Jak rozpocząć z kierownictwem rozmowę na temat cyberbezpieczeństwa
Aby zatwierdzić budżet i uzyskać wsparcie kierownictwa dla inwestycji w cyberbezpieczeństwo, trzeba mówić tym samym językiem, co członkowie kadry zarządzającej.
Jeśli jesteś specjalistą od zabezpieczeń, prawdopodobnie masz większe obawy dotyczące operacyjnej strony cyberbezpieczeństwa. Z kolei dyrektorzy najczęściej postrzegają je jako jedną z wielu inwestycji. Dokonują oni analizy, czy korzyści z inwestowania w zabezpieczenia przewyższają ryzyko braku takich inwestycji. Oceniają także długoterminowy wpływ na wyniki firmy i podejmują decyzję przede wszystkim na podstawie danych i dowodów.
Jeśli Twoja firma doświadczyła poważnego cyberataku, kierownictwo prawdopodobnie posiada praktyczną wiedzę na temat strat finansowych związanych z tego rodzaju przykrymi zdarzeniami. Jednakże jeśli Twoja organizacja szczęśliwie nie musiała stawiać czoła opinii publicznej w związku z naruszeniem bezpieczeństwa, być może będzie trzeba pokazać zarządowi, dlaczego powinien priorytetowo potraktować kwestie bezpieczeństwa, zanim wydarzy się najgorsze.
Oto kilka wskazówek zebranych od dyrektorów ds. bezpieczeństwa IT na temat sposobu prezentowania liderom przekonujących danych, które pomagają wygospodarować odpowiedni budżet:
Porozmawiaj z zarządem na temat zgodności z rozporządzeniem RODO/ GDPR
Ogólne rozporządzenie o ochronie danych (RODO) to obecnie gorący temat, który prawdopodobnie zainteresuje członków kierownictwa. Użyj go do swoich celów. Kierownictwo prawdopodobnie wie już o potencjalnych grzywnach, więc możesz od razu przejść do tego, co RODO oznacza dla Twojej organizacji i jej danych. Wokół RODO narosło wiele nieporozumień, więc pomóż kadrze zarządzającej zrozumieć, jakie niesie ono konsekwencje dla Twojej firmy i jakich potrzebujesz inwestycji, aby poprawić ochronę i bezpieczeństwo danych.
Przedstaw czynniki ryzyka charakterystyczne dla Twojej firmy
Pomóż kierownictwu zrozumieć zagrożenia bezpieczeństwa, które mogą wpłynąć konkretnie na Twoją organizację. Nie marnuj czasu na przedstawianie ogólnych trendów i statystyk. Zamiast tego pomóż kierownictwu dostrzec związek między tymi trendami bezpieczeństwa a wyzwaniami unikatowymi dla Twojej firmy i branży. Im szerszy kontekst zdołasz przedstawić, tym silniej Twoje argumenty przemówią do zarządu.
Możesz na przykład porozmawiać z kadrą zarządzającą o największym źródle przychodów Twojej firmy i podać przykłady konsekwencji ataku przy użyciu wektorów, takich jak oprogramowanie ransomware. Jeśli Twoja firma przechowuje dane poufne, np. dokumenty finansowe, możesz zaprezentować przykłady konsekwencji prawnych i grzywien, na które narażona byłaby Twoja organizacja, gdyby takie dane zostały ujawnione publicznie.
Pokaż swoim rozmówcom, jak przeprowadzany jest atak i jak łatwo można naruszyć zabezpieczenia. Podaj im prawdziwe przykłady problemów, z którymi zmagasz się obecnie, a także związane z nimi ryzyko i długofalowe skutki.
Posługuj się konkretnymi danymi
Kierownicy lubią konkretne wskaźniki i liczby. Dlatego ważne jest, aby dostosować priorytety bezpieczeństwa do celów i terminów firmy. Pokaż kierownictwu, że ich priorytety biznesowe oraz priorytety IT będą zachowane, a jednocześnie zademonstruj, w jaki sposób inwestycje w cyberbezpieczeństwo pomogą im je osiągnąć.
Pokaż także drugą stronę tego zagadnienia: w jaki sposób naruszenie bezpieczeństwa może narazić ich plany na ryzyko. Na przykład, jeśli Twoja firma zamierza wprowadzić nowy produkt, pokaż, jakie potencjalne szkody może przynieść upublicznienie lub zniszczenie tej własności intelektualnej.
Nie musisz posługiwać się jedynie teoretycznymi przykładami. Jeśli potrafisz oszacować, ile obecne problemy z bezpieczeństwem kosztują Twoją firmę, zyskasz jeszcze lepszy argument.
Powtarzaj, powtarzaj, powtarzaj
Prawdopodobnie nie uzyskasz wszystkiego, czego potrzebujesz, w wyniku jednorazowej rozmowy. Zadbaj o przejrzystą i częstą komunikację. Regularnie przekazuj aktualne informacje i odpowiednie wskaźniki. Nie bój się powtarzać tych samych informacji i wypróbowywać różnych punktów widzenia, aby wiadomość dotarła do odbiorcy i aby udało Ci się uzyskać potrzebne fundusze oraz wsparcie.
Tags:
