Jeśli pracujesz w dziale odpowiedzialnym za bezpieczeństwo cybernetyczne w Twojej firmie czy organizacji, musisz się liczyć z tym, że będziesz musiał zdobyć od decydentów finansowych (funkcjonujących w ramach tego podmiotu) odpowiednie fundusze na wspomniany cel. Zdobyć, a później je utrzymać. Ani jedno, ani drugie nie musi być wcale łatwe, lecz my pomożemy Ci osiągnąć ten cel. Dlatego musisz przeczytać, zapamiętać i stosować się do poniższych 10 porad.
1. Ustal fundusze na potrzeby bezpieczeństwa, zanim jeszcze wystąpi taka potrzeba. A kiedy już zdobędziesz te fundusze, utrzymuj je na stałym poziomie.
Potrzeby finansowania bezpieczeństwa cybernetycznego musisz sygnalizować od początku swojej działalności w organizacji, tak aby oswoić decydentów finansowych z istotą problemu oraz potrzebą prowadzenia prewencyjnych działań w tej kwestii. Jeśli pojawisz się “nagle z nikąd” i zażądasz od działu finansowego (z którym dotychczas nie miałeś kontaktów) potrzebę na dużą kwotę pieniędzy, możesz nie tylko być potraktowany niepoważnie, ale i po prostu Twój problem nie uzyska statusu priorytetowego czy istotnego i nigdy nie będzie wzięty pod uwagę przy ustalaniu budżetu firmy.
2. Nie używaj taktyki zastraszania.
Jeśli argumentujesz potrzebę przeznaczenia pewnych środków finansowych na utrzymanie bezpieczeństwa cybernetycznego organizacji, nie używaj argumentów mających za zadanie zastraszyć decydentów. Na początku taktyka taka może być skuteczna, jednak z czasem, kiedy okaże się, że sugerowane przez Ciebie zagrożenia nie są tak straszne, jak je zarysowałeś, bądź nigdy nawet nie wystąpią, a Ty po prostu stracisz nie tylko część funduszy na bezpieczeństwo w kolejnym budżecie, ale i wiarygodność. A bez wiarygodności Twoja siła przy następnych negocjacjach będzie znacznie ograniczona.
3. Zdobądź poświadczenie (certyfikat) bezpieczeństwa cybernetycznego.
Silnym argumentem przy dyskusjach z działem finansowym może okazać się posiadanie ważnego i najlepiej uznawanego w (międzynarodowym) środowisku informatycznym certyfikatu bezpieczeństwa. Będziesz mógł się wówczas pochwalić, że znasz się na temacie i jesteś w tej dziedzinie specjalistą. Do bardzo ważnych poświadczeń należy m.in. CISSP (Certified Information Systems Security Professional) czy też CISM (Certified Information Security Manager).
Lepiej zapłacić za bezpieczeństwo, niż później płacić za nieostrożność... / Photo credit: elhombredenegro / Foter.com / CC BY
4. Odnieś problematykę cybernetyczną do kwestii biznesu.
Zarysuj kwestię bezpieczeństwa internetowego, jako bardzo ważny aspekt wpływający na działalność firmy, w tym również na jej rozwój i pozyskiwanie nowych klientów. Najprawdopodobniej jeśli wspomnisz decydentom finansowym, że należy chronić firmę od strony informatycznej, gdyż przy cyberataku może nastąpić kilkugodzinne (kilkudniowe) wyłączenie strony www firmy (organizacji), to nikt nie uzna tego za realne i szkodliwe zagrożenie dla biznesu. Jeśli jednak wspomnisz o utraconym w ten sposób kanale komunikacji z potencjalnymi i obecnymi klientami oraz współpracownikami, czy nawet o utracie istotnych dla firmy danych (wyciek dokumentów, schematów, planów itp.), to z pewnością argument taki będzie wzięty serio.
5. Mów prosto i zrozumiale.
Nikt nie może wątpić, że jesteś specjalistą w dziedzinie bezpieczeństwa cybernetycznego, ale w rozmowach z innymi działami (w tym z działem finansowym) nie używaj skomplikowanej, specyficznej terminologii komputerowej. Jeśli Twoi rozmówcy nic lub niewiele zrozumieją z tego, co mówisz, to i w niewielkim zrozumieją istotę zagrożeń, czychających na firmę w świecie cybernetycznym. Mów prosto i zrozumiale, tak “na chłopski rozum”, choć i w drugą stronę nie przesadzaj, w końcu nie rozmawiasz z ludźmi ograniczonymi umysłowo.
6. Weź pod uwagę ograniczone zasoby finansowe organizacji.
Jak się zapewne domyślasz, Twoja firma nie ma nieograniczonych środków finansowych. A te które ma, musi przeznaczyć na wiele rozmaitych elementów związanych z jej działalnością – bezpieczeństwo cybernetyczne będzie tylko jednym z wielu elementów finansowania. Dlatego zaplanuj wszelkie wydatki z tym związane racjonalnie, nie musisz od razu wszystkiego osiągnąć, możesz powoli, systematycznie wprowadzać kolejne elementy całego planu bezpieczeństwa firmy. Przed rozmową z decydentami finansowymi przygotuj sobie również rozmaite ewentualności zrezygnowania, z niektórych punktów, o które zamierzasz prosić, być może będziesz musiał przedstawić oszczędnościowy plan bezpieczeństwa cybernetycznego organizacji.
Cybeprzestępcy tylko czekają, kiedy popełnisz błąd... / Photo credit: verbeeldingskr8 / Foter.com / CC BY-NC-SA
7. Działaj zgodnie z zaprezentowanym przez siebie planem.
Nic nie zmniejszy zaufania do Ciebie jak fakt, że będziesz działał wbrew swojemu własnemu planowi, czy też będziesz się mijał z jego celami. Jeśli zaplanowałeś konkretne wydatki, trzymaj się ich, nie zmieniaj ich, bo stracisz wiarygnodność. Nawet jeśli w międzyczasie wyszło coś pilnego, możesz być po prostu potraktowany jako kombinator, który od początku planował inne wydatki, a zaprezentował inne, łatwiejsze do przełknięcia przez decydentów. Po prostu jeśli Twój plan wymaga korekty, udaj się z taką informacją do działu finansowego i z nim przedyskutuj całą sprawę, aby uzyskać aprobatę.
8. Na bieżąco informuj dział finansowy o kwestiach bezpieczeństwa firmy.
I pamiętaj – nie strasz ich przy tym. Potraktuj to raczej jako formę przedstawienia im nowinek ze świata cyberbezpieczeństwa, różnych rozwiązań, czy konferencji dotyczących tego tematu. Możesz też od czasu do czasu podesłać link do jakiegoś artykułu związanego z nowymi zagrożeniami. Warto też od czasu do czasu podesłać skrótowy, myślowy raport (czy raczej wypunktowanie) zagrożeń, których udało wam się uniknąć, np. nieudane ataki na serwer, próby cyber-włamań itp. Podkreśl przy tym, że dzięki stosowanym przez dział informatyki metodom (wspieranym finansowo przez budżet firmy) udało wam się uniknąć kolejnych zagrożeń.
9. Wykonaj audyt zewnętrzny stanu cyberbezpieczeństwa.
Jeśli nie możesz się przebić przez opór decydentów finansowych, postaraj się chociaż namówić ich do dokonania audytu zewnętrznego bezpieczeństwa waszej firmy. Zwykle zewnętrzni specjaliści są brani bardziej serio, czy uważa się ich za bardziej obiektywnych przy ocenie różnych spraw, w tym przypadku kwestii bezpieczeństwa. Jeśli i to się nie uda, wraz ze swoimi współpracowniami sami dokonajcie takiego audytu na miarę swoich możliwości, postarajcie się być obiektywni i wykażcie nie tylko słabe punkty waszego obecnego planu cyberbezpieczeństwa, ale i jego mocne punkty i dobre rozwiązania. Wskażcie kroki, jakich należy dokonać by poprawić obecną sytuację.
10. Zawsze podkreślaj, że cyberbezpieczeństwo nie jest tylko sprawą technologii informacyjnej, a jest to element zarządzania ryzykiem.
Bo kwestia cyberbezpieczeństwa to złożona problematyka, na którą składa się wiele rozmaitych drobnych elementów i która wpływa na wiele płaszczyzn działalności firmy. Z jednej strony jest to kwestia uczulania pracowników na bezpieczne zachowanie w sieci (i wokół jej infrastruktury), z drugiej zaś strony wiąże się ona z wyciekaniem danych strategicznych, planów, informacji o pracownikach, prywatnych danych itp.
Zapamiętanie wszystkich tych punktów nie musi Ci zapewnić stałego dopływu gotówki na cele związane z cyberbezpieczeństwem, ale z pewnością ułatwi walkę o nie. Pod warunkiem, że nie zapomnisz też o podstawowych prawach kierujących się waszą branżą i funkcjonujących wewnątrz waszej organizacji, a także o kulturze osobistej i uprzejmości. Powodzenia!
