Bogdan Botezatu este director de cercetare în ameninţări informatice în cadrul Bitdefender

Un urcuş la deal perpetuu

Potrivit unui studiu realizat de Bitdefender în 2018, responsabilităţile şefilor IT au crescut considerabil, atât ca număr, cât şi ca importanţă. O treime dintre cei chestionaţi mărturiseau că rolul lor se transformase aproape complet în ultimii ani, punând o presiune imensă pe execuţia sarcinilor asociate cu poziţia de director de securitate. Aproape jumătate dintre respondenţi semnalau că, deşi organizaţia făcea investiţii în tehnologii noi menite să stimuleze creşterea de venituri, bugetul alocat tehnologiilor de securitate informatică rămăsese neschimbat. Este greu de ignorat că 2018 a fost marcat de cele mai mediatizate breşe de securitate din ultimii ani. În acelaşi studiu, două treimi dintre companii mărturiseau că ar fi plătit în medie 100.000 de euro ca să evite un scandal public rezultat dintr-o breşă.

O cercetare efectuată de compania de consultanţă Accenture scotea la iveală rezultate similare: sarcinile directorilor de securitate IT se înmulţeau mai repede decât aceştia puteau să le îndeplinească. Unul din motivele principale identificate de cei chestionaţi era că strategiile de business nu se aliniau cu zonele de risc asociate cu mediul digital. În tot acest timp, presa continua să scrie despre atacuri cibernetice fără precedent.

În realitatea lui 2019, provocările cu care se confruntă directorii de securitate IT rămân neschimbate. Ba mai mult, acestea încep să le afecteze deciziile, sănătatea fizică şi sănătatea mentală. O realizare îngrijorătoare a firmei britanice Nominet, care a efectuat un studiu recent, a fost că unu din trei directori de securitate informatică ar concedia peste noapte orice angajat dacă s-ar dovedi că breşa a avut loc prin intermediul dispozitivului persoanei respective.

Întrebarea firească în acest caz este: oare compania respectivă efectuează traininguri de securitate cu angajaţii? Dacă nu, a cui este vina, când organizaţia cade pradă atacatorilor?

Misiunea şefului de securitate în 2019

Aceste date, atât de consecvente de la an la an, sunt un indicator că schimbarea de mentalitate la nivel executiv nu mai suportă amânare. Directorii de securitate informatică nu mai au de mult un job strict nişat în domeniul IT. Pe lângă securizarea infrastructurii, acestora li se cer rapoarte cu privire la tendinţe globale, performanţă, strategii şi cheltuieli. Consiliile de directori nu vorbesc însă aceeaşi limbă ca directorii de securitate. De exemplu, dacă discuţia începe cu achiziţionarea ultimei tehnologii de detecţie şi ce capacităţi tehnice are aceasta, consiliul de administraţie poate fi uşor confuz, iar argumentele pentru investiţii în aceste tehnologii nu vor avea succesul scontat.

Directorii de securitate trebuie să îşi exerseze capacităţile persuasive, explicând mai degrabă care sunt riscurile financiare asociate cu o breşă, amintind pedepsele legislative cu privire la breşe şi impactul acestora asupra afacerii. Să ne amintim că, în numai trei zile, autorităţile responsabile cu protecţia datelor personale in Uniunea Europeană au dat amenzi de peste 315 milioane de euro pentru neconformitate cu GDPR. Printre organizaţiile afectate se numără compania aeriană British Airways, lanţul de hoteluri Marriott şi UniCredit România.

Exemplele de cazuri reale de breşe la competitori pot fi o pârghie facilă pentru a deschide dialogul pe tema securităţii informatice şi totodată pentru a justifica cheltuielile asociate cu securizarea infrastructurii IT. In loc să speculeze, directorii de securitate acum pot oferi dovezi concrete că, fără un buget adecvat, este doar o chestiune de timp până infrastructura va fi compromisă.

Breşele afectează încrederea clientului în bunurile şi serviciile oferite de o companie. Prezentând statistici relevante, directorii de securitate pot argumenta nevoia de tehnologii de securitate noi şi personal calificat ca motor de creştere a businessului. Discursul trebuie axat pe atingerea obiectivelor şi rezultate.

În prezent, costurile asociate cu incidentele de securitate informatică se ridică la zeci de miliarde de euro anual la nivel global. Riscurile asociate cu securitatea informatică afectează relaţiile cu partenerii şi clienţii, cota de piaţă şi imaginea organizaţiei.

În ceasul al doisprezecelea, liderii din companii trebuie să alinieze securitatea informatică cu restul obiectivelor de business. Altfel, mediul de afaceri riscă să mai piardă un an în cursa spre consolidarea sistemelor şi proceselor de securitate, cu riscul iminent de a suferi consecinţe dintre cele mai neplăcute.