Ön CEO? CISO? Mindegy. Helyzet van!

  1. “Akinél a felettesek és alárendeltek ugyanazt akarják, az győz.” (Sun-ce kínai hadvezér)

De akkor formál-logikai alapon:

  1. “Akinél a felettesek és alárendeltek nem ugyanazt akarják, az veszít.” (GéPé magyar blogger)

És végül:

  1. “Egy felettes csak azt tudja akarni, amiről a) már hallott, b) be is látta, hogy akarnia kell.” (GéPé magyar blogger)

De mit keres ez a briliáns (?) eszmefuttatás egy kiberbiztonsági blog posztjában?!

A választ kicsit messzebbről kell kezdeni.

Évek óta folyamatosan szemlézve a SeConSys profiljába vágó publikációkat, az elmúlt évben – különösen annak II. félévében – megszaporodtak a cég- és felsővezetők (CEO, CISO stb.), ill. az igazgatóságok kiberbiztonsági szerepét, felelősségét érintő, az ő ilyen irányú döntéseiket támogató cikkek.

Néhány ezek közül (a teljesség igénye nélkül):

2020

  1. I. félév
  1. II. félév

2022

Úgy tűnik, hogy a SolarWinds/Orion, a Colonial Pipeline stb. incidensek után kicsit lassan – de aztán a II. félévben tényleg – elkezdett leesni a tantusz, hogy a mennyiségükben és minőségükben is óriási új kihívások megelőzése, kezelése immár messze nem a szervezeti hierarchia mélyén elrejtett IT-biztonsági munkatársak, de még nem is „csak” a CISO, hanem

„vastagon” a cégvezetés – és dedikáltan a CEO! – feladat és hatáskörébe tartozik.

Először is lássuk, hogy mi történhet, ha egy cég vezetése nem nő fel a feladatához!

2017-ben az egyik szoftver (!) cég IT-biztonsági szakértője felhívta cége menedzsmentjének figyelmét a cég elégtelen biztonsági szintjére. A cégvezetés nem fogadta meg a tanácsot, a szakértő pedig távozott a cégtől.1,2 Ez a cég a SolarWinds volt, amelynek az elégtelen védelmi intézkedések miatt kompromittált Orion frissítésének gyanútlan letöltésével mintegy 18.000 ügyfelük rendszere vált fertőzötté.

Lám, a cégvezetésnek hallgatnia kellett volna az illetékes beosztott munkatársuk figyelmeztetésére!

Bár a cégvezetés figyelmeztetést kapott, tehát hallott a kockázatról, de nem látta be, hogy akarnia is kell annak kezelését. Tágabban értelmezve: a felettesek és alárendeltek nem ugyanazt akarták. És a SolarWinds veszített…

Az ilyen esetek megelőzhetők, de csakis mindkét fél nyitottsága mellett:

  1. az „alárendelt” kiberbiztonsági szakembereknek meg kell tanulniuk „főnökül” gondolkodniuk!
    Tömören be kell tudniuk mutatni mind a teendőket, mind azok elmaradásának kockázatát, a lehetséges anyagi, reputációs károkat!
    Úgy kell írniuk, beszélniük, hogy mondandójuk meg tudja érinteni illetékes főnökei „sajátos receptorait”!

  2. a „feletteseknek” pedig bízniuk kell az „alárendelt” kiberbiztonsági szakembereikben!
    Be kell tudniuk fogadni az illetékes szakembereiktől érkező üzeneteket!

És miként lehet sikeresebbé tenni, hogy a beosztottak kritikus jelzéseit befogadják a feletteseik?

Érzékenyítéssel, azaz képzéssel, tréninggel.

Méghozzá elsősorban a felettesek oldalán.

A beosztotti oldal eddig is rá volt kényszerítve a „helyes üzenetek” küldésére.

A feletteseknek viszont az eddigi, lényegében profitorientált gondolkodásukat át kell alakítaniuk profit ÉS biztonság orientálttá!

Meg kell tanulniuk, hogy a mostani „új világban” az elégtelen biztonság bizony okozhat pl. olyan reputációs kárt, amely vastagon csökkenti a profitot!

A helyes, mai kihívásokhoz illeszkedő gondolkodás tanítható és tanulható.

Mert különben bekövetkezhet, hogy „akinél a felettesek és alárendeltek nem ugyanazt akarják, az veszít.”

1 SolarWinds Adviser Warned of Lax Security Years Before Hack – Bloomberg

2 SolarWinds missed early security warnings | Cybersecurity Dive

[32]

***

Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.