KIBERNETINIS SAUGUMAS · VADOVAMS
Įmonėms reikia ne NIS2 ar ISO 27001. Joms reikia ramybės
Kibernetinis saugumas dažnai pristatomas kaip IT problema. Tačiau realybėje tai verslo rizika.
Kai įvyksta incidentas — sustoja ne serveriai. Sustoja verslas. Sustoja pardavimai. Sustoja gamyba. Sustoja paslaugos. Sustoja reputacija.
Todėl vadovams svarbus ne dokumentų kiekis, o vienas klausimas:
Ar mes sugebėsime veikti, kai įvyks incidentas?
NIS2 keičia vadovų atsakomybę
NIS2 direktyva pirmą kartą aiškiai įvardina: kibernetinis saugumas — vadovybės atsakomybė.
Tai jau nebe IT klausimas. Tai verslo valdymo klausimas.
  • Vadovybė atsako už sprendimus
  • Vadovybė atsako už rizikas
  • Vadovybė atsako už pasirengimą
  • Vadovybė atsako už incidentų valdymą
ISO 27001 suteikia struktūrą, bet ne sprendimus
ISO 27001 padeda sukurti procesus, politikas, kontroles ir rizikų valdymą. Tačiau realaus incidento metu svarbiausia — ne dokumentai.
  • Procesus
  • Politikas
  • Kontroles
  • Rizikų valdymą
Kas priima sprendimus? Kas stabdo veiklą? Kas komunikuoja su klientais? Kas prisiima finansinę riziką?
Šių sprendimų negali priimti dokumentai. Juos priima vadovai.
Incidento metu svarbiausia — sprendimų greitis
Pirmos valandos metu sprendžiama viskas. Lėti sprendimai didina nuostolius. Aiški atsakomybė mažina žalą.
  • Ar stabdyti veiklą
  • Ar izoliuoti sistemas
  • Ar informuoti klientus
  • Ar aktyvuoti krizių planą
Kibernetinis atsparumas prasideda ne nuo technologijų. Jis prasideda nuo sprendimų.
Ką tai reiškia vadovams
Vadovams svarbu atsakyti į kelis klausimus. Jei atsakymai neaiškūs — rizika reali.
Ar žinome kas priima sprendimus incidento metu?
Ar aiškios atsakomybės?
Ar turime incidento valdymo struktūrą?
Ar vadovybė pasiruošusi veikti neapibrėžtumo sąlygomis?
Kibernetinis saugumas = verslo stabilumas
Įmonėms reikia ne daugiau dokumentų. Įmonėms reikia ramybės.
Aiškūs sprendimų priėmėjai
Aiškios atsakomybės
Aiškus incidento planas
Aiškus vadovybės vaidmuo
Kibernetinis saugumas šiandien yra verslo stabilumo dalis.
Darius Jasiulionis
Kibernetinio saugumo ir NIS2 konsultantas