- “Akinél a felettesek és alárendeltek ugyanazt akarják, az győz.” (Sun-ce kínai hadvezér)
De akkor formál-logikai alapon:
- “Akinél a felettesek és alárendeltek nem ugyanazt akarják, az veszít.” (GéPé magyar blogger)
És végül:
- “Egy felettes csak azt tudja akarni, amiről a) már hallott, b) be is látta, hogy akarnia kell.” (GéPé magyar blogger)
De mit keres ez a briliáns (?) eszmefuttatás egy kiberbiztonsági blog posztjában?!
A választ kicsit messzebbről kell kezdeni.
Évek óta folyamatosan szemlézve a SeConSys profiljába vágó publikációkat, az elmúlt évben – különösen annak II. félévében – megszaporodtak a cég- és felsővezetők (CEO, CISO stb.), ill. az igazgatóságok kiberbiztonsági szerepét, felelősségét érintő, az ő ilyen irányú döntéseiket támogató cikkek.
Néhány ezek közül (a teljesség igénye nélkül):
2020
- 5 Questions a CISO Should Ask About OT/ICS Cyber Security – Verve Industrial (Nem sokkal a SolarWinds/Orion incidens előtt publikálva)
- I. félév
- PowerPoint Presentation (deloitte.com)
- A CISO’s guide to discussing cybersecurity with the board – Help Net Security
- How boards can lead cybersecurity | McKinsey
- II. félév
- How much does a CEO or business leader need to know about cybersecurity? (eccouncil.org)
- Why Your CISO Should Report Directly To The CEO (forbes.com)
- Report: Boards Typically Updated On Cybersecurity Only After An Incident (chiefexecutive.net)
- Why CISOs Shouldn’t Report to CIOs in the C-Suite (securityintelligence.com)
- Boards Can Surmount The Cybersecurity ‘Intimidation Factor’: 10 Questions Directors Should Discuss With C-Suites (forbes.com)
2022
- A cybersecurity guide for board directors – The Corporate Governance Institute
- Boards, CISOs seek alignment on OT security challenges | Cybersecurity Dive
- Talk to the board, not just IT, about ransomware | Cybersecurity Dive
Úgy tűnik, hogy a SolarWinds/Orion, a Colonial Pipeline stb. incidensek után kicsit lassan – de aztán a II. félévben tényleg – elkezdett leesni a tantusz, hogy a mennyiségükben és minőségükben is óriási új kihívások megelőzése, kezelése immár messze nem a szervezeti hierarchia mélyén elrejtett IT-biztonsági munkatársak, de még nem is „csak” a CISO, hanem
„vastagon” a cégvezetés – és dedikáltan a CEO! – feladat és hatáskörébe tartozik.
Először is lássuk, hogy mi történhet, ha egy cég vezetése nem nő fel a feladatához!
2017-ben az egyik szoftver (!) cég IT-biztonsági szakértője felhívta cége menedzsmentjének figyelmét a cég elégtelen biztonsági szintjére. A cégvezetés nem fogadta meg a tanácsot, a szakértő pedig távozott a cégtől.1,2 Ez a cég a SolarWinds volt, amelynek az elégtelen védelmi intézkedések miatt kompromittált Orion frissítésének gyanútlan letöltésével mintegy 18.000 ügyfelük rendszere vált fertőzötté.
Lám, a cégvezetésnek hallgatnia kellett volna az illetékes beosztott munkatársuk figyelmeztetésére!
Bár a cégvezetés figyelmeztetést kapott, tehát hallott a kockázatról, de nem látta be, hogy akarnia is kell annak kezelését. Tágabban értelmezve: a felettesek és alárendeltek nem ugyanazt akarták. És a SolarWinds veszített…
Az ilyen esetek megelőzhetők, de csakis mindkét fél nyitottsága mellett:
-
az „alárendelt” kiberbiztonsági szakembereknek meg kell tanulniuk „főnökül” gondolkodniuk!
Tömören be kell tudniuk mutatni mind a teendőket, mind azok elmaradásának kockázatát, a lehetséges anyagi, reputációs károkat!
Úgy kell írniuk, beszélniük, hogy mondandójuk meg tudja érinteni illetékes főnökei „sajátos receptorait”! -
a „feletteseknek” pedig bízniuk kell az „alárendelt” kiberbiztonsági szakembereikben!
Be kell tudniuk fogadni az illetékes szakembereiktől érkező üzeneteket!
És miként lehet sikeresebbé tenni, hogy a beosztottak kritikus jelzéseit befogadják a feletteseik?
Érzékenyítéssel, azaz képzéssel, tréninggel.
Méghozzá elsősorban a felettesek oldalán.
A beosztotti oldal eddig is rá volt kényszerítve a „helyes üzenetek” küldésére.
A feletteseknek viszont az eddigi, lényegében profitorientált gondolkodásukat át kell alakítaniuk profit ÉS biztonság orientálttá!
Meg kell tanulniuk, hogy a mostani „új világban” az elégtelen biztonság bizony okozhat pl. olyan reputációs kárt, amely vastagon csökkenti a profitot!
A helyes, mai kihívásokhoz illeszkedő gondolkodás tanítható és tanulható.
Mert különben bekövetkezhet, hogy „akinél a felettesek és alárendeltek nem ugyanazt akarják, az veszít.”
1 SolarWinds Adviser Warned of Lax Security Years Before Hack – Bloomberg
2 SolarWinds missed early security warnings | Cybersecurity Dive
[32]
***
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.