Czy biznes może zrozumieć bezpieczeństwo?

Osoby zajmujące się zarządzaniem ryzykiem nie działają w próżni - są częścią biznesu lub instytucji. Dlatego wszystko, co robią, powinno przynosić korzyści biznesowe. Podchodząc w ten sposób do bezpieczeństwa, można zjednać sobie przedstawicieli biznesu, zamiast mieć w nich oponentów.

W dzisiejszych realiach osoby odpowiedzialne za bezpieczeństwo informatyczne często są w opozycji do kierowników działów biznesowych. Ludzie od bezpieczeństwa ze zrozumiałych powodów przekonują do stosowania najbardziej szczelnych zabezpieczeń, jak to tylko możliwe. Natomiast strona biznesowa patrzy na zabezpieczenia wyłącznie w kategoriach jak najmniejszego zakłócania działalności biznesowej. Jednak biznes i bezpieczeństwo mogą znaleźć nić porozumienia. Jeśli te dwie strony będą ze sobą współpracować, mogą wspólnie napędzić biznes, a bezpieczeństwo może stać się dochodową cechą biznesu. Sukces częściowo zależy od tego, jak obie strony rozumieją różnicę między podatnościami i ryzykiem, między kosztami i wartością.

Podatność to luka, która jeśli zostanie wykorzystana, umożliwia przeprowadzenie włamania i, np. kradzież danych. Podejmując decyzję o czasie i sposobie usuwania luk, trzeba jednakże wziąć pod uwagę prawdopodobieństwo, że dana podatność może zostać wykorzystana, szkody, jakie mogą w związku z tym powstać oraz koszty dla biznesu, gdy dojdzie do takiego zdarzenia. Te czynniki razem składają się na coś, co określamy terminem ryzyka.

Zobacz również:

Biznes powinien podejmować działania związane z bezpieczeństwem na podstawie oceny ryzyka, a nie skupiać się na doraźnych działaniach i naprawianiu pojawiających się błędów. Przykładowo, protokół kryptograficzny TLS 1.0 zawiera lukę, którą można wykorzystać poprzez atak typu POODLE. Dla większości firm nie jest to jednak krytyczna luka. Nawet PCI Security Standards Council nie wymaga usuwania TLS 1.0 z istniejących instalacji. Dlatego przy ocenie ryzyka najczęściej ta luka nie znalazłaby się na szczycie listy.

Podchodząc do zarządzania podatności od strony ryzyka, wyzwaniem jest poprawne oszacowanie ryzyka biznesowego dla każdej podatności. Jest to zadanie zdecydowanie dla osoby mającej doświadczenie zarówno biznesowe jak i technologiczne. Bez dobrego podkładu wiedzy technologicznej ciężko jest dobrze zrozumieć, jakie ryzyka stwarzają poszczególne luki. Jednocześnie brak dobrego zrozumienia biznesu znacznie utrudnia miarodajną ocenę potencjalnego wpływu wykorzystania poszczególnych luk czy oszacowanie planowanych wydatków na bezpieczeństwo. Bez dobrej wiedzy z obu tych obszarów konieczne jest wsparcie dodatkowych osób przy ocenie ryzyka. Od strony formalnej proces określania ryzyka nie jest prosty, ale wykonalny. Ważnym zadaniem jest, m.in. znajomość zasobów, które wymagają ochrony. Bez tej wiedzy działania ochronne będą się koncentrowały na prostych zadaniach, zamiast na tym, co jest faktycznie istotne. Warto się jednak podjąć tego zadania, niezależnie od wielkości firmy.

Mając ukończony proces oceny ryzyka, dysponuje się solidnym dokumentem do dyskusji z kierownictwem biznesowym. Te osoby, mimo że mają mniejszą wiedzę na temat technologii, raczej będą w stanie zrozumieć przekaz zawarty w takim dokumencie i go uszanować. Jeśli występują podatności stwarzające wysokie ryzyko, ciężko tym osobom będzie wytaczać takie kontrargumenty, jak konieczność ukończenie zadań czy ograniczenia budżetowe.

Pracując z przedstawicielami biznesu, specjaliści od bezpieczeństwa powinni szczególnie wziąć pod uwagę kilka kwestii.

Pokazuj wartość bezpieczeństwa

Bezpieczeństwa dobrze się dzisiaj sprzedaje. Klienci obawiają się, jak zabezpieczone są ich dane i jak niezawodni są producenci wspierający te rozwiązania. Firmy mogą, a wręcz powinny, wykorzystywać zalety tej sytuacji. Dlatego warto pracować z liderami biznesu nad dobrze udokumentowanym procesem zarządzania ryzykiem, a następnie eksponować go klientom jako przewagę konkurencyjną.

Kupuj rozważnie

Osoby techniczne lubią najnowsze technologie i gadżety. Zaleca się jednak zachowanie umiaru. Drogie, zaawansowane technologicznie narzędzia bezpieczeństwo często nie przynoszą oczekiwanego zwrotu z inwestycji. Zakup drogiego sprzętu, który nie przynosi korzyści, spowoduje, że przy kolejnych wydatkach biznes może przyciąć budżet. Każdy zakup należy oceniać, porównując ryzyko z potencjalnym zyskiem. Jednym z modnych obecnie obszarów bezpieczeństwa jest zbieranie informacji na temat zagrożeń, m.in. o aktywnych szkodnikach i wykorzystanie tych informacji do uszczelnienia zabezpieczeń. To dobrze wygląda na papierze, ale większość firm nie dysponuje zespołami bezpieczeństwa wystarczająco dużymi, żeby faktycznie wykorzystać tego rodzaju dane. Przeznaczanie znacznej sumy na rozwiązanie, z którego nie zrobi się odpowiedniego użytku, nie jest dobrym pomysłem.

Opracuj dobre metryki

O ludziach zajmujących się biznesem i bezpieczeństwem można powiedzieć, że są z różnych planet. Biznes najczęściej mówi i myśli posługującym się kryteriami finansowymi. Z kolei w świecie bezpieczeństwa panuje dążenie do zapewnienia jak najwyższego poziomu zabezpieczeń. Podejmując dobre decyzje dotyczące wydatków na bezpieczeństwo warto po fakcie pokazać, korzystając z solidnych metryk, jakie korzyści przyniosła dana inwestycja. To w przyszłości zaprocentuje łatwiejszym przekonaniem biznesu do kolejnych wydatków.