Ön CEO? CISO? Mindegy. Helyzet van!

1. “Akinél a felettesek és alárendeltek ugyanazt akarják, az győz.” (Sun-ce kínai hadvezér)

De akkor formál-logikai alapon:

2. “Akinél a felettesek és alárendeltek nem ugyanazt akarják, az veszít.” (GéPé magyar blogger)

És végül:

3. “Egy felettes csak azt tudja akarni, amiről a) már hallott, b) be is látta, hogy akarnia kell.” (GéPé magyar blogger)

De mit keres ez a briliáns (?) eszmefuttatás egy kiberbiztonsági blog posztjában?!

A választ kicsit messzebbről kell kezdeni.

Évek óta folyamatosan szemlézve a SeConSys profiljába vágó publikációkat, az elmúlt évben – különösen annak II. félévében – megszaporodtak a cég- és felsővezetők (CEO, CISO stb.), ill. az igazgatóságok kiberbiztonsági szerepét, felelősségét érintő, az ő ilyen irányú döntéseiket támogató cikkek.

Néhány ezek közül (a teljesség igénye nélkül):

2020

• 5 Questions a CISO Should Ask About OT/ICS Cyber Security – Verve Industrial (Nem sokkal a SolarWinds/Orion incidens előtt publikálva)

2021. I. félév

• PowerPoint Presentation (deloitte.com)
• A CISO’s guide to discussing cybersecurity with the board – Help Net Security
• How boards can lead cybersecurity | McKinsey

2021. II. félév

• How much does a CEO or business leader need to know about cybersecurity? (eccouncil.org)
• Why Your CISO Should Report Directly To The CEO (forbes.com)
• Report: Boards Typically Updated On Cybersecurity Only After An Incident (chiefexecutive.net)
• Why CISOs Shouldn’t Report to CIOs in the C-Suite (securityintelligence.com)
• Boards Can Surmount The Cybersecurity ‘Intimidation Factor’: 10 Questions Directors Should Discuss With C-Suites (forbes.com)

2022

• A cybersecurity guide for board directors – The Corporate Governance Institute
• Boards, CISOs seek alignment on OT security challenges | Cybersecurity Dive
• Talk to the board, not just IT, about ransomware | Cybersecurity Dive

Úgy tűnik, hogy a SolarWinds/Orion, a Colonial Pipeline stb. incidensek után kicsit lassan – de aztán a II. félévben tényleg – elkezdett leesni a tantusz, hogy a mennyiségükben és minőségükben is óriási új kihívások megelőzése, kezelése immár messze nem a szervezeti hierarchia mélyén elrejtett IT-biztonsági munkatársak, de még nem is „csak” a CISO, hanem

„vastagon” a cégvezetés – és dedikáltan a CEO! – feladat és hatáskörébe tartozik.

Először is lássuk, hogy mi történhet, ha egy cég vezetése nem nő fel a feladatához!

2017-ben az egyik szoftver (!) cég IT-biztonsági szakértője felhívta cége menedzsmentjének figyelmét a cég elégtelen biztonsági szintjére. A cégvezetés nem fogadta meg a tanácsot, a szakértő pedig távozott a cégtől.^1,2 Ez a cég a SolarWinds volt, amelynek az elégtelen védelmi intézkedések miatt kompromittált Orion frissítésének gyanútlan letöltésével mintegy 18.000 ügyfelük rendszere vált fertőzötté.

Lám, a cégvezetésnek hallgatnia kellett volna az illetékes beosztott munkatársuk figyelmeztetésére!

Bár a cégvezetés figyelmeztetést kapott, tehát hallott a kockázatról, de nem látta be, hogy akarnia is kell annak kezelését. Tágabban értelmezve: a felettesek és alárendeltek nem ugyanazt akarták. És a SolarWinds veszített…

Az ilyen esetek megelőzhetők, de csakis mindkét fél nyitottsága mellett:

1. az „alárendelt” kiberbiztonsági szakembereknek meg kell tanulniuk „főnökül” gondolkodniuk!
   Tömören be kell tudniuk mutatni mind a teendőket, mind azok elmaradásának kockázatát, a lehetséges anyagi, reputációs károkat!
   Úgy kell írniuk, beszélniük, hogy mondandójuk meg tudja érinteni illetékes főnökei „sajátos receptorait”!

2. a „feletteseknek” pedig bízniuk kell az „alárendelt” kiberbiztonsági szakembereikben!
   Be kell tudniuk fogadni az illetékes szakembereiktől érkező üzeneteket!

És miként lehet sikeresebbé tenni, hogy a beosztottak kritikus jelzéseit befogadják a feletteseik?

Érzékenyítéssel, azaz képzéssel, tréninggel.

Méghozzá elsősorban a felettesek oldalán.

A beosztotti oldal eddig is rá volt kényszerítve a „helyes üzenetek” küldésére.

A feletteseknek viszont az eddigi, lényegében profitorientált gondolkodásukat át kell alakítaniuk profit ÉS biztonság orientálttá!

Meg kell tanulniuk, hogy a mostani „új világban” az elégtelen biztonság bizony okozhat pl. olyan reputációs kárt, amely vastagon csökkenti a profitot!

A helyes, mai kihívásokhoz illeszkedő gondolkodás tanítható és tanulható.

Mert különben bekövetkezhet, hogy „akinél a felettesek és alárendeltek nem ugyanazt akarják, az veszít.”

¹ SolarWinds Adviser Warned of Lax Security Years Before Hack – Bloomberg

² SolarWinds missed early security warnings | Cybersecurity Dive

[32]

***

Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.