Costurile globale ale breșelor de securitate cibernetică au ajuns la o medie de aproape cinci milioane de dolari pe incident, conform raportului IBM Cost of a Data Breach Report 2024. Această cifră reprezintă un nou record, înregistrând o creștere de 10% față de anul anterior. În plus, economia europeană pierde anual peste 100 de miliarde de euro din cauza activităților criminalității cibernetice.
Vulnerabilități în structura de conducere a organizațiilor
O creștere a conștientizării legată de riscurile cibernetice determină organizațiile să reevalueze rolul Directorului de Securitate a Informației (CISO). Expertul în guvernanță a riscurilor cibernetice, Cristiana Deca, subliniază necesitatea unei schimbări de abordare, evidențiind trei motive principale pentru această mutare.
Conflictul de interese dintre CISO și CIO
Responsabilitatea pentru livrarea proiectelor digitale și optimizarea costurilor revine în general CIO-ului, în timp ce CISO-ul trebuie să reducă expunerea la risc. În structurile ierarhice tradiționale, aceste roluri raportează în același lanț, ceea ce duce deseori la prioritizarea obiectivelor de business în detrimentul securității.
Această tensiune reprezintă un factor de risc major pentru organizații, mai ales că aproape 70% dintre cele afectate de breșe raportau perturbări semnificative ale operațiunilor. Deciziile de business care ignoră sau minimizează riscul pot avea costuri ce se ridică la milioane de euro.
Independența raportului CISO față de alte departamente este esențială pentru a asigura o imagine realistă asupra riscurilor și impactului acestora asupra companiei. O astfel de poziție permite conducerea să ia decizii informate și relevante din punct de vedere al securității cibernetice.
Schimbarea naturii riscului cibernetic
Riscul cibernetic nu mai este doar o problemă tehnică, ci una de top management. Breșele de securitate au impact direct asupra veniturilor, reputației și valorii de piață a companiilor. Estimările indică pierderi anuale totale de peste 100 de miliarde de euro în Europa, din cauza atacurilor cibernetice precum ransomware, furt de date și sabotaj digital.
În acest context, Directiva NIS2 introduce obligații pentru conducerea organizațiilor. Membrii board-urilor trebuie să aprobe și să superviseze măsurile de securitate și pot demonstra controlul asupra acestora. Pentru organizațiile din sectoare esențiale, neconformitatea poate atrage amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală. Responsabilitatea nu mai poate fi delegată exclusiv departamentului IT.
Articolul 20 al NIS2 prevede răspunderea directă a membrilor board-ului, inclusiv riscul unor sancțiuni personale în caz de neglijență gravă. Rolul CISO devine acela de a traduce riscul tehnic în limbaj de afaceri și de a avertiza liderii asupra consecințelor unui incident major, ghidând deciziile strategice pentru reducerea riscului.
Importanța guvernanței în deciziile strategice
Un CISO integrat în nivelul de guvernanță poate influența pozitiv evaluarea riscurilor în fuziuni, achiziții, lansări de produse digitale sau expansiuni internaționale. Absența unei perspective de securitate în astfel de decizii poate duce la subestimarea pasivelor latente cu impact financiar major ulterior.
Organizațiile cu o guvernanță matură și utilizare a instrumentelor avansate de securitate reușesc să limiteze impactul unei breșe la sume mai mici, comparativ cu cele tratate ca simple funcții tehnice. În noile condiții, diferența de abordare între CIO și CISO presupune adaptarea structurii de guvernanță pentru a evita conflictele între rapiditatea sistemelor și securitatea acestora.
Creșterea atacurilor cibernetice, intensificată și de utilizarea inteligenței artificiale de către hackeri, crește viteza și amploarea infracțiunilor digitale. În acest mediu, un CISO limitat la bugete și la gestionarea incidentelor reactive riscă să fie depășit.
Soluția pentru companiile mici și mijlocii: vCISO
Pentru organizațiile mai mici, menținerea unui CISO în corpul propriu poate deveni costisitoare. Alternativa este modelul de vCISO, care asigură expertiză în guvernanța riscului cibernetic, fără necesitatea unui post full-time.
Transformarea securității cibernetice dintr-o funcție de suport într-una de prioritate strategică devine esențială. În cadrul noilor reglementări europene, și CISO-ul, și membrii board-ului pot fi trași direct la răspundere pentru neglijență.
Mutarea responsabilității securității în zona de guvernanță nu mai reprezintă o opțiune, ci o necesitate pentru menținerea conformității și pentru protejarea intereselor organizației.
Lasă un răspuns