Wyobraź sobie tę scenę, tak dobrze znaną każdemu specjaliście IT: stoisz przed zarządem. Masz pięć minut, żeby wytłumaczyć, dlaczego firma potrzebuje znacznego budżetu na “coś”, co w najlepszym wypadku sprawi, że… nic się nie wydarzy. Przez lata walka o środki na cyberbezpieczeństwo przypominała syzyfową pracę. To się właśnie skończyło.
Pojawienie się nowych, ogólnoeuropejskich regulacji – DORA (Digital Operational Resilience Act) i dyrektywy NIS2 – to nie kolejna techniczna nowinka, którą można zignorować. To potężny argument biznesowy, który na stałe przenosi dyskusję o bezpieczeństwie z serwerowni prosto na salę posiedzeń zarządu.
Dają one specjalistom IT język i narzędzia, aby w końcu przebić się do świadomości C-level. To już nie jest rozmowa o technologii, to rozmowa o przetrwaniu i przyszłości firmy.
Nowe zasady gry
Do tej pory wiele decyzji dotyczących cyberbezpieczeństwa można było odkładać w czasie. Teraz to już nie jest prośba, to twardy obowiązek prawny. DORA, celująca w sektor finansowy, oraz NIS2, rozszerzająca wymogi na kluczowe sektory gospodarki, wprowadzają fundamentalne zmiany.
Nowe przepisy ustanawiają przede wszystkim osobistą odpowiedzialność kadry zarządzającej za wszelkie zaniedbania, co jest argumentem skutecznie przyciągającym uwagę. Co więcej, celem regulacji nie jest samo unikanie ataków, ale zapewnienie ciągłości działania nawet w trakcie poważnego kryzysu.
Największa rewolucja dotyczy jednak podejścia do partnerów. Zabezpieczanie tylko własnej firmy jest dziś jak instalowanie tytanowych drzwi w domu z papierowymi ścianami. Obie dyrektywy jasno mówią: jesteś tak bezpieczny, jak najsłabszy dostawca.
To w łańcuchu dostaw czai się dziś największe, często niewidoczne ryzyko, którym zarząd musi zrozumieć i którym musi zarządzać.
Jak przetłumaczyć język techniczny na język korzyści?
Kluczem do sukcesu jest porzucenie technicznego żargonu na rzecz języka, który rozumie każdy członek zarządu: języka ryzyka, pieniędzy i strategii.
Pierwszym krokiem jest zmiana perspektywy i rozpoczęcie rozmowy o ryzyku, a nie o technologii. Zarząd nie musi znać różnicy między EDR a XDR. Musi za to rozumieć, jakie ryzyko biznesowe akceptuje, nie inwestując w nowoczesne narzędzia.
Zamiast prosić o “zaawansowany system do korelacji logów”, należy przedstawić scenariusz biznesowy: “Jeśli nasz kluczowy dostawca zostanie zhakowany, dowiemy się o wycieku danych naszych klientów z mediów.
To ryzyko utraty reputacji i kar na poziomie milionów złotych. Potrzebujemy narzędzia, które da nam wczesne ostrzeżenie”.
Po drugie, należy posługiwać się językiem pieniędzy, a nie procentów. Abstrakcyjne pojęcia, takie jak “uptime”, warto zastąpić konkretnymi stratami finansowymi. Zamiast mówić o zapewnieniu dostępności serwerów na poziomie 99,99%, lepiej zapytać: “Każda godzina niedziałania naszej platformy sprzedażowej to strata rzędu 50 000 zł w przychodach. DORA wymaga od nas posiadania planu awaryjnego. Na jak wysoką stratę możemy sobie pozwolić, zanim zareagujemy?”.
Po trzecie, dyskusja powinna dotyczyć realnych zagrożeń, a nie hipotetycznych możliwości. Dzięki nowoczesnym narzędziom do analizy zagrożeń (threat intelligence) nie trzeba już opierać się na przypuszczeniach. Zamiast ostrzegać przed “teoretycznym ryzykiem phishingu”, można przedstawić twarde dane: “Nasze systemy analityczne pokazują, że grupa hakerska specjalizująca się w atakach na firmy z naszej branży jest teraz wyjątkowo aktywna. W zeszłym miesiącu zaatakowali naszego głównego konkurenta. To nie jest pytanie ‘czy’, tylko ‘kiedy’ spróbują u nas”.
Plan działania w 3 krokach
Teoria jest ważna, ale liczy się działanie. Zamiast przedstawiać zarządowi problem, przyjdź z gotowym planem. Skuteczne podejście zaczyna się od przygotowania “mapy ryzyka”. Należy na niej zidentyfikować trzech do pięciu kluczowych dostawców, bez których firma nie może funkcjonować, i krótko opisać, jak awaria każdego z nich wpływa na finanse i operacje.
Następnym krokiem jest stworzenie “karty argumentów” dla każdego zidentyfikowanego ryzyka. Powinno to być jednostronicowe podsumowanie w języku biznesowym, wyjaśniające problem, jego konsekwencje finansowe i proponowane rozwiązanie wraz z kosztem.
Na koniec, zamiast prosić o ogólne zwiększenie budżetu, należy zaproponować konkretne, mierzalne cele, takie jak przeprowadzenie audytu bezpieczeństwa u najważniejszych partnerów do końca kwartału w celu redukcji ryzyka operacyjnego o określony procent.
Wielka szansa
DORA i NIS2 to nie jest kolejny problem do rozwiązania. To wyjątkowa szansa. To moment, w którym specjaliści IT, uzbrojeni w twarde, biznesowe argumenty, mogą w końcu zająć strategiczne miejsce przy stole, na które zasługują.
Drzwi do sali zarządu są teraz otwarte szerzej niż kiedykolwiek wcześniej. Nie czekaj, aż ktoś cię zaprosi. Przygotuj argumenty, mów językiem biznesu i poprowadź swoją firmę w kierunku prawdziwej cyberodporności.
