Kawa z biznesem – jak zacząć budować cyberodporność
Na co dzień jesteśmy bombardowani ofertami typu, mój audyt, SIEM, UTM, SOC, Endpoint Protection … jest najlepszy. Mamy coraz więcej webinarów, specjalistycznych konferencji. Jak się w tym wszystkim połapać i wybrać optymalne dla nas rozwiązanie?
Nie musisz znać się na wszystkim, możesz zlecić i wymagać od innych.
Zanim to zrobisz warto zweryfikować kompetencje, doświadczenie i referencje swoich Partnerów, którzy pomagają Ci w analizie procesów, analizie ryzyka, zaprojektowaniu, zakupach, wdrożeniu i utrzymaniu bezpiecznych systemów IT tj. audytora, integratora, vendora, doradcy handlowego, dystrybucji, architektów, wdrożeniowców, kancelarii prawnej.
Przede wszystkim najlepszą inwestycją będzie dobra kawa, zacznij rozmawiać z biznesem, poznaj jego perspektywę i krytyczne procesy w organizacji. Zrozumienie i pełen obraz pomoże w opracowaniu analizy ryzyka, zaplanowaniu działań, doborze technicznych i proceduralnych sposobów zabezpieczeń gwarantujących ciągłość działania, poufność, integralność, dostępność, rozliczalność dostępu do danych, ale i zgodność z dyrektywami i prawem za które jesteś odpowiedzialna/ny…
Brzmi poważnie, jest sporo po drodze, ale główną intencję tego bloga jest przybliżyć jak to zrealizować.
..to jest proza życia i codzienne wyzwania, biznes jest zdeterminowany do przynoszenie zysków, nieliczni mają w organizacji budżet na cybersecurity. Prowadząc rozmowy z zarządem, właścicielem w celu uzasadnienia koniecznych inwestycji w audyt i zabezpieczenia, powinniśmy być postrzegani jako Partner. Zdecydowanie rozmowa potoczy się sprawniej, gdy będziesz mógł zweryfikować, czy koszt zabezpieczeń nie jest większy od wartości chronionego zasobu, jeśli pokażesz, że znasz cele biznesowe firmy, ile kosztuje niedostępność 1 dnia do kluczowych systemów, aplikacji, danych, informacji – patrz ile PLN strat finansowych kosztuje brak lub zaniechanie działań.
Aktualnie zabezpieczenia monitorujące bezpieczeństwo, wspierające proces zarządzania incydentami wskazują tzw. risc score/severity – zazwyczaj jest to poziom krytyczności wyrażony w % lub wartość w walucie, jak dany proces może wpłynąć na działalność biznesową.