Dugo smo sigurnost gledali kao prepreku, nešto što usporava inovacije i zahtijeva dodatna ulaganja. No vremena su se promijenila.
Piše: Marko Gulan, savjetnik za kibernetičku sigurnost, Astera Advisory
U doba u kojem podaci predstavljaju najvrjedniju imovinu tvrtke, cyber sigurnost nije samo nužnost – to je ključna poslovna odluka. Sljedeći put kada se povede razgovor o sigurnosti, umjesto da pogledate prema IT odjelu, zapitajte se: Što mi kao uprava radimo da zaštitimo naš posao, naše podatke i naše klijente?
Uz osobnu odgovornost Zakon definira i imenovanje osobe dedicirane za cyber security koje ne smije biti dio IT-ja!
Što ako…?
Zamislite situaciju u kojoj dolazite u ured i shvaćate da sustavi ne rade. Vaši zaposlenici ne mogu pristupiti podacima, mailovi ne funkcioniraju, a na ekranu stoji poruka: „Vaši podaci su šifrirani. Platite otkupninu ili ih zaboravite.“ Telefoni u upravi zvone, klijenti traže odgovore, novinari postavljaju pitanja, a interni timovi se pitaju – tko sad odlučuje što raditi?
Je li ovo tehnički problem? Naravno, IT će imati ključnu ulogu u rješavanju incidenta, ali odluke koje slijede isključivo su poslovne. Hoćemo li platiti otkupninu? Hoćemo li prijaviti napad? Kolika je reputacijska šteta? Koliko će nas sve ovo koštati?
Upravo tu dolazimo do ključne točke – sigurnost nije samo niz tehničkih rješenja, nego strateška odluka koja može odrediti sudbinu kompanije.
Zašto je cybersecurity poslovni problem?
Zamislimo da otvarate novu tvornicu ili pokrećete inovativni proizvod. Provodit ćete dubinsku analizu tržišta, tražit ćete pravne savjete, razmatrat ćete potencijalne financijske rizike – jer su to strateške odluke uprave.
Ako previše oslonimo sigurnost na IT, stavljamo ih u poziciju donositelja poslovnih odluka za koje nisu odgovorni. IT može implementirati tehnička rješenja, ali uprava je ta koja donosi odluke o strategiji odgovora, ulaganjima u sigurnost i upravljanju kriznim situacijama. Štoviše, Zakon o kibernetičkoj sigurnosti, nameće izravnu odgovornost odgovornih osoba za sigurnosne propuste. Drugim riječima, ako dođe do napada, regulator neće tražiti objašnjenje od IT odjela, nego će pitati upravu – što ste poduzeli da osigurate vašu kompaniju?
Kako promijeniti pristup?
Ako uprava ne mora razumjeti tehničke detalje cyber sigurnosti (i ne mora), što može učiniti?
Prvi korak je prestanak delegiranja sigurnosti isključivo IT timu. Ne zato što IT nije sposoban, već zato što sigurnost nije IT izazov – to je izazov cijele kompanije.
Drugi korak je postavljanje pravih pitanja. Umjesto da se rasprava o sigurnosti svede na tehničke pojmove, ključne teme uprave trebale bi biti „Imamo li definiranu strategiju odgovora na cyber napade?“, „Znamo li tko u kompaniji donosi odluke u slučaju sigurnosnog incidenta?“, „Koliko cyber sigurnost utječe na našu konkurentsku prednost i povjerenje tržišta?“
I treći korak, možda i najvažniji – uključivanje cyber sigurnosti u poslovnu strategiju.
Baš kao što planirate financijska ulaganja, razvoj proizvoda i tržišnu ekspanziju, sigurnost treba biti sastavni dio poslovnih odluka. Bez nje, riskirate ne samo financijske gubitke, već i nešto mnogo vrjednije – povjerenje kupaca, partnera i investitora.
