Jak nejlépe vysvětlit bezpečnostní rizika

12. 6. 2016

Sdílet

 Autor: Sharp
Šéfové zabezpečení informací již nějakou dobu slyší, že by se měli naučit lépe „mluvit, aby jim ostatní v podniku rozuměli“. Je to jeden ze způsobů, jak lze získat respekt a předejít riziku být vnímaný především jako někdo, na koho se svalí veškerá vina v případě výskytu problému.

Pro ty, kdo přemýšlejí o způsobu, jak lépe vysvětlit podstatu problému firemního zabezpečení, přináší rady Chris Wysopal, spoluzakladatel a technický ředitel společnosti Veracode.

Níže uvedené poznatky byly jádrem Wysopalovy přednášky nazvané „Perspektiva ředitele zabezpečení informací při jednání s vedením firmy o kybernetické bezpečnosti“ na letošní konferenci RSA v San Francisku.

 

Změna myšlení

Prvním krokem je podle něj naučit se myslet jako vůdce podniku namísto „někoho, kdo jen spravuje technologie zajišťující provoz firmy“.

Uznává, že ještě tak před třemi až čtyřmi roky to byla primární role šéfa zabezpečení informací.

„Tato pozice se však mění způsobem, který zvyšuje její viditelnost pro nejvyšší vedení firmy. Teď jsou tito lidé lídry dohlížejícími na podniková oddělení při zavádění aplikací SaaS. Musejí ale přitom spolupracovat s dalšími odděleními, která mají na starost právo, předpisy, vztahy s veřejností atd.,“ říká Wysopal.

Kromě toho „se také mění sféra hrozeb“, popisuje Wysopal a dodává: „Existují věci mimo kontrolu šéfa zabezpečení informací, jako jsou například dodavatelský řetězec nebo poskytovatelé různých služeb. Používání technologií umožňuje růst podniku, ale také to přináší zvýšení rizika.“

Vedení firem konečně bere tato rizika více na vědomí. A tak zatímco se nároky a tlak na šéfa zabezpečení zvyšují, vznikají tím také další příležitosti.

„Připravenost na narušení a reakce na narušení jsou žhavá témata,“ uvádí Wysopal. „V důsledku toho jsou viditelnost, připravenost a plán pro vztahy s veřejností definitivně záležitosti, které nejvyšší vedení firmy zajímají.“

 

Konkrétní rady pro komunikaci

Aby bylo jisté, že budou naslouchat, nabízí Wysopal konkrétní radu – začít stručně, protože v praxi mívá šéf zabezpečení informací na přesvědčování obvykle jen cca 15 minut.

Toto přesvědčování není vhodné založit na nějakých tabulkách, grafech a technických pojmech – tedy záležitostech, které netechniky nedokážou plně zaujmout.

„Jsou to inteligentní lidé, ale nejsou obvykle technicky orientovaní,“ upozorňuje Wysopal. „Myslete tedy v pojmech, jako byste mluvili se svou matkou.“

Jeho krátký seznam komunikačních dovedností pro ředitele zabezpečení informací zahrnuje následující rady:

    • Nepoužívejte akronymy jako DDoS. Používejte slova, a nikoli pouhá písmena.
    • Používejte vizualizaci, a ne text.
    • Používejte čísla, zejména finanční vyjádření, například ztráty vznikající z úniku dat, aby členové vedení dokázali srovnávat rizika s náklady.
    • Používejte přirovnání k něčemu podobnému, co manažeři znají.
    • Vysvětlete, jak funguje školení. Můžete například měřit efektivitu školení týkajícího se phishingových útoků.
    • Ptejte se členů vedení, co chtějí získat od svých plánů pro zabezpečení informací.
    • Zdůrazněte, že neexistuje žádná organizace, která by se nemusela obávat narušení bezpečnosti.
    • Zdůrazněte, že se podnikové zabezpečení musí implementovat do celého podniku: Je třeba zaangažovat nejen oddělení IT, ale také právní, produkční a oddělení vztahů s veřejností.
    • Kybernetická bezpečnost musí být pro přežití značky záležitostí dlouhodobé strategie.

Wysopal upozorňuje, že šéfové zabezpečení také musejí vysvětlovat úroveň rizika v pojmech, kterým budou členové vedení firmy rozumět. To znamená zmínit narušení v podobných oborech a popsat, jak k nim došlo.

Také to znamená vysvětlit, kdo může zvenku zaútočit na vaši konkrétní firmu a proč. Co by pravděpodobně chtěli útočníci získat?

„U maloobchodníků je to docela jasné,“ vysvětluje Wysopal. Není žádným překvapením, že chtějí získat informace o platebních kartách. Ve zdravotnictví chtějí informace, které lze přiřadit ke konkrétním lidem, a podobně.

„Hrozba tedy souvisí s vaší činností. Co by chtěl útočník zpeněžit?“

 

Vypíchnutí největších rizik

Nakonec Wysopal připomíná, že by šéf zabezpečení informací měl „vysvětlit pět nejdůležitějších rizik pro svou firmu a ukazatele, které informují o úrovni, na jaké je jim firma vystavená“.

Mělo by se také určit, zda mají rizika tendenci růst, klesat nebo zůstávají stejná.

„A konečně by tito manažeři měli rovněž vysvětlit, jak jejich společnost tato rizika spravuje a udržuje je v přijatelných mezích,“ uzavírá Wysopal.

ICTS24

 

Tento příspěvek vyšel v Security Worldu 3/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.