Jak informować o incydencie cyberbezpieczeństwa, by minimalizować jego skutki dla firmy, klientów i otoczenia? Menedżerowie cyberbezpieczeństwa i informacji muszą w dzisiejszych realiach – niczym ludzie renesansu – łączyć kompetencje z różnych dziedzin i specjalności. Kluczem jest wyjście z technicznej bańki i mówienie prostym językiem.
Aktualne wyzwania stojące przed menedżerami ds. informacji CIO oraz cyberbezpieczeństwa CISO były treścią jednej z debat podczas CYBERSEC EXPO & FORUM. Temat komunikacji kryzysowej w sytuacji incydentu bezpieczeństwa cyfrowego wchodzi na cybersalony – od tego, jak zarząd zareaguje na zdarzenie i jak firma będzie informować media, klientów i partnerów, zależy nie tylko wizerunek, ale i skala ściśle biznesowych szkód oraz wysokość kosztów związanych z atakiem. Odpowiedzialność menedżerów ogranicza niekiedy postawa zarządu, który woli przedstawiać incydent jako awarię, nie rozumiejąc długofalowych skutków braku transparentności czy ignorując wymogi regulacyjne.
– Żadne regulacje nie zapewnią bezpieczeństwa – uważa Przemysław Dęba, CISO w Orange Polska. – CISO nie może chować się za regulacjami, to byłaby klęska tego zawodu. Obowiązkiem CISO jest wytłumaczenie wpływu bezpieczeństwa na biznes, a kluczowym czynnikiem budowania tej świadomości jest kultura organizacyjna. Menedżer ds. bezpieczeństwa pełni w firmie misję kulturotwórczą.
Komunikacja kryzysowa w cyberprzestrzeni
W praktyce bywa, że CIO nie rozumie komunikatu, który otrzymał od CISO czy bezpośrednio z działu IT, „swoje dokłada” dział prawny (np. przy wycieku danych i kwestii RODO), a zdezorientowany menedżer ds. informacji tworzy komunikat podnoszący poziom lęku i niepewności, niezawierający rekomendacji, co robić, by minimalizować skutki zdarzenia. Ekspertka z NASK podkreśla, że kluczowe jest przećwiczenie współpracy między działami jeszcze przed atakiem.
– Obsługując incydent, musimy mówić w sposób prosty i na czas, wtedy, gdy pojawia się potrzeba. Współpracę między działami firmy należy przećwiczyć, zanim dojdzie do zdarzenia, by nie przecierać szlaków pod presją – radziła Iwona Prószyńska, kierownik zespołu ds. strategicznej komunikacji cyberbezpieczeństwa w NASK-PIB.
Wyjść z bańki technicznego żargonu
Przemysław Dęba dodaje, że CISO nie może chować się za procedurami, ale musi aktywnie tłumaczyć wpływ cyberbezpieczeństwa na biznes. Jego zdaniem menedżer ds. bezpieczeństwa pełni w firmie misję kulturotwórczą, a kluczowym czynnikiem budowania świadomości jest organizacyjna kultura. Z kolei Iwona Prószyńska zwraca uwagę na potrzebę opuszczenia specjalistycznej bańki.
– Na co dzień siedzimy w bańce, mówimy technicznym żargonem. Musimy wyjść z tej izolacji, by mówić prosto. Ale po to, by dobrze tłumaczyć i wyjaśniać, musimy rozumieć, co tak naprawdę zaszło – stwierdziła Prószyńska. Eksperci są zgodni: tylko ścisła współpraca specjalistów z różnych obszarów firmy i przejrzysta komunikacja pozwolą skutecznie minimalizować straty po ataku cybernetycznym.
Źródło: WNP.PL, Fot. PTWP