Največ napak pri kibernetski varnosti ni tehničnih, temveč odločevalskih

Kibernetske grožnje so stalnica sodobnega poslovanja.

Tega se vse bolj zavedajo tudi vodilni.

Kljub temu pa se v številnih organizacijah informacijska in kibernetska varnost obravnavata zgolj kot tehnično vprašanje, s katerim naj se ukvarjajo informatiki.

Za lažjo predstavo, zakaj je takšen odnos napačen, to ponazorimo z nekaj primeri.

Prvi je t.i. direktorska prevara, pri kateri napadalec posnema sporočilo direktorja in zahteva nujno plačilo. Tehnično običajno ne gre za vdor v informacijski sistem, temveč za izkoriščanje hierarhije, zaupanja in časovnega pritiska.

Ključno vprašanje pri tem ni, ali imamo dovolj tehnične zaščite, temveč, ali ima organizacija jasno določene postopke in kulturo, da je potrebno preveriti tudi navodila vodilnih.

Podoben primer je lažno sporočilo o spremembi bančnega računa dobavitelja. Informacijski sistemi delujejo pravilno, plačila pa kljub temu odidejo na napačen naslov.

Tudi to ni problem tehnologije, temveč odločitve, kdaj so potrebna dodatna preverjanja in kje so meje med poslovnostjo, učinkovitostjo in varnostjo.

In še tretji primer. Pooblastil za dostop do občutljivih in zaupnih podatkov ne določajo informatiki. To so odločitve o pooblastilih in odgovornostih, ki jih sprejemajo vodilni. Ko pride do notranje zlorabe, se praviloma namreč izkaže, da problem ni v tehnologiji, ampak, komu smo dovolili preveč.

V vseh treh (in podobnih) primerih lahko tehnologija deluje pravilno, škoda je posledica pomanjkljivih odločitev.

To je glavni razlog, da morajo informacijsko varnost poznati in se z njo ukvarjati tudi vodilni.

Ne s tehničnimi rešitvami, ampak, da znajo postavljati prave prioritete, določati meje sprejemljivega tveganja in usmerjati organizacijo k večji informacijski varnosti.

Zato se prehod od kibernetskih groženj k poslovni odpornosti začne na ravni vodilnih.

Temu je namenjen tudi moj priročnik o upravljanju informacijskih tveganj, ki jih ne obravnava kot tehnični problem, temveč kot upravljavsko nalogo: kako prepoznamo ključna tveganja, ocenimo njihove možne poslovne posledice in vodilnim omogočimo odločitve, ki povečujejo varnost in odpornost.

Kajti ta ne nastane v strežniški, temveč v sejni sobi.