Odpowiedzialność kierownictwa za cyberbezpieczeństwo: co CEO powinien widzieć co miesiąc?
Choć IT dba o technologię, w ostatecznym rozrachunku to kierownictwo podpisuje czeki, kiedy wszystko padnie. Sprawdź, dlaczego obecne raportowanie może wprowadzać Cię w błąd, dlaczego odpowiadasz przed organami własnym nazwiskiem – i jakie dokumenty powinieneś dostawać każdego miesiąca wprost na biurko, by uniknąć strat finansowych i wizerunkowych.
Koniec zrzucania winy na IT – NIS2 rozliczy kierownictwo
Odpowiedzialność kierownictwa za cyberbezpieczeństwo to stosunkowo nowa zmiana: przed erą NIS2 bezpieczeństwo leżało wyłącznie na barkach działu IT. Odpowiedzialność rozmywala się po całej strukturze firmy – skoro zawiniła technologia, opanowaniem skutków i konsekwencjami zajmował się odpowiedzialne za nią zespoły.
NIS2 zmieniło zasady gry: w oczach prawa zarząd staje się bezpośrednim gwarantem bezpieczeństwa. Prawo traktuje teraz cyberbezpieczeństwo nie inaczej, jak płynność finansową czy odpowiedzialność podatkową, prezes nie może więc zasłonić się już niewiedzą techniczną ani zrzucić odpowiedzialności niżej.
Prawo dotyka przy tym nie tylko skutków indycentów, ale również zaniehań, które w ogóle do nich doprowadziły. Każda decyzja o cięciu budżetu naraża zatem kierownictwo w kontekście NIS2. Urząd nie pyta już wyłącznie o to, dlaczego haker dostał się do firmowych systemów, ale również dlaczego zarząd – postawiony przed jasnymi czerwonymi lampkami – zignorował wdrożenie bardziej zaawansowanych zabezpieczeń.
Skoro odpowiedzialność zarządu za cyberbezpieczeństwo jest dziś niezaprzeczalna, nie można traktować dłużej po macoszemu wydatków na ochronę. W przypadku stwierdzenia nieprawidłowości, kary mogą sięgnąć setek tysięcy złotych (nie mówiąc nawet o możliwości utraty stanowiska).
Jakie działania musi wykazywać dziś prezes? Przede wszystkim, musi nadzorować procesy ochronne. Przyznasz zapewne, że brzmi to absurdalnie: żaden członek zarządu nie jest jednocześnie ekspertem w dziedzinie IT, a techniczny nadzór z natury wykracza poza jego kompetencje. Własnie dlatego jedyną opcją na ubranie kierownictwa w szaty audytora jest zewnętrzne wsparcie w zakresie cyberbezpieczeństwa. Co jednak, gdy większości firm kojarzy się to wyłącznie zasypywaniem biurka stosem technicznych raportów? Omówimy to w następnym punkcie!
Dlaczego raporty od Twoich adminów wprowadzają wyłącznie chaos?
Strach przed raportem w postaci nieczytelnych liczb i linijek kodu jest uzasadniony. Tradycyjne raportowanie w języku technonologicznym wynika czysto z pragmatyzmu – administrator zasypany codzienną walką z awariami raportuje to, co jest w stanie dostrzec ze swojej technicznej perspektywy (w końcu właśnie z tego jest rozliczany!).
Z tego typu raportów nie wynika jednak bezpośrednio (a już na pewno nie ludzkimi słowami), czy firma jest bezpieczna, jakie obszary są narażone i jakie kroki należy wdrożyć w najbliższej przszłości.
Nowoczesne SOC rozwiązuje te problemy: odfiltrowuje 99% technicznego tła, zostawiając dla zarządu jedynie to, co faktycznie wpływa na biznes. Na biurko nie trafia więc techniczny raport, tylko biznesowy komunikat, który pozwala na podjęcie najważniejszych decyzji i przyjrzenie się prawdziwemu obrazowi stanu firmy.
SOC 24/7 rozwiązuje również problem wiarygodności. W starszym modelu zarząd był zakładnikiem własnego działu IT – jeśli admin powiedział dumnie: „działa”, kierownictwo nie miało żadnych możliwości weryfikacji tego stwierdzenia. Dopiero zewnętrzne wsparcie wprowadza obiektywne spojrzenie z wewnątrz, przekształcane w twarde i czytelne metryki.
Dotychczasowe raportowanie obarczone jest również błędami blisko spokrewnionej przyczyny: dawniej dział IT musiał oceniać przed zarządem skuteczność swoich własnych zabezpieczeń. Stawiało to pracowników w niezręcznej sytuacji. Raportowanie, że system ma luki, mogło w końcu zostać potraktowane jako przyznanie się działu IT do własnych błędów, nawet jeśli wynikało np. z braku budżetu. Właśnie dlatego tak potrzebne jest niezależne i obiektywne spojrzenie z zewnątrz.
Miesięczny dashboard CEO: 8 danych, które MUSISZ zobaczyć
Wiesz już, że dane nie mogą docierać do Ciebie w formie, której nie rozumiesz – w końcu odpowiadasz przed organami swoim własnym zrozumieniem sytuacji. Jakie konkretne dane powinny znaleźć się jednak na biurku kierownictwa?
Odpowiedzialność kierownictwa za cyberbezpieczeństwo dotyczy danych takich, jak:
- Największe ryzyka – wskazania zagrożeń, które mogą zatrzymać lub ograniczyć funkcjonowanie kluczowych sektorów firmy, przedstawiane w postaci prawdopodobieństwa i przewidywanych strat finansowych. Zarząd powinien otrzymywać podobne statystyki co miesiąc, aby móc na bieżąco zestawiać statystyki z poprzednimi rokowaniami – szacując, które z nich urosły, a które udało się obniżyć dzięki wdrożeniom. To również bezpośredni kontekst NIS2 i KSC: przepisy wymagają od zarządu zarządzania ryzykiem w oparciu o fakty.
- Incydenty – choć prezes nie musi wiedzieć o tysiącach zablokowanych pingów, zarząd zdecydowanie interesują już incydenty realne, które wymagały technologicznej i ludzkiej reakcji. Taki dashboard powinien obejmować liczbę anomalii, ich dokładną kategorię, informację o spowodowanych stratach finansowych i spis przeprowadzonych potem kroków. To bezpośrednie nawiązanie do konieczności raportowania w 24 i 72 godziny (wraz z pełnym raportem niezbędnym do wysłania w następne 30 dni).
- Podatności krytyczne – spis technologii, z których korzysta firma, wraz ze wskazaniem konkretnych luk. Producenci oprogramowania bez przerwy ogłaszają, że w ich systemach odnaleziono błędy – zarząd musi zaś widzieć, czy dział IT zamyka potencjalne luki w ramach własnych działań lub darmowych łatek i eliminuje możliwość ich wykorzystania. Dla kontrolera państwowego to dowód na dbałość o ewidencję podatności – kierownictwo zapewnia zaś sobie w ten sposób bezpieczny bufor i świadomość tego, co dotąd działo się wyłącznie w obszarze oprogramowania.
- Czas reakcji – czyli szybkość wykrywania anomalii oraz neutralizacji zagrożenia. To kluczowy aspekt odpowiedzialności kierownictwa za cyberbezpieczeństwo, ponieważ odpowiada bezpośrednio na wymagane przez NIS2 i KSC okna czasowe. Jeśli parametry MTTD i MTTR mieszczą się w minutach, zarząd zyskuje pewność, że spina się w ustawowych terminach raportowania zdarzenia i poradzi sobie z obsługą każdego cięższego incydentu.
- Status backupów – często pomijana, ale absolutnie kluczowa informacja, umożliwiająca zarządzanie ryzykiem. Choć zarządu nie interesują dane techniczne, powinien wiedzieć, kiedy ostatnio wykonano kopię systemów krytycznych, gdzie jest ona przechowywana (i czy jest odcięta od sieci) oraz kiedy ostatnio przeprowadzano udaną próbę testowego przywrócenia zawartych w niej danych. I tutaj zachowana jest zgodność z dyrektywami unijnymi: wymagają bowiem zapewniania ciągłości biznesu.
- Szkolenia i czynnik ludzki – technika zawodzi rzadziej, niż czynnik ludzki. Prezes musi widzieć czytelny stan odporności zespołu: jaki procent przeszedł szkolenia, jak wypadły kontrolowane testy phishingowe (wykonamy je na życzenie!) oraz którzy liderzy działów opóźniają edukację swoich zespołów.
- Wyjątki od procedur – o ile w idealnym świecie każda procedura jest szczelna, w prawdziwym biznesie to mrzonka. Wystarczy tutaj fakt, że kluczowe operacje firmy mogą być obsługiwane wyłącznie przez stary komputer z Windowsem XP: to całkowicie normalna i niearchaiczna sytuacja w szczególnych sektorach. Wyjątek to w tym ujęciu sytuacja, w której firma świadomie akceptuje słabsze zabezpieczenie, aby utrzymać ciągłość biznesu – w przeciwieństwie do omijania procedur po cichu, stanowi to legalne działanie. Zarząd musi kontrolować i zgłaszać wszystkie takie kompromisy, zachowując nad nimi kontrolę.
- Decyzje do podjęcia – podsumowanie dashbordu, konwertujące spis danych i wykresów w pożądane akcje do wykonania. Zarząd widzi bezpośrednio, jakie decyzje strategiczne lub budżetowe musi podjąć w przyszłym miesiącu, realizując tym samym ustawowy obowiązek zatwierdzania środków zarządzania ryzykiem.
Kontrola, która nie rodzi nowej biurokracji – jak IT-Develop buduje linię obrony zarządu?
Nadmiar informacji, jakimi musi dysponować zarząd może srogo przytłaczać. W rzeczywistości (a już na pewno nie w nowych modelach biznesowych!) nie wiąże się jednak z zatrudnianiem armii nowych pracowników czy zmuszania działu IT do przygotowywania raportów, które wykraczają poza znany mu technologiczny język.
Współpraca w ramach outsourcingu SOC 24/7 z zewnętrzną firmą to bezpieczna podstawa, umożliwiająca zapewnienie odpowiedzialnośćci kierownictwa za cyberbezpieczeństwo w ujęciu NIS2 – i właśnie m.in. tym zajmujemy się w IT-Develop. Oprócz stałego nadzoru, zapewniamy wszelkie inne usługi wspierające autonomię firmy wobec nowoczesnych dyrektyw.
Jakie inne usługi zmapujesz bezpośrednio z ośmioma raportami, które powinien otrzymywać zarząd – i które wyznaczają odpowiedzialność kierownictwa za cyberbezpieczeństwo?
- Audyty i testy penetracyjne – pozwalają zidentyfikować słabe punkty w celu ich załatania, zewnętrznie lub w pełnej synergii z działem IT klienta;
- Szkolenia cybersecurity awareness oraz testy phishingowe – w końcu największe zagrożenie dla najdoskonalszych technologii stanowią sami ludzie;
- Incident response – kiedy w środku nocy zaczyna się pożar techniczny, liczy się każda minuta na jego stłumienie i kontrolę strat;
- Zarządzanie infrastrukturą i migracja do chmury – to na nich spoczywa bezpieczna, odizolowana od sieci architektura backupu, gwarantująca powrót do działania na moment po incydencie.
Z takiego układu rodzi się prosta filozofia – zarząd zyskuje spokój, a urząd zadowala się swoimi podkładkami. Co z samą firmą w pełnym tego słowa znaczeniu? Firma po prostu dalej zarabia pieniądze – hakerów wrzucamy do worka: „nigdy nie istnieli”.