Na samom začiatku reštriktívnych opatrení v rámci pandémie sa v jednej spoločnosti odohral nasledujúci príbeh. Obchod, ktorý sa urýchlene presunul z režimu vývoja do režimu šetrenia, oznámil divíziám proporcionálne zníženie všetkých nákladov o 15 % a v reakcii požiadal divízie služieb, aby oznámili, čo presne sa z toho zmení. Všetky jednotky, okrem jednej, sa s úlohou rýchlo vyrovnali. Informovali o tom, v ktorých službách bude kvalita klesať a ktoré nebudú dostupné vôbec. Divízie zvažovali viacero možností a vybrali si pre podnikanie tú najšetrnejšiu: pre väčšinu divízií je neustále vyhodnocovanie „koľko nás tá či oná služba stojí“ takmer každodennou rutinou.

A iba jedna jednotka odpovedala: "Nič sa nezmení." Bola to služba kybernetickej bezpečnosti.

Prečo je to tak?

Z prípadu vzniklo mnoho vtipov od „no, áno, intrigovanie digitalizátorov nič nestojí“ až po „možno len nedáš peniaze?“. Ale neponáhľajte sa obviňovať ochrankárov za ich neschopnosť vypočítať náklady na ich služby. Skúsme po tisíci raz pochopiť vzťah medzi bezpečnosťou a biznisom.

Je jasné, že ak sa povedzme zredukuje vozový park vo financovaní, čo znamená menej ľudí a pohonných hmôt a mazív, horšia kvalita náhradných dielov a pod., tak sa dá celkom ľahko vypočítať, ako sa zmení interval premávky, koľko front aplikácií a priemerný čas vykonávania zvýšia počet aplikácií. To znamená, že mnohé obchodné procesy sa počítajú pomocou pomerne jednoduchých matematických modelov. Nanešťastie to má len malé uplatnenie v oblasti kybernetickej bezpečnosti.

Efektívnosť bezpečnosti – čo sa nestalo

Kybernetická bezpečnosť ako prepojenie – čím je lepšia, tým je menej viditeľná. Ak sa väčšina obchodných procesov meria udalosťami, ktoré sa stali, tak výsledkom činnosti kybernetických obrancov nie sú udalosti, ktoré sa stali, ale udalosti, ktoré nenastali.

A rozdiel medzi dvoma neúspešnými udalosťami, z ktorých jedna sa „v zásade nemohla stať“ a druhá „takmer sa stala“, nie je pre podniky také ľahké ukázať. Barové pulty si vypočuli milióny príbehov kybernetických obrancov, ktoré sa dajú vyjadriť jednou vetou: „Hovoríme úradom: „Áno, všetci by sme tu mohli zomrieť,“ a oni nám hovoria, ale nezomreli. Ako hovorí kedysi populárna pieseň: „a mesto si myslelo, cvičenia prebiehajú...“

Nedá sa odpísať ani fakt, že kyberbezpečnostní dôstojníci sú konkrétni ľudia, ktorí si toto povolanie vybrali z nejakého dôvodu. Mnohí z nich pochádzajú zo špeciálnych služieb alebo majú vojenské vzdelanie, to znamená, že boli pôvodne vycvičení, aby „zasiahli“. Žiadne zdroje? Takže ukážeme zázraky hrdinstva, prácu nadčas, ak niekoho poprosíme, tak našich chlapov. Dovolenka? Čo to je? V štáte máme nedostatok, ako môžem nechať chalanov na pokoji? Preto škrty vo financovaní kybernetickej bezpečnosti pomerne často nespôsobia po určitú dobu viditeľné zmeny.

Rizikové modely

Samozrejme, pre tých, ktorí milujú matematiku, existujú krásne rizikové modely a môžete vypočítať, ukázať a zdôvodniť čokoľvek. Ale podnikanie je o riskovaní a riziká kybernetickej bezpečnosti vždy blednú v porovnaní s geopolitickými alebo dokonca kurzovými rizikami. Ak riziko nie je stopercentné, potom sa v očiach podniku okamžite stane päťdesiatpercentným („stretnúť dinosaura alebo nestretnúť sa“) a podnikaniu nie je cudzie takéto riziko podstupovať. Aj tam, kde sú rizikové modely rutinnou súčasťou podnikania (bankovníctvo, poisťovníctvo), hlavným obchodným nástrojom na riešenie rizík je poskytovanie prostriedkov na kompenzáciu škôd, a nie akcie zamerané na znižovanie rizika. A čo menej vyspelé odvetvia z hľadiska hodnotenia rizika?

Použitím ekonomickej terminológie môžeme povedať, že kvalita kybernetickej bezpečnosti nie je zdrojovo elastická, to znamená, že zmena zdrojov nevedie k úmernej zmene kvality. Mimochodom, to platí aj ohľadom navýšenia zdrojov: niekoľkokrát zvýšte rozpočet na kybernetickú bezpečnosť a biznis si nič zvláštne nevšimne – tak ako nenastali neprijateľné udalosti, tak ani nenastanú. Len si pomyslite, ide len o to, že príslušníci kybernetickej bezpečnosti začali spať viac a pokojnejšie. Túto tému nebudeme ďalej rozvíjať - neočakáva sa žiadne zvýšenie rozpočtov a podnik si môže myslieť: "A ak nie je rozdiel, prečo platiť viac?"

Úloha v digitálnej transformácii

Čím ďalej, tým viac sa však kybernetická bezpečnosť stáva prvkom digitálnej transformácie. Čiastočne kvôli tomu, že funkčnosť a výkon digitálnych systémov tvoriacich obchod by mali byť sústredené v jednej ruke. Čiastočne kvôli tomu, že mimo digitalizácie, bez pochopenia obchodného kontextu digitálnych systémov, nie je možné ich efektívne chrániť. Čiastočne v dôsledku neustálych zmien vo funkčnosti podniku, digitálnych platforiem a infraštruktúry, na ktorej sú nasadené, si rýchle zmeny v predmete ochrany vyžadujú rýchle prispôsobenie ochranných systémov, čo je dnes takmer nemožné dosiahnuť zavesením ochrany na fungujúci systém. A digitalizácia (digitálna transformácia) ako proces je dlhodobo zabehnutý ekonomický mechanizmus, kde sa berie do úvahy všetko a tam je elasticita kvality vzhľadom na zdroje oveľa vyššia. Chceme viac nových biznisov – potrebujeme nové digitálne funkcie – ich vývoj, nasadenie a infraštruktúra pre ne stojí istú sumu peňazí, dajú sa vypočítať objektívne, bez akýchkoľvek expertných a pravdepodobnostných modelov. Ekonomika kybernetickej bezpečnosti v týchto modeloch však vyzerá pre ekonómov nepríjemne.

Dva spôsoby

Teraz, v takejto situácii, sú viditeľné dve takmer opačné stratégie kybernetickej bezpečnosti – zblíženie s digitálnymi projektmi až po úplné zlúčenie a dištancovanie sa až po úplné odmietnutie.

Tí, ktorí dodržiavajú prvú stratégiu, považujú kybernetickú bezpečnosť za jednu z vlastností digitálneho systému, rovnako ako, povedzme, škálovateľnosť. Na zabezpečenie tejto vlastnosti je potrebné ponoriť sa hlboko do digitálnych systémov vo fáze nápadu, pretože už v štádiu návrhu je možné robiť také architektonické riešenia, ktorých realizácia počas prevádzky nebude vyžadovať žiadne sklopné bezpečnostné riešenia. Ak sa napríklad rozhodnete preniesť nie samotné dáta, ale iba hodnotenie v digitálnom systéme, nemusíte sa báť, že dáta uniknú. Vďaka tomu je možné vybudovať digitálny systém, ktorý vyžaduje oveľa menší rozpočet na zabezpečenie vlastnej kybernetickej bezpečnosti.

Prívrženci druhej stratégie nepovažujú digitalizáciu vôbec za svoju činnosť – v takýchto spoločnostiach je kybernetická bezpečnosť postavená na už vytvorených digitálnych systémoch. Tu je jeden citát: „Ukážete nám predmet ochrany a my vám povieme, že ste si počínali zle, pokiaľ ide o kybernetickú bezpečnosť.“ Predtým sa tento koncept nazýval „bezpečnosť – kontrolná funkcia IT“. V tejto polohe sa bezpečnosť stáva pasívnou, nezaoberá sa predchádzaním nebezpečným udalostiam, ale sledovaním stavu digitálneho systému a vyšetrovaním incidentov - nebezpečnú anomáliu od plánovanej udalosti digitálneho systému je možné rozlíšiť iba vo vnútri, preto kvôli vysokej pravdepodobnosti falošných poplachov je lepšie nezasahovať.

Tento viacsmerný pohyb vedie k tomu, že v niektorých organizáciách je kybernetická bezpečnosť logicky integrovaná do digitalizačných programov, v iných je naopak proti a zohráva skôr úlohu oddelenia zodpovedného za dodržiavanie požiadaviek regulátorov.

Digitálna transformácia sa však od IT líši tým, že ju nevedú technici, ale biznismeni. A pre podnikanie sú akékoľvek uložené externé požiadavky vnímané ako daň a je zvykom legálne minimalizovať dane. Preto v prvých spoločnostiach rozpočty na kybernetickú bezpečnosť neustále rastú spolu s rozpočtami na digitalizáciu a po druhé sú zmrazené alebo dokonca znížené.

Výhody a nevýhody transparentnosti

Vynesenie kybernetickej bezpečnosti na svetlo a jej nákladovo efektívna transparentnosť je pre ľudí zo starej školy nezvyčajné. Nepriehľadná pozícia „daj nám peniaze a nestaraj sa o to, ako ich míňame, inak ťa zašifrujú a pokutujú“ má svoje výhody. Koniec koncov, ak podnik začne chápať, ako bezpečnosť funguje, pokúsi sa ju riadiť: niekde ju optimalizovať, niekde preniesť do modelu služby alebo dokonca outsourcovať, aby sa zvýšila efektívnosť. V biznise sa zrazu zistí, že pre systémy pracujúce 24 hodín denne je drahšie ponechať si ich špecialistov ako kúpiť hotovú ochrannú funkciu, čo spôsobí škrty v zamestnancoch a zmenu v úlohe bezpečnosti. Čím menší personál a rozpočty, tým menšiu manažérsku váhu má jednotka a nikto sa dobrovoľne nedelí o moc.

Ale transparentnosť, najprv so zjavnými nepríjemnosťami, potom začne prinášať značné výhody. Tomuto čelia mnohé oddelenia a dokonca celé spoločnosti, napríklad tie, ktoré vstupujú na burzu. Áno, teraz nemôžete skrývať zlyhania, nemôžete manipulovať so správami, ale máte prístup k zdrojom - je jasné, na čo sa míňajú a aké výhody prinášajú.

Hlavným problémom transparentnosti akejkoľvek funkcie pre podnikanie je, že nemôže byť čiastočná: odhaľujeme tu, nie tu – musí to byť od začiatku do konca. Po vybudovaní úplnej transparentnosti je však možné vypracovať scenáre typu „čo keby“, z ktorých jeden tento text začínal: „čo sa zmení v digitálnom systéme, ak sa zmení financovanie“. To bude veľkou pomocou pri zdôvodňovaní rozpočtov a personálnych tabuliek – bezpečnostná funkcia digitálneho systému bude vychádzať zo stratégie rozvoja digitálneho biznisu.

Len začiatok cesty

Ekonomická transparentnosť kybernetickej bezpečnosti sama osebe neumožní vybudovať dobrú funkciu digitálneho systému, je to len jedna z podmienok. Aj štedro pridelené financie môžu naraziť na vonkajšie obmedzenia: napríklad sankcie, ktoré zakazujú nákup niektorých efektívnych riešení. Alebo sa pridelené pozície nepodarí obsadiť: dnes je trh práce pre špecialistov na kybernetickú bezpečnosť trhom predajcov. Okrem peňazí tu veľa rozhoduje zabehnutá firemná kultúra, rôzne zaujímavé úlohy, dlhodobá motivácia. Odborníci poznajú veľa prípadov, keď firmy aj napriek trhovým kompenzáciám celé roky neuzavrú kľúčové voľné pozície v kybernetickej bezpečnosti.

Ako nás však učia učebnice manažmentu, „riadiť sa dá len to, čo vieme zmerať“. Ekonomická transparentnosť kybernetickej bezpečnosti je preto prvým krokom k ovládateľnosti a potom k organickému rozvoju.

bbabo.Net