Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas?

Reklama publikuota: 2021-12-22
Romualdas Lečickis, bendrovės „NRD Cyber Security“ Kibernetinio saugumo grupės direktorius.
svg svg
Romualdas Lečickis, bendrovės „NRD Cyber Security“ Kibernetinio saugumo grupės direktorius.

„McKinsey“ atlikta pasaulinė organizacijų valdybų apklausa atskleidė, kad kibernetinis saugumas yra vienas iš 4 strateginių organizacijos prioritetų. Vis dėlto klausiami apie didžiausius iššūkius, apie kuriuos kalbama valdybos susitikimuose, kibernetinį saugumą mini tik vienas iš penkių tyrime dalyvavusių valdybų narių. Kodėl įmonių valdybos vangiai įsitraukia į diskusijas šiais klausimais? Ir ar visada jos suvokia, kuo iš tiesų rizikuoja?

Jei anksčiau kibernetinio saugumo klausimus prioretizuodavo daugiausia reguliuojamos finansų institucijos bei nacionalinį saugumą užtikrinančios valstybinės įstaigos, pastarieji keleri metai akivaizdžiai parodė, kad organizuotos kibernetinės atakos taikiniu gali tapti bet kuri kompanija.

Skaitmenizacija į virtualų pasaulį perkėlė praktiškai visą verslo gyvenimą. Skaitmeniniai įrankiai šiandien naudojami ir darbui organizuoti, ir kasdienius procesus valdyti, ir kurti, gaminti bei teikti produktus ar paslaugas. Kai pandemija sugynė žmones į namų biurus ir ant pjedestalo iškėlė hibridinį darbo modelį, kibernetinių atakų organizatoriams apskritai išaušo aukso amžius. O organizacijos pamatė, kokios pažeidžiamos jos tampa aplinkoje, kur didžioji dalis verslo procesų bei tarpusavio komunikacijos vyksta online: cybersecurityventures.com  pateikiami duomenys rodo, kad vien per 2019 – 2020 m. JAV kibernetinių atakų padaugėjo 69 proc., o Europoje – 75 proc. Užpraeitais metais pasaulyje pavogta 30 mlrd. įrašų – tiek, kiek per visus prieš tai buvusius 15 metų kartu sudėjus.

Požiūris, kad kibernetinis saugumas – ne valdybos, o informacinių technologijų departamento ar vadovo rūpestis, vis dar sutinkamas, tačiau jis sparčiai keičiasi. Naujoji realybė su augančiais skaitmenizavimo mastais, stulbinantis kibernetinių įsilaužimų šuolis ir vis griežtėjantys reikalavimai saugumo užtikrinimui, įtvirtinami teisės aktuose (ypač, kai tai susiję su duomenimis) – štai trys svarūs argumentai, kodėl kibernetinis saugumas yra ne vieno žmogaus ar skyriaus rūpestis, o viso verslo gyvybingumo klausimas. Įvertinti verslui kylančias rizikas ir užtikrinti, kad būtų sukurta jų valdymo sistema, yra valdybos kompetencija. Būtent dėl pasekmių, galinčių sujudinti visos organizacijos pamatus, kibernetinį saugumą privalu pirmu numeriu įtraukti į visas valdybos diskusijas.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

„Tiesiog „būti informuotai“ apie kibernetinių atakų riziką valdybai jau nebeužtenka. Ji turi suprasti ir kritiškai įvertinti realius padarinius, kuriuos verslui sukeltų įvairių tipų atakos, ir imtis konkrečių priemonių, kad juos užkardytų arba maksimaliai sumažintų“, – teigiama Deloitte ataskaitoje „Besikeičiantis valdybos vaidmuo kibernetinio saugumo srityje.“

„Jei valdyboje kibernetinio saugumo klausimai nesusilaukia reikiamo dėmesio, tai ne visada reiškia, kad ji nesuvokia jų svarbos. Valdybos nariai tiesiog neišgirsta pagrįstų argumentų, kiek pinigų reikėtų skirti kibernetiniam saugumui ir kokių konkrečių priemonių imtis“, – teigia Romualdas Lečickis, bendrovės „NRD Cyber Security“ Kibernetinio saugumo grupės direktorius.

Anot jo, supažindinus su esminėmis tendencijomis kibernetinio saugumo kontekste, aiškiai parodžius galimas pasekmes ir argumentuotai pagrindus biudžeto lėšų poreikį, galima išjudinti ledus šioje reikšmingoje verslo saugumo srityje ir padėti valdybos nariams priimti teisingus sprendimus.

Tie, kurie ketina imtis šio uždavinio, turėtų atkreipti dėmesį ir į tai, kad kibernetinį saugumą reikėtų atskirti nuo IT biudžeto ir jį pristatyti atskirai, antraip rizikuojama nesulaukti deramo dėmesio.

„Kibernetinio saugumo eilutė, įtraukta į IT biudžetą, neretai tiesiog pasimeta tarp kitų svarbių investicijų. Ji turi būti išskirta, nes IT biudžetas reikalingas užtikrinti IT paslaugų teikimą, o kibernetinio saugumo – kibernetinio saugumo paslaugų teikimą. Nors tarp jų yra daug bendrumų, tačiau sudedant abi į vieną krepšį, neišvengiama interesų konflikto, kai vykdančioji komanda pati save ir prižiūri“, – aiškina R. Lečickis.

Ne vien kaštai

Pradėti galima nuo to, kad kibernetinio saugumo užtikrinimas nėra vien didėjantys kaštai. Šiandien tai – būtina saugumo higiena, apie kurios reikalingumą diskusijų nebeturėtų kilti. Statistika iškalbinga: kibernetinių nusikaltimų žala pasaulyje skaičiuojama trylikaženkliais skaičiais, o per šešis metus ji padidėjo dvigubai (nuo 3 trilijonų USD 2015 m. iki 6 trilijonų USD 2021 m.) Cybersecurityventures.com prognozuoja, kad dar po ketverių metų ji sieks 10 trilijonų dolerių – tai yra visos trečiojo pasaulio ekonomikos apimtis.

„Net jei išlaidas kibernetiniam saugumui traktuosime vien kaip kaštus, jie yra neišvengiami, nes tokia realybė. Tačiau savaime suprantama, kad į kiekvieną papildomą lėšų poreikį valdyba žiūrės įtariai. Todėl pirmiausia reikia išsklaidyti mitus, kad kibernetinis saugumas yra vien išlaidos ir nieko daugiau“, – dėsto R. Lečickis.

Tinkami saugumo sprendimai didina įmonės patikimumą verslo santykiuose, o tai stiprina jos konkurencingumą. Nemažai kompanijų šiais laikais partneriais renkasi įmones, kurios gali sertifikatais ar kitaip įrodyti, kad saugumui skiria pakankamai dėmesio. Maža to, kibernetinio saugumo užtikrinimas ir tiesiogiai susijęs su įmonės finansiniais rezultatais: veiksmingai sumažinus pavojingų incidentų galimybę, jų potencialią žalą įmonei ir išvengus skaudžių pasekmių, pajamos ir pelnas tik didės.

Naudą galima monetizuoti

Investicijų į kibernetinį saugumą nauda ypač išryškėja suvokus, koks ir kokio dydžio įmonės turtas saugomas. R. Lečickis siūlo atlikti dviejų žingsnių pratimą, padėsiantį išgryninti, kiek įmonei kainuotų esminių jos išteklių sugadinimas, susijęs su IT problemomis.

„Tai vadinamoji „business impact“ analizė (BIA), kurią atliekant reikėtų įsivertinti tokius rodiklius, kaip negautas bei vėluojantis pelnas, baudos, padidėjusios išlaidos, baudos už sutarčių nevykdymą, sistemų ir, kas ne mažiau svarbu – reputacijos atstatymas. Atlikti šiuos namų darbus reikia labai sąžiningai, atsakingai. Mačiau atvejų, kai įmonės su šimtamilijoninėmis apyvartomis nuostolius vertindavo iki šimto tūkstančių ar dar mažiau. Tačiau taip jos apgauna tik save“, – tikina „NRD Cyber Security“ ekspertas.

Apskaičiavus galimus nuostolius, reikėtų atsakyti sau, nuo kokių rizikų turtas nepakankamai apsaugotas bei kuris turtas lengviausiai pažeidžiamas dėl saugos priemonių trūkumų. Atsakymai į šiuos klausimus ir bus toji rizika, į kurios valdymą bendrovė turėtų sutelkti savo dėmesį.

Kiek investuoti?

Anksčiau ar vėliau svarstant kibernetinio saugumo klausimus tenka nuspręsti, kiek vis dėlto reikėtų skirti pinigų tam, kad apsauga būtų pakankama?

R. Lečickis teigia, kad apsispręsti dėl sumos racionaliausia tiesiog parengus verslo planą (business case), kur nuodugniai paskaičiuojama, kiek ir į ką reikia investuoti. Į pagalbą čia gali ateiti ir trečioji šalis – auditoriai arba konsultantai, įvertinsiantys, kas įmonei iš tiesų kritiškai svarbu.

Kitas būdas nustatyti kibernetinio saugumo priemonių biudžetą – vadovavimasis principu, kad investicijų suma turėtų būti mažesnė už galimų nuostolių sumą. Pravartu ir pasižvalgyti po rinkos tendencijas, tačiau aklai jomis vadovauti nevertėtų, nes kiekvienos įmonės atvejis – individualus. Europos investicinio banko tyrimas, kuriame dalyvavo ir „NRD Cyber Security“, atskleidė, kad vidutiniškai bendrovės kibernetiniam saugumui užtikrinti skiria 4,14 proc. viso IT biudžeto. Pagal „Gartner“, šis rodiklis dar didesnis – 6 proc. R. Lečickis atkreipia dėmesį, kad šie skaičiai atspindi stambių kompanijų investicijas, o jei kalbama apie smulkų ir vidutinį verslą, IT biudžeto dalis, skiriama kibernetiniam saugumui, yra neabejotinai didesnė.

McKinsey tinklalaidėje „Inside the strategy room“ apie valdybų vaidmenį kibernetinio saugumo srityje pabrėžiama ir tai, kad investicijos turi būti ne tik pakankamos, bet ir apgalvotos.

„Kartais bendrovės perlenkia lazdą ir tiesiog švaistosi pinigais, tačiau nesusimąsto apie tai, kaip šias investicijas įgalinti dirbti kasdieniuose sprendimuose. Viena pirmaujančių kibernetinio saugumo kompanijų neseniai pasakojo apie atvejį, kaip jų apsaugos sistema, naudojanti dirbtinį intelektą, aptiko įsilaužimą į įmonės sistemas. Paaiškėjo, kad bendrovėje, į kurią buvo įsilaužta, nebuvo žmogaus, kuris sektų sistemos parodymus ir į juos reaguotų. Taigi nepaisant visų į brangią įrangą ir sofistikuotus sprendimus investuotų lėšų, įmonėje niekas nesugebėjo užfiksuoti įsilaužimo ir imtis veiksmų“, – pasakoja Johnas Nobleas, buvęs Jungtinės Karalystės nacionalinio kibernetinio saugumo centro vadovas.

Brangi gamintojų siūloma įranga dažnai traktuojama kaip burtų lazdelė, galinti išspręsti visus saugumo klausimus. Visgi šis lūkestis prasilenkia su realybe. Vieno sprendimo, kuris šimtu procentų užtikrins kibernetinį saugumą nėra ir negali būti, nes jį lemia ne tik technologijos, bet ir įgūdžiai, gerai sustyguoti procesai bei žmonės. Į pastaruosius įmonės ne tik „pamiršta“ investuoti – šiandien dažnas verslas skundžiasi, kad kibernetinio saugumo profesionalų rasti be galo sunku. Tačiau populiarėjant hibridiniam darbo modeliui darosi akivaizdu, kad daugumą, o gal net visas kibernetinio saugumo paslaugas galima teikti nuotoliniu būdu. Tad saugumo stebėseną, ataskaitų rengimą, reagavimą į incidentus ir kitus darbus gali atlikti ir specialistų komanda, išsibarsčiusi po įvairias pasaulio šalis.

Valdybos vaidmuo – itin svarbus

Taigi esminis organizacijos valdybos uždavinys yra įsitikinti, kad įmonės vadovybė suvokia, kaip verslą gali pažeisti kibernetiniai išpuoliai, ir disponuoja visais reikiamais įgūdžiais bei ištekliais, leidžiančiais sumažinti tokių išpuolių riziką arba nuostolius, jei jie visgi įvyktų. Verslo veiklos modeliai šiandien sudėtingėja, daugėja ne tik išorinių, bet ir vidinių kibernetinio saugumo grėsmių. Vykdomoji komanda turėtų pateikti valdybai aiškų atsakymą, kaip visos šios rizikos yra suvaldomos.

Pagunda palikti šiuos klausimus spręsti įmonės IT komandai gali būti didelė, tačiau valdyba privalo įsitraukti – jau vien dėl to, kad jie tiesiogiai susiję su įmonės išlikimu. Be to, reikalauja ne tik investicijų, bet ir kartais sudėtingų sprendimų balansuojant tarp kaštų, teikiamos naudos bei naudojimosi patogumo.

„Gartner“ prognozuoja, kad iki 2025 m. 40 proc. organizacijų savo valdybose turės kibernetinio saugumo komitetą – komandą, kuri padės spręsti šios srities klausimus, o jai vadovaus saugumo srityje kvalifikuotas valdybos narys. Šiuo metu tokį dedikuotą valdymo organą turi mažiau nei 10 proc. valdybų.

„Kibernetinis saugumas nėra raketų mokslas. Tai viskas, kas susiję su įmonės procesais, sistemomis ir duomenimis. Bus paprasčiau, jei valdyba pripažins, jog tai jos darbas yra užtikrinti, kad organizacija yra visapusiškai pasiruošusi. Iš tiesų klausimas yra net ne ar toks įsilaužimas įvyks. Realiau būtų savęs paklausti, kada tai nutiks?“ – sako W. Richteris, „McKinsey“ partneris, technologinių transformacijų ekspertas.

Ir nors šimtaprocentinė apsauga nuo kibernetinių incidentų bei atakų praktiškai neįmanoma, jų poveikis organizacijai ir ją supančiai ekosistemai gali ir turi būti minimizuotas naudojant itin akylas prevencines programas, kurių dėka saugumo aspektas persmelkia kiekvieną bendrovės veiklos sritį ir priimamus sprendimus.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Rašyti komentarą 0
Grėsmių kibernetinėje erdvėje daugėja – kaip apsisaugoti? Verslo tribūna

Siekiant efektyviausiai užtikrinti organizacijos kibernetinį saugumą, vien technologijos nėra visagalės –...

2022.06.08
Šiaulių banko eksperimentas – kada dirbti iš namų darbuotojai sprendžia patys Verslo tribūna 3

Pandemija parodė, kad dirbti iš namų įmanoma, o daliai darbuotojų tai yra net labiau priimtina. Kita vertus,...

2022.06.02
Abipusės naudos beieškant – ar įmanoma valstybės investicijų ir privačių finansuotojų sinergija? Verslo tribūna

Per 20 metų vien UAB „Investicijų ir verslo garantijos“ (INVEGA) į Lietuvos verslą įlieti daugiau nei 2 mlrd.

2022.05.31
Vilniaus kolegija parduoda sostinės centre esantį pastatą Verslo tribūna

Vilniaus kolegija (VIKO) parduoda nuosavybės teise valdomą pastatą, įsikūrusį Vilniuje Naugarduko gatvėje 5.

Statyba ir NT
2022.05.27
„NRD Cyber Security“ kviečia į kasmetinę „CyberSOC“ virtualią konferenciją Verslo tribūna

Gegužės 25 d. vyks jau ketvirtoji metinė konferencija, joje bus kalbama apie saugumo operacijų centrus (SOC),...

2022.05.18
Skaitmeninė revoliucija apskaitos darbų valdyme Verslo tribūna

Iš pirmo žvilgsnio gali atrodyti, kad apskaitoje daug vietos inovacijoms nėra, nes visi darbai persikėlė į...

2022.05.06
Patiriantiems finansinius sunkumus: namų darbai, kurie pravers kalbant su kreditoriais Verslo tribūna

Finansiniai sunkumai – nepriklausomai nuo to, ar jie sukelti vidinių, ar išorės veiksnių – neišvengiama...

2022.05.05
Kibernetinio saugumo specialistams IT žinios – privalumas, bet ne būtinybė Verslo tribūna

Kibernetinio saugumo specialistų poreikis auga ne tik Lietuvoje, bet ir visame skaitmenizacijos keliu...

2022.04.28
INVEGA: verslas turi būti finansuojamas atsakingai Verslo tribūna

Verslai skundžiasi, jog sulaukti finansavimo iš INVEGOS labai sudėtinga, esą keliami griežti reikalavimai,...

2022.04.26
Šiaulių banko patirtis: kodėl pardavimai ir rinkodara turi dirbti išvien Verslo tribūna

Sklandus skirtingų sričių kolegų darbas yra viena iš būtinų sąlygų verslo augimui. Bet realybėje skirtingi...

2022.04.07
VLK kibernetinį atsparumą stiprina bendradarbiaudama su „NRD Cyber Security“ Verslo tribūna

Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (VLK) užtikrina sveikatos priežiūrą,...

2022.03.30
INVEGA primena, kokiomis finansavimo priemonėmis verslas gali pasinaudoti krizių kontekste Verslo tribūna

Rusijai įsiveržus į Ukrainą verslai susiduria su naujais iššūkiais. INVEGA savo ruožtu keičia kai kurias jau...

2022.03.23
INVEGOS veikla prisideda prie kasmetinio beveik 2% šalies BVP sukūrimo Verslo tribūna

INVEGA ateina ten, kur numato valstybės strateginiai tikslai ir ten, kur verslui trūksta finansavimo, nes...

2022.02.17
Pandemijos įtaka verslui: santykis su darbuotojais keičiasi negrįžtamai Verslo tribūna

Besibaigiant antriems pandemijos metams, vis dar sunku tiksliai įvardyti, kiek neigiamos ir kiek teigiamos...

2022.01.19
Ar jūsų valdybos posėdžių dienotvarkėje jau įrašytas kibernetinis saugumas? Verslo tribūna 2

„McKinsey“ atlikta pasaulinė organizacijų valdybų apklausa atskleidė, kad kibernetinis saugumas yra vienas iš...

2021.12.22
Tyrimas: dovanas iš smulkiųjų vietos gamintojų perka kas penktas lietuvis Verslo tribūna

Perkant dovanas iš vietinių gamintojų, galima įsigyti išskirtinį daiktą ar paslaugą, o kartu ir paremti...

2021.12.21
Kalėdinės įmonių dovanos – kodėl ne lietuviškos? Verslo tribūna

Dalis smulkiųjų lietuviškų įmonių per šventinį laikotarpį pasiekia nuo 20% iki 50% visų metų apyvartos. Prie...

2021.12.08
Kibernetinį saugumą užtikrina ir technologijos, ir žmonės: ko svarbu nepraleisti pro akis Verslo tribūna

Jau pusantrų metų siaučianti pandemija paveikė ir kibernetinį saugumą – visame pasaulyje ženkliai padaugėjo...

2021.11.19
„Grinda“: prieš naują transformacijos etapą – įvertinti, kas padaryta Verslo tribūna 1

„Kas veža, tam krauna“. Nors Vilniaus „Grinda“ tarp Lietuvos savivaldybių valdomų įmonių neabejotinai...

2021.11.18
Šiaulių bankas: pasiruošti sukčių puolimui reikia taip, kaip ruošiamasi gaisrui Verslo tribūna

Aiški instrukcija ir procedūros, atsakomybių pasidalinimas, pratybos ir bendra kritinį mąstymą skatinanti...

2021.11.17

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku