„Nie ma już świata, w którym problemy rozwiązuje się w sposób linearny. Żyjemy w skomplikowanym świecie i musimy myśleć w sposób nielinearny” – stwierdza Bruno Horta Soares, założyciel i starszy doradca w Governance Advisors, As a Service, podczas tegorocznej konferencji SEMAFOR. „To problem skomplikowanych środowisk. Nie ma punktów startu czy końca. Jest jedynie reprezentacja obecnego stanu”.

Tym trudniej jest wyjaśnić biznesowi, za co płaci, ponosząc nakłady na bezpieczeństwo IT. Problem polega na tym, że firmy „płacą za rzeczy, a nie wiedzą, do czego one służą” – mówi Bruno Soares. Aby poprawić komunikację i zarządzanie bezpieczeństwem, proponuje zastosowanie metodyki COBIT5: standardu i dobrych praktyk odnoszących się do zarządzania informatyką i związanymi z nią procesami w przedsiębiorstwach. Ramy COBIT nie zastępują innych popularnych metodyk, takich jak: TOGAF, ITIL czy PRINCE, ale je uzupełniają.

„Ryzyka związane z bezpieczeństwem IT biorą się głównie z zagrożeń o charakterze cyfrowym. Dotyczą podatności zasobów, które posiadamy. Niezależnie od tego, nie ma potrzeby, aby opowiadać o tym przedstawicielom biznesu. [...] Mogę im wytłumaczyć, że wszystkie cyberzagrożenia będą miały ostatecznie wpływ na benefity, ryzyka i zasoby firmy” – mówi. To sposób, aby wyjaśnić przedstawicielom biznesu, w jaki sposób wydatki i działania w zakresie bezpieczeństwa IT wpływają na kreowanie przez firmę wartości. Jak więc dostosować komunikację na temat bezpieczeństwa IT do strony biznesowej?

Spełniaj potrzeby interesariuszy. Nie należy opowiadać: jak, należy opowiadać: dlaczego. Komunikacja musi się odbywać w języku zrozumiałym dla biznesu. „Potrzebujesz ISO 27001 nie dlatego, że sądzisz, że to najlepsze rozwiązanie, ale dlatego że jego wdrożenie wpływa na cele interesariuszy” – mówi Bruno Soares. „To właściwe podejście”.

Powołuje się przy tym na kaskadę celów, narzędzie stosowane w ramach standardu COBIT5. „Jeżeli możesz kaskadowo przejść od oczekiwań interesariuszy, potrzeb przedsiębiorstwa, celów związanych z IT do tzw. celów (czynników) umożliwiających – a tutaj znajduje się bezpieczeństwo IT – będziesz potrafił pokonać odwrotną drogę” – podkreśla B. Soares. Od czynników umożliwiających do oczekiwań interesariuszy.

Udowodnij, że kwestia bezpieczeństwa zależy od całej organizacji. Przedstawiciele biznesu często sądzą, że za bezpieczeństwo firmy odpowiedzialni są eksperci od bezpieczeństwa. Tymczasem „mówienie o organizacji i zarządzaniu bezpieczeństwem w firmie polega na wyjaśnianiu, w jaki sposób wszyscy są zaangażowani” – podkreśla B. Soares. Przykład? „System informatyczny przestał działać w dniu wyborów. [...] Minister mówił: musicie zrozumieć, że czym innym jest odpowiedzialność za prawo, a czym innym za system. Acha. Czyli czym innym jest odpowiedzialność za podróż na księżyc, a czym innym za statek kosmiczny?” – ironizuje.

Drugą zasadą COBIT5 jest traktowanie ładu informatycznego jako elementu całego ładu korporacyjnego i zarządzanie nim. W odniesieniu do bezpieczeństwa IT oznacza to, że swoją rolę w jego zapewnianiu mają zarówno specjaliści IT, jak i pracownicy oraz zarząd.

Mówcie w tym samym języku. Trzecią zasadą COBIT5 jest stosowanie pojedynczych, zintegrowanych standardów dla całej organizacji. Dotyczy to także standardów komunikacji i określania wspólnych celów.

Często przedstawiciele IT koncentrują się na wykonywaniu własnych zadań, a nie ich wpływie na działalność biznesu. „Kiedy starasz się opowiedzieć o tym, co robisz, [...] musisz starać się łączyć z innymi, postawić w ich sytuacji i mówić tym samym językiem. To dlatego standardy takie jak COBIT są tak ważne. Nie po to, aby wymieniać, ale by łączyć zagadnienia”.

W ten sposób osoby zarządzające kwestiami bezpieczeństwa IT będą lepiej rozumiane. Wzrośnie także poczucie, że zależy im na realizacji wspólnego celu.

Pokaż obraz całości. „Cyfrowa transformacja nie polega na technologii, ale na tym, co może ona dostarczyć ludziom, procesom i organizacjom. Rolą technologii jest wpływanie na te kwestie” – podkreśla Bruno Soares. Wyjaśnienie tego będzie konieczne, aby biznes dostrzegł w technologii czynnik umożliwiający zmianę i dostosowanie działania firmy do potrzeb jej klientów. Z drugiej strony ważne holistyczne podejście do tematu wskazuje specjalistom IT, że wydajne środowiska informatyczne nie są celem samym w sobie, ale warunkiem dostarczania wartości przez organizację. Zapewnienie bezpieczeństwa IT to także element umożliwiający kreację tej wartości.

Właściwie podziel odpowiedzialność. „Sponsorowanie to coś zupełnie innego niż odpowiedzialność. Widziałem organizacji, których zarządy hojnie sponsorują bezpieczeństwo IT. Czy wiedzą cokolwiek na temat swojej odpowiedzialności za to bezpieczeństwo? Zupełnie nic" – konkluduje. Przestrzega, by nie brać takiego „sponsoringu”. Gdy bezpieczeństwo zostanie naruszone, wina spadnie na IT, nawet jeśli błąd nastąpił po stronie biznesu.

By tego uniknąć, pracownicy odpowiedzialni za bezpieczeństwo IT muszą dotrzeć do zarządu z komunikatem, w jaki sposób zarządzanie bezpieczeństwem IT wpływa na kreowanie wartości w firmie? Jak wpływa na realizację korzyści oraz optymalizację ryzyka i posiadanych zasobów? Zarząd firmy musi pamiętać, że nie istnieje możliwość zapewnienia 100-proc. bezpieczeństwa. Ważne, by wspólnie ze specjalistami wypracował kierunki i priorytety oraz konsekwentnie monitorował i oceniał ich realizację. „Zarząd musi rozumieć, co ma robić, a nie za co ma płacić i co sponsorować” – podsumowuje Bruno Soares.

Piąta zasada COBIT wskazuje, że czym innym jest kreowanie ładu, określanie kierunków i priorytetów, a czym innym zarządzanie w wyznaczonych ramach.