Ez itt az on the other hand, a portfolio vélemény rovata.
„Nézd, erre most tényleg nincs költségvetésünk”
Ez messze a leggyakoribb válasz, amellyel a legtöbb kiberbiztonsági vezető szembesül, amikor új kezdeményezést javasol az üzleti oldalt képviselő vezetőknek. Bár lehet, hogy te magad is kimondtad ezeket a szavakat (talán jogosan is), mennyire lehetsz biztos abban, hogy a biztonsági vezető megfogalmazása és a te értelmezésed alapján helyes döntést hoztál?
Mivel a legtöbb vállalat és vezető folyamatos nyomás alatt áll a folyamataik és a működési költségeik optimalizálása, utóbbiaknak ráadásul a csökkentése miatt is, miközben azt várják, hogy a szolgáltatásaikat bővítsék, néha még a legkritikusabb projektek sem valósulnak meg. Ennek általában a legfőbb oka, hogy a technikai csapatok nem mindig tudják megfelelően kihangsúlyozni az ilyen döntések fontosságát és lehetséges hatásait. Ezért az alábbiakban összeszedtük néhány általánosan érvényes kulcskérdést, amelyeket az üzleti vezetőknek érdemes megválaszolni, mielőtt fontos döntéseket hoznak a digitális rezilienciájukat vagy a kiberbiztonságukat érintő kezdeményezésekről.
Mennyire valós a veszély?
Minden hiteles, kiberfenyegetéseket elemző szolgáltató szerint
ma már nem az a kérdés, hogy az adott szervezetet megtámadják-e egyáltalán, hanem sokkal inkább az, hogy mikor?
Az egyre inkább összefonódó üzleti világban, ahol számos kritikus üzleti szolgáltatást és folyamatot (pl. felhőszolgáltatást, illetve szoftveres eszközöket) harmadik felek biztosítanak vagy üzemeltetnek, egy kiberincidens potenciális, úgynevezett kárhatása meglepően túlmutathat a támadás elsődleges célpontján. Ezért, ahogy ezeknek a vállalatoknak a támadási felülete egyre növekszik, úgy az üzleti tevékenységek megfelelő védelméhez a biztonsági erőforrások szervezeti szintű priorizálását kell megtenni.
A fenyegetettség létezése vagy az esetleges kitettség viszont nem feltétlenül jelenti azt, hogy a vállalat működése komoly veszélyben lenne. Egy konkrét munkánk során Európa egyik legnagyobb energetikai vállalatával körülbelül 6 hónapot töltöttünk azon eszközök, valamint a hozzájuk tartozó rendszerek azonosításával és kiválasztásával, amelyeket be szerettünk volna venni a 3 éves transzformációs programunk munkatervébe.
Mivel számos üzletág és szakértő bevonásával közösen kellett megvitatnunk és értékelnünk, hogy mennyire valós a fenyegetés az egyes eszközkategóriák vagy típusok esetében, egy látszólag jogos és egyszerűnek tűnő kérdés megválaszolása szintén komoly erőforrások ráfordítását igényelte. Végül a folyamat eredményeképpen, a bizonyos eszközkategóriák esetében megállapított magas fenyegetettségi szint, önmagában még nem indokolta a megoldásokra fordított jelentős kiadásokat, mert esetleges kiesésük minimális, elhanyagolható biztonsági, anyagi, vagy reputációs károkat okozott volna. Ezért, ebben az esetben is inkább azt javasoltuk, hogy vizsgáljuk meg ezen eszközosztályok tényleges fontosságát az üzleti működés szempontjából.
A kockázatkezelés alapvetései
Tehát, minden biztonsággal, avagy rezilienciával kapcsolatos tevékenységnél egyértelműen meg kell határozni, hogy az adott szolgáltatás vagy intézkedés hogyan csökkenti a feltárt kockázatokat. A kockázatkezelés bevált gyakorlatai alapján (melyek a fenyegetettségi szintből, sérülékenységekből és a lehetséges kárhatások elemzéséből épülnek fel) a vállalatok érettségi szintje jelentősen eltérhet.
A legfejlettebb cégek már képesek automatizálni ezeket a folyamatokat, és valós valós idejű kockázati helyzetértékelési képességekre alapozva tudnak döntéseket hozni. Fontos, hogy ez összhangban legyen a vállalat kockázatvállalási hajlandóságával és toleranciájával, amit a pénzügyi, üzleti valamint a reputációt érintő kockázatokhoz kell igazítani. Ez azonban, főleg nagyobb vállalatok esetében nem egyszerű, hiszen a központosított stratégiai elképzelések taktikai szintre történő konzisztens lebontása komoly belső együttműködést követel meg, ami szintén nem kevés időráfordítást igényel.
Hogyan támogatja ez az üzleti modellünket? Az üzleti céloktól védelmi intézkedésekig
A vállalat biztonságának alapja az üzleti célok megértése, és az azokhoz szükséges szolgáltatások, folyamatok azonosítása. Ezek alapján kell meghatározni a konkrét biztonsági célokat is, fókuszálva arra, hogy biztosítani tudjuk a legkritikusabb szolgáltatások folytonosságát és ellenálló képességét. Ezután érdemes az ezeket támogató és kiszolgáló rendszereket vagy eszközöket megfelelő védelmi szintekre besorolni, hogy ennek alapján kidolgozhassuk a konkrét védelmi mechanizmusokat.
Hogy történik ez a gyakorlatban?
Ügyfelünk, egy globális vegyipari vállalat (az EMEA régióban), ahol az üzleti és biztonsági prioritások különbözősége egy olyan nem megfelelően biztosított biztonsági mentési megoldást (backup solution) eredményezett, hogy a penetrációs tesztelők nehézség nélkül hozzáférhettek a meglehetősen szenzitív biztonsági mentésekhez is, a vállalati környezeten keresztül. Ez szembemegy minden általánosan elfogadott iparági jó gyakorlattal, illetve aláásta a szervezet számos egyéb, sajnos eléggé költséges törekvését, hogy reziliensekké váljanak komplex fenyegetésekkel szemben, mint például a zsarolóvírusok (ransomware).
A tanulság viszont rávilágít arra, hogy az üzleti oldal igényei és szükségletei kell, hogy meghatározzák a biztonsági intézkedéseket, mert a felhasználóknak a mindennapi feladataik mellett nincs kapacitásuk számukra észszerűtlennek tűnő biztonsági követelmények betartására. Ami azt is jelenti, hogy a fentebbi példához hasonlóan, bármilyen biztonsági megoldás elveszítheti értelmét, ha az nincs optimalizálva az üzleti folyamatok hatékony kiszolgálásához, és nem támogatják célzott oktatási valamint érzékenyítési képzések.
A biztonságnak az üzletet kell szolgálnia, világos, átlátható és arányos iránymutatást nyújtva a döntéshozatalhoz. A fenyegetések (és kockázatok) proaktív monitorozása és azonosítása biztosítja azt, hogy a vállalat megőrizhesse versenyképességét a piacon, miközben azonosítja, elkerüli, vagy kezeli az amúgy megelőzhető akadályokat. Hogyan lehetne azonban maximalizálni a biztonságba történő befektetés előnyeit?
Mit nyer a vállalat a biztonságba történő befektetéssel?
A kiberbiztonságra való befektetés nem csak a veszteségek elkerülésére szolgál, hanem üzleti értéket is teremt. A biztonsági befektetések megtérülésének (Return on Security Investment, RoSI) fogalma segít az üzleti vezetőknek megérteni a kiberbiztonsági intézkedések költségeit és előnyeit. Mivel nincs egységes iparági módszertan a RoSI mérésére, érdemes egy egyszerű, költség-haszon elemzésre épülő megoldást használni, figyelembe véve a kiberbiztonság költségeit és a tágabb értelemben vett pozitív hatásait az üzleti folyamatokra.
Egy jó példa erre egy regionálisan meghatározó villamosenergia- és gázipari vállalattól jön, amely szintén nyugat Európában, ezúttal német nyelvterületen található. Az ügyfél nem rendelkezett megfelelő rálátással az ipari rendszereket működtető (más néven OT) eszközeire, ami számos üzleti folyamatot is negatívan befolyásolt, például a karbantartást vagy az eszközök életciklusának megfelelő kezelését, tervezését. Ennek megfelelően, egy több mint 3 éve folyamatosan tartó transzformáció keretein belül bevezettünk egy új, biztonsági monitorozó eszközt (amely valós időben eszközfelderítési, sebezhetőségkezelési és fenyegetés-védelmi képességeket is alkalmazott).
A gondosan megtervezett és előkészített bevezetést követően, az ügyfél képes volt az OT rendszerei felett nyert vizibilitást üzleti szempontból is kihasználni. Ezzel elősegítve az eszközkezelési tevékenységeik digitalizációját, és így a hatékonyságát is. Továbbá, az ellátási lánc, karbantartási feladatok, és az eszköz életciklusának tervezésének lehetővé tétele növelte a vállalat működésének rezilienciáját is.
Honnan tudom, hogy a megoldás működni fog?
A fent említett szoftver bevezetése is komoly erőforrások ráfordítását követeli meg, így érthető módon minden ügyfelünk szeretné előre látni, hogy a projekt igazán sikeres lesz. A tervezés, tesztelés (értsd: Proof of Concept és pilot) fázisokat követően, az alábbi három fő alapelvet követtük, hogy garantáljuk a projekt sikerességét.
1. Politizálj mesterfokon: a személyes érdekek összehangolásának fontossága
Minden szervezet ugyanazokkal a tünetekkel küzd, mégpedig, hogy minden felső- és középvezetőnek komoly személyes céljai, meggyőződései vannak. Ez nem feltétlenül rossz, hiszen a vélemények sokszínűsége általában segíti az értékteremtést, és a konkrét elképzelésekkel rendelkező, karakán és magasan képzett vezetők rendre komoly eredményeket érnek el. Tapasztalataink szerint azonban, ha egy adott kezdeményezést nem támogat aktívan és folyamatosan egy ilyen karakteres felsővezető (személyes elköteleződéssel, valamint a szükséges felhatalmazásokkal), akkor a projekt rend szerint megbotlik vagy akár kudarcot is vallhat, és biztosan nem éri el az eredetileg kitűzött célokat.
Általánosságban elmondható, hogy azok az emberek, akik a legtöbb pénzt hozzák a cégnek, nagyobb politikai befolyással rendelkeznek. Ennek fényében javasoljuk a projektben résztvevő döntéshozó felek megfelelő ösztönzését, ezzel biztosítva hosszú távú, személyes elkötelezettségüket az aktuális kezdeményezés iránt. Értelemszerűen érdemes ügyelni arra is, hogy a stratégiai és politikai irányok megfelelően összehangoltak legyenek, mivel egy nagyobb program közepén, bármilyen ilyen szintű változtatás valószínűleg jelentős idő-, erőforrás- és akár bizalomvesztéshez is vezethet.
2. Skálázd majd akkor, ha már működik
Bár ez az elv senkinek sem újdonság, mégis gyakran elfelejtődik, amikor igazán nagy, többéves, több millió eurós transzformációs programokat terveznek az ügyfeleink és a tanácsadók. Manapság a tanácsadókat már nem a szép, elegáns prezentációkért fizetik, hanem azért, hogy összetett problémákat oldjanak meg (pl. eszközök bevezetése, képességek kiépítése, folyamatok fejlesztése, illetve ezek bevezetése stb.), amikor ügyfeleinknek nincs meg a szükséges erőforrásuk, kapacitásuk, vagy éppen a szaktudásuk. Azonban különösen a nagy lehetőségek esetén az izgalom mind az ügyfeleket, mind a tanácsadókat befolyásolja, és gyakran az első tervek sokkal ambiciózusabbak, mint ami reálisan vállalható, vagy indokolt lenne.
Illusztrációképpen egy közel-keleti, régiós szinten meghatározó pénzügyi szolgáltatónál is komoly, amúgy megelőzhető komplikációt okozott, hogy az általunk javasolt szakaszos, pragmatikus bevezetés ellenére, egyszerre több száz metrika mérését kellett bevezetni, több mint egy tucatnyi üzletág és szervezeti egység párhuzamos koordinációjával.
3. Vond be a biztonsági oldalt (mindenbe)
Még mindig gyakran tapasztaljuk, hogy a szervezetek a információbiztonsági felelősöket (avagy CISO-kat) a COO-k, CTO-k vagy akár a CFO-k alá helyezik, anélkül, hogy ténylegesen bevonnák a biztonsági irányelveket, megközelítést is a stratégiai döntéshozatalba. Ezt a tapasztalatot alátámasztja legfrissebb globális kutatásunk is, a 2025-ös “Global Digital Trust Insights” felmérés (amely több mint 4000 üzleti és technológiai vezető véleményét elemzi, 77 országból). A megkérdezett vezetők kevesebb mint fele mondja, hogy a fő információbiztonsági tisztviselőik (CISO) nagy mértékben részt vesznek a stratégiai tervezésben, vagy akár a technológiai bevezetések felügyeletében.
Ha a CISO-k vagy a dedikált biztonsági vezetők nincsenek jelen ezekben a megbeszéléseken, sokkal nehezebb lesz számukra megfelelően artikulálni bizonyos biztonsági kezdeményezések fontosságát. Továbbá, így nincs lehetőségük előre jelezni a várható biztonsági kihívásokat a megvalósítási fázis előtt; amiknek a proaktív azonosításával és tervezésével időt és erőforrásokat lehet spórolni. A bevonásukkal azonban lehetővé válik a biztonsági folyamatok hatékonyabb összehangolása más üzleti területekkel, ezzel növelve az esetleges hozzáadott értékek kiaknázását is.
Összességében, a biztonsági csapatoknak az üzleti oldal igényeit kell kiszolgálnia és támogatnia, de ez csak úgy lehetséges, ha a biztonsági vezetők bevonása és meghallgatása biztosított. A kiberbiztonsági kezdeményezések által kiépített digitális reziliencia napjainkban a digitalizáció, automatizálás, üzletmenet-folytonosság, illetve legrosszabb esetben a katasztrófa-helyreállítási terv elsődleges támogatója, és így számos egyéb hozzáadott értéke miatt az üzleti oldal számára is sokkal hangsúlyosabb prioritássá vált az elmúlt években.
A címlapkép illusztráció. Címlapkép forrása: Getty Images
