cyberbezpieczeństwem mają reputację osób zajmujących poziomy piwnic w biurowcach" - mówi Darren Kane. "Ale biorąc pod uwagę, że ryzyko cybernetyczne jest obecnie jednym z głównych ryzyk operacyjnych w każdym przedsiębiorstwie, zespoły cybersecurity powinny znaleźć się bardziej na zewnątrz i mieć większą styczność z innymi działami w przedsiębiorstwie".

3. Wszędobylskie bezpieczeństwo

CISO znają zasadę "przesuwania w lewo", dążąc do zaangażowania cyberbezpieczeństwa na jak najwcześniejszym etapie transformacji i cyklu życia rozwoju produktu.

Wyzwania związane z pandemią COVID-19 wskazują jednak, że przesunięcie w lewo, czyli jak najwcześniejsze angażowanie działu cyberbezpieczeństwa nie jest jedynym krokiem, który trzeba wykonać. Nasza sugestia dla CISO jest taka, aby przemieszczać się  na północ, wschód, południe i zachód. W praktyce oznacza to poruszanie się wśród czterech kluczowych grup interesariuszy.

Odniesienie się do obaw kierownictwa na "północy", oznacza skupienie się na raportowaniu i odpowiedzialności, a także na budżetowaniu i alokacji zasobów. Przesunięcie punktu ciężkości na wschód, w kierunku organów regulacyjnych oznacza nadanie priorytetu certyfikatom i atestom wraz z mapowaniem regulacyjnym. Przesunięcie na południe dotyczy poprawy standardów i testów. Natomiast przesunięcie na zachód wiąże się z koncentracją na bezpieczeństwie i prywatności w fazie projektowania wraz z certyfikacjami i ciągłym testowaniem.