Czasami potrzebujemy silnego impulsu, aby wdrożyć inicjatywy z zakresu cyberbezpieczeństwa.
60% małych i średnich firm, w których dochodzi do naruszenia cyberzabezpieczeń, znika z rynku. Oznacza to, że — zwłaszcza w Twoim przypadku — lepiej zapobiegać niż leczyć.
Pomóż kierownictwu zrozumieć zagrożenia bezpieczeństwa, które mogą wpłynąć konkretnie na Twoją organizację. Nie marnuj czasu na przedstawianie ogólnych trendów i statystyk. Zamiast tego pomóż kierownictwu dostrzec związek między tymi trendami bezpieczeństwa a wyzwaniami unikatowymi dla Twojej firmy i branży. Im szerszy kontekst zdołasz przedstawić, tym silniej Twoje argumenty przemówią do zarządu.
Możesz na przykład porozmawiać z kadrą zarządzającą o największym źródle przychodów Twojej firmy i podać przykłady konsekwencji zagrożeń bezpieczeństwa, takich jak oprogramowanie ransomware. Jeśli Twoja firma przechowuje dane poufne, np. dokumenty finansowe, możesz zaprezentować przykłady konsekwencji prawnych i grzywien, na które narażona byłaby Twoja organizacja, gdyby takie dane zostały ujawnione publicznie.
Pokaż swoim rozmówcom, jak działa atak i jak łatwo jest naruszyć zabezpieczenia. Podaj im prawdziwe przykłady problemów, w obliczu których już stoisz, a także związane z nimi ryzyko i długofalowe skutki.
Kierownicy lubią wskaźniki i liczby. Dlatego ważne jest, aby dostosować priorytety bezpieczeństwa do celów i terminów firmy. Potwierdź priorytety biznesowe oraz priorytety IT i uzasadnij, w jaki sposób bezpieczeństwo pomoże im je osiągnąć.
Pokaż także drugą stronę: w jaki sposób zdarzenie naruszenia bezpieczeństwa może narazić ich plany na ryzyko. Na przykład, jeśli Twoja firma zamierza wprowadzić nowy produkt, pokaż, jakie szkody może przynieść upublicznienie lub zniszczenie tej własności intelektualnej.
Wcale nie musi to być kwestia hipotetyczna. Jeśli potrafisz oszacować, ile obecne problemy z bezpieczeństwem już kosztują Twoją firmę, zyskasz jeszcze lepszy argument.
Prawdopodobnie nie uzyskasz wszystkiego, czego potrzebujesz, w wyniku jednorazowej rozmowy. Zadbaj o przejrzystą i częstą komunikację. Regularnie przekazuj aktualne informacje i odpowiednie wskaźniki. Nie bój się powtarzać tych samych informacji i wypróbowywać różnych punktów widzenia, aby wiadomość dotarła do odbiorcy i udało Ci się uzyskać potrzebne fundusze oraz wsparcie.
W wielu przypadkach specjaliści ds. bezpieczeństwa mają problem z mówieniem tym samym językiem co kierownictwo, tak aby pomóc szefom firmy zrozumieć, dlaczego powinni priorytetowo traktować inwestycje w bezpieczeństwo. Kiedy dochodzi do publicznego cyberataku i kadra zarządzająca dostrzega związane z nim wielowymiarowe szkody, wówczas powody takich inwestycji stają się jasne. Gdy wszyscy rozumieją problem, rozmowy (i zmiany) toczą się w znacznie szybszym tempie.
W tym właśnie aspekcie przepisy, takie jak Ogólne rozporządzenie o ochronie danych (RODO), które weszło w życie w maju 2018 r., mogą przyczynić się do poprawy bezpieczeństwa.
Firmy, które już inwestują w bezpieczeństwo, nie muszą się szczególnie martwić, ponieważ prawdopodobnie spełniają większość wymagań (w zakresie zabezpieczeń wymaganych w RODO). Z drugiej strony, dla tych organizacji, które mają problem z wygospodarowaniem środków na inwestycje, RODO stanowi doskonałą okazję, aby zbliżyć do siebie specjalistów ds. bezpieczeństwa i członków kierownictwa najwyższego szczebla. Nowe przepisy, takie jak te, wymuszają na firmach minimalne standardy ułatwiające realizację większych innowacji technologicznych w przyszłości.
Prywatność danych i bezpieczeństwo IT to nie tylko wymogi regulacyjne, ale także wymagania klientów. Coraz częściej firmy otrzymują od klientów pytania dotyczące sposobu, w jaki przetwarzają ich dane. Istnieje relacja oparta na zaufaniu, założenie, że organizacja otrzymująca dane odpowiednio się nimi zajmie. Rolą przepisów jest zapewnienie, że firmy robią wszystko, aby tego zaufania nie zawieść.