Jak rozmawiać o Cybersecurity z biznesem? – Krzysztof Bryła

Krzysztof Bryła jest doświadczonym menedżerem IT z pasją do zgłębiania tematów cyberbezpieczeństwa. Obecnie zarządza zespołami informatycznymi na poziomie całej grupy Espersen. Działa aktywnie w ramach społeczności Let’s manage IT, ISSA, ISACA. Jest członkiem rady programowej i trenerem szkoły survivalu w cyberprzestrzeni – Cyfrowy Skaut.

Przez lata zarządzania działami IT Krzysztof obserwował trudności w budowaniu porozumienia na linii IT – biznes. Rozwiązania, które wtedy wypracował sprawdzają się także w nowych realiach, w których trzeba budować porozumienie w relacji Security – biznes.

Z tej rozmowy dowiesz się:

  • Jak szacować koszty inwestycji w cyberbezpieczeństwo?
  • Jakich używać argumentów gdy ktoś twierdzi, że wydatki na cyberbezpieczeństwo są za duże?
  • W jaki sposób pokazywać wartość inwestycji w bezpieczeństwo?
  • Co jest najważniejsze w relacji Security – biznes?
  • Jak budować świadomość na temat cyberbezpieczeństwa?

Artur Guła: Cześć Krzysztof, dziękuję że zgodziłeś się wziąć udział w tej rozmowie.
Chciałbym porozmawiać o jednym z Twoich zainteresowań, czyli tematyce Cyber Security.

Konkretnie o tym jak budować zrozumienie na temat cyber bezpieczeństwa z przełożonymi czy sponsorami projektów. 

Na początek jednak zapytam nieco przekornie – czy w każdym projekcie IT trzeba poruszać temat cyber security? A czy są takie kategorie projektów, w których możemy pominąć ten wątek?

Krzysztof Bryła: dziękuję za zaproszenie do rozmowy. 🙂

Odpowiem trochę historycznie – jakiś czas temu wiele projektów przygotowywało się w biznesie, a na końcu angażowało się IT zlecając wykonanie infrastruktury, narzędzi, połączeń. Dziś, w większości organizacji naturalnym jest że IT, czy technologia jest elementem większości projektów i wymaga obecności od samego początku – a często wręcz jest inicjatorem. IT jest składową produktów biznesowych, dźwignią biznesową – CyberSecurity powoli pojawia się na tej ścieżce. Kluczem jest sieć, komunikacja i system globalnych połączeń, ale rozwinę to w kolejnych odpowiedziach.

AG: A weźmy pod uwagę tak prosty z pozoru projekt jak uruchomienie systemu IT do wideokonferencji. Czy w takim projekcie też należy analizować obszar bezpieczeństwa?

KB: To ja odwrócę pytanie – zapytajmy dział bezpieczeństwa, jak to zrobić bezpiecznie. Jestem zwolennikiem angażowania CyberSec w każdy projekt. Przecież projektując linię produkcyjną czy proces produkcyjny – pytamy specjalistów od produkcji, technologów, JAK TO ZROBIĆ EFEKTYWNIE. Zadaniem bezpieczeństwa jest podpowiedzieć nam JAK TO ZROBIĆ BEZPIECZNIE.
Wracając do projektu: czy informacje wymieniane tym systemem mogą być publicznie dostępne? Czyli obraz z kamer (w trakcie spotkań, poza spotkaniami), to samo z dźwiękiem, treści przesyłane/prezentowane – czy one mogą być upublicznione? Nie? Dlaczego? Jaką mają dla nas wartość? Na podstawie tego porozmawiajmy o tym jakich użyć środków aby to zapewnić. Jak dalece chcemy ten system uszczelnić? Być może system będzie służył tylko do publicznych prezentacji i można użyć darmowej wersji oprogramowania, a może popłyną informacje ważne i wtedy warto rozważyć szyfrowanie, a może informacje wrażliwe, poufne, tajne, kluczowe i wtedy zadbać o całkowitą izolację. Warto też spojrzeć czy system będzie miał dostęp do danych w naszej sieci i czy nie stanie się zagrożeniem/stacją przesiadkową dla hakerów. Słowem klucz jest: RYZYKO i WARTOŚĆ

AG: Przejdźmy więc konkretów czyli pieniędzy. Ludzie, z którymi rozmawiamy o budżetach projektowych lubią znać precyzyjne wyliczenia. Ile więc kosztuje bezpieczeństwo w IT? Czy na podstawie Twojego doświadczenia da się przyjąć jakąś średnią wartość % budżetu całego projektu, jaką trzeba zarezerwować na cyber security? O jakiej skali mówimy?

koszty cyebersecurity

KB: W kontekście budżetów operacyjnych pojawiają się liczby, które procentowo mają wskazywać ile dany typ organizacji powinien poświęcić na IT, na technologię, ile na Bezpieczeństwo. W projekcie nie zaryzykuję takiego stwierdzenia. Tym bardziej że projekt z natury ma być innowacyjny, nowy, przynosić zmianę – więc nie jest powtarzalny. Drugi aspekt – wymagania i dyskusja o nich. Nawiązując trochę do poprzedniego pytania – jeśli mamy wysokie wymagania biznesowe a co za tym idzie wymaga to dużego nakładu na zabezpieczenia, może warto je dostosować. Kontynuując wątek systemu wideokonferencji – może zamiast szukać wyizolowanego systemu, wykorzystującego klatki Faradaya i oddzielne połączenia, ustalić że w danym systemie przesyłamy/pokazujemy tylko dokumenty określonego typu, ze nie udostępniamy ich jako załączniki, że pewne tematy poruszane są tylko na “bezpiecznej linii”. To trochę jak z płotem – jeśli w okolicy fabryki nie występują niedźwiedzie nie buduje się 4 metrowego płotu z elektrycznym “pastuchem” na końcu, ale jeśli występują szczury – zakłada się pułapki deratyzacyjne.

AG: To bardzo ciekawa perspektywa. Mimo wszystko podrążę dalej temat projektów.

Projekty realizujemy zwykle po to, żeby na nich coś zyskać. Skoro budżet projektu wzrasta ze względu na wydatki związane z bezpieczeństwem, to czy kierownicy projektów nie będą stawać przed dylematem – albo będzie bardzo bezpiecznie albo zyskownie? Jak znaleźć złoty środek?

KB: Narzędzia już są. Pierwsze z nich to ROZSĄDEK, a drugie ZARZĄDZANIE RYZYKIEM. W większości przypadków, biznes prowadzi się dla osiągnięcia zysku. To jest zwykle priorytet 1. Jest jeszcze niepodważalny priorytet 0 – którym jest BEZPIECZEŃSTWO CZŁOWIEKA. Czyli mamy już bazę. Teraz na podstawie analizy ryzyka, weryfikujemy potencjalne zagrożenia i szukamy odpowiedzi za ile i na ile możemy je wyeliminować lub ograniczyć do poziomu który zaakceptujemy. BIZNES to RYZYKO, a bezpieczeństwo jako część biznesu podlega tym samym mechanizmom.

AG: To Powiedzmy, że już wiem czego potrzebuję aby projekt był bezpieczny w ramach zaakceptowanego ryzyka. Oszacowałem jak długo to potrwa i ile będzie kosztowało. Jak teraz “sprzedać” to sponsorowi projektu? Nie przedstawię przecież listy technicznych wymagań. 

KB: Sprzedać to biznesowo, sprzedać to językiem korzyści. Mówiąc o ryzyku i pomyśle na nie. Zadaniem projektu jest rozwiązać problem sponsora, pomóc mu w czymś. Według mnie CyberSecurity ma byc dźwignią biznesu, ma być elementem przewagi konkurencyjnej. Pozwolę się posłużyć cytatem za Patrykiem Dolewa (GEMINI), który był moim panelistą na IT Manager of Tomorrow. Rozmawialiśmy właśnie o tym czy w przyszłości biznes będzie bezpieczny czy opłacalny. Jego odpowiedź brzmiała: mając do dyspozycji dwóch dostawców – jednego o którym wiesz że zabezpiecza swoje systemy, transparentnie informuje o potencjalnych problemach, wyciekach, reaguje na incydenty, mówi otwarcie o tym i drugiego, który nie mówi nic lub lakonicznie informuje, że u niego jest bezpiecznie – którego wybierzesz? A jeśli mówimy tu o dwóch producentach leków? A jeśli mówimy o dwóch aptekach?

AG: A Cco byś doradził komuś, kto w odpowiedzi na taką prezentację usłyszy “za drogo”?

KB: Może rzeczywiście jest za drogo ?
Business case zwykle zawiera ryzyka, które chcemy zmitygować. One nie powinny być wymyślone, oparte o przeczucia tylko bazujące na danych historycznych, obserwacjach środowiska, czy raportach globalnych lub branżowych. I jeśli sponsor uzna że ich nie uznaje to są 3 przyczyny: 1) słabo przygotowaliśmy dane lub sama prezentację; 2) sponsor nie rozumie (ma do tego prawo), co może być skutkiem punktu 1); 3) sponsor akceptuje ten poziom ryzyka. Rolą sponsora jest zdecydować jaki poziom ryzyka podejmuje.
Więc co bym doradził: szukał i pokazywał korzyści, unikał straszenia – ale jeśli są informacje i raporty dotyczące zagrożeń które zmaterializowały się w podobnych organizacjach, to mówił o tym. I najważniejsze – próbował spojrzeć na projekt oczami sponsora – PM odpowiada za dowiezienie pewnego rezultatu, ale rolą sponsora jest zadbać aby ten rezultat przełożył się na kolejne, a w efekcie końcowym na ZYSK. Myślę ze dlatego nie montujemy w samochodach 30, 50, czy 100 poduszek powietrznych.

AG: W Internecie jest nieskończenie dużo informacji. Mniej lub bardziej rzetelnych. Jakie serwisy szczególnie polecasz jako wiarygodne źródło wiedzy o globalnych czy branżowych badaniach na temat Cyber Security? Coś, na co można się powołać w prezentacji przed zarządem.

metryki w cyberbezpieczeństwie

KB: Wybór faktycznie jest trudny. Albo powiem inaczej – złożony. Kontrowersyjnie powiem, że najlepiej powoływać się na firmy w których coś się wydarzyło, dotknął je cyber atak. Pokazywać jak takie scenariusze się rozgrywa, jak komunikuje, dba o klientów, albo czego się nie robi. A najlepiej jeśli jest to przedsiębiorstwo z tej samej branży, najlepiej tej samej skali. Pozwala to nieco otwierać oczy i zbijać argument, że hakerzy to tylko banki atakują. Źródłem informacji, trendów są również grupy czy społeczności skupione wokół stowarzyszeń lub inicjatyw, że wymienię tu CIONET Security Chapter, CXO HUB #CyberSec Chapter, ISSA Polska, ISACA. One często publikują raporty zderzające trendy z wnioskami płynącymi z danego środowiska. W Europie cenne informacje publikuje ENISA.

Nieprzypadkowo napisałem ZŁOŻONY WYBÓR, bo pamiętajmy że obszar cyberbezpieczeństwa to szeroki obszar.

AG: A co jeżeli na jakimś etapie prac sponsor powie “sprawdzam” i będzie chciał zweryfikować czy poniesione wydatki przekładają się na rezultaty w obszarze cyber security? Czy da się zapewnić transparentność poziomu bezpieczeństwa w IT?

KB: Tak i jeszcze raz tak. Odczarowaliśmy już magię IT, odczarujmy tez bezpieczeństwo. Od tego mamy metryki, aby móc rozmawiać o liczbach, o konkretach. Wydatki dość łatwo jest ocenić, w tej czy innej walucie, w tysiącach a może w milionach. Dla równowagi potrzebujemy elementu na druga szalę: mogą to być miary policzalne jak i wartościowe/oceniające. Bezpieczeństwo, IT, biznes – to wszystko ma swoje miary, oceny, mierniki. Co do transparentności – tutaj jest to związane z kulturą firmy – znam organizacje które KPI zespołów produkcyjnych pokazują na swoich tablicach ale i na tablicach wirtualnych dostępnych dla każdego pracownika, podobnie zespoły finansowe prezentujące wyniki organizacji ale również własne realizacje celów. IT czy bezpieczeństwo nie odbiega od tego. 

AG: Jakie więc mogłyby być przykładkowe metryki w Cyber Security, które będą zrozumiałe dla sponsora projektu?

KB: Kolejne pytanie, na które odpowiem – to jest złożone. Ale nie wymigam się od odpowiedzi. Mało tego przytoczę metryki z mojego ulubionego obszaru Cyber Awareness.
Przykładowo, wprowadzając rozwiązanie promujące świadomość pracowników, rozwój ich kompetencji identyfikacji zagrożeń, warto monitorować skalę incydentów (tych fałszywych, w ramach naszych kampanii), które się powiodły i użytkownik kliknął w niebezpieczny link albo co gorsza dał się namówić na udostępnienie swojego hasła, ale równie ważne będzie monitorowanie skali incydentów, które nasi użytkownicy zgłosili jako podejrzane.
Natomiast wychodząc na nieco wyższy poziom, zadaniem rozwiązań z obszaru CyberSec jest doprowadzenie do sytuacji w której ryzyko wystąpienia pewnych zdarzeń, jest obniżone do akceptowalnego poziomu, całkowicie wyeliminowane lub doprowadza do sytuacji w której z pewnych aktywności biznesowej bezpiecznie będzie zrezygnować całkowicie. I te metryki powinny ta sytuacje opisywać. I tu znów się powtórzę – te metryki powinny dotykać wartości operacji, możliwości jej osiągnięcia, a nie składać się z szeregu cyfr czy wskaźników dostarczonych przez narzędzia. Znów nawiązuje do tego żeby cyber security było enablerem biznesu – a nie samodzielnym, oderwanym od organizacji bytem.

AG: Podsumowując tą część, co jest według Ciebie najważniejsze w rozmawianiu o cyber bezpieczeństwie na linii IT – biznes?

jak rozmawiać o cyberbezpieczeństwie

KB: WSPÓLNY CEL / ZROZUMIENIE PERSPEKTYWY / ZAUFANIE
Po kolei. Najważniejsze jest ustalenie, że mamy WSPÓLNY CEL. Pracujemy dla pewnej korzyści: może to być dostarczony projekt, wypłata wynagrodzenia, podział zysku, wsparcie akcji charytatywnej – każdy z nas odpowiada za cząstek tego celu. Dlatego tak istotna jest według mnie kaskada celów organizacji na zespoły i członków organizacji.
ZROZUMIENIE PERSPEKTYWY wymaga spojrzenie na to co robimy oczami drugiej strony. Jeśli biznes mówi za drogo – to może mówi dlatego że wybraliśmy rozwiązanie które skonsumuje cały zysk i mimo że jest najlepsze na rynku, mityguje ryzyko, które ma bardzo niskie prawdopodobieństwo. Z drugiej strony jeśli bezpiecznik mówi o rozwiązaniu, czy opowiada o zagrożeniach, to nie dlatego że zna produkty które mogą “przepalić” każdy budżet albo chce w nas wzbudzać strach, tylko mówi o bardzo prawdopodobnych scenariuszach mogących zagrozić naszemu wspaniałemu biznesowi. Organizacja wycieczek po pustyni może być świetnym biznesem, ale użycie do tego miejskich aut hybrydowych – to raczej się nie sprawdzi.

ZAUFANIE – obie strony budują je, aby móc otwarcie rozmawiać o swoich potrzebach, zamiast okopywać się za ROI, FTE, TCO czy MFA, VPN, SSL itd. Po obu stronach najczęściej są fachowcy, eksperci – jeśli zadbają o to by iść razem w kierunku WSPÓLNEGO CELU – to połowa sukcesu.

AG: Wiem, że pracujesz nad projektem gry, która wspiera budowanie świadomości na temat bezpieczeństwa IT w firmach. Czy możesz powiedzieć coś więcej o tym projekcie?

KB: 2BeAware – to większy projekt bo w planie mamy więcej produktów niż tylko gra.

Misja naszego zespołu, który buduje tę markę, są trzy elementy:

  1. Przekonywać zarządy, decydentów, managerów aby o bezpieczeństwie rozmawiali z ludźmi z bezpieczeństwa. Korzystali z ich wiedzy, dali im szansę być tymi, którzy odpowiadają doradzają, a nie tymi którzy przyjdą na końcu aby zaciągać hamulec.
  2. Budować wartość i markę ludzi z cyberbezpieczeństwa, nie jako tych którzy potrafią wydawać budżet na technologiczne gadżety zwłaszcza oparte o AI, ale tych którzy potrafią optymalizować te wydatki. Dobierać je do realnych potrzeb.
  3. Popularyzacja komunikacji biznesowej wśród cyberbezpieczeństwa. Mówienie językiem zrozumiałym na interesariuszy, unikanie żargonu, unikanie specyficznych technologicznych skrótów, tak aby obie strony częściej i chętniej ze sobą rozmawiali.

Natomiast CyberBusiness, bo tak nazwaliśmy naszą grę, to autorski warsztat z rozgrywka, w trakcie którego uczestnicy wcielają się w role, w hipotetycznym przedsiębiorstwie. Następnie podejmują decyzje i mierzą się z ich konsekwencjami. A to wszystko oczywiście pod presja czasu i losowanym ryzyku wystąpienia zagrożeń, specyficznych dla danej branży czy konkretnego przedsiębiorstwa.

Gra nie wymaga znajomości cyber bezpieczeństwa, elementów IT, czy technologii. Staramy się odwzorować środowisko z którym na co dzień mają do czynienia ludzie podejmujący decyzje w firmach. Ataki phishingowe, awarie infrastruktury, kary finansowe, kontrole urzędów i wiele innych aspektow ktore na co dzień występują.

Chętnie zapraszamy także osoby z cybersecurity, chociażby po to aby pomóc im budować swoją markę w organizacji.

#2BeAware – polecam śledzić w sieci lub skontaktować się bezpośrednio z nami.

AG: Jeżeli ktoś chciałby zgłębić te tematy, to gdzie można Cię spotkać lub jak można się skontaktować?

KB: najszybciej na portalu LinkedIn. Jestem tam aktywny, na bieżąco odpowiadam na wiadomości lub publikuję. Korzystam z adresu email: chris.bryla@gmail.com

Staram się uczestniczyć w spotkaniach społeczności Let’s manage IT, ISSA, ISACA, CyfrowySkaut. Bywam też na szlakach w naszych polskich górach, niestety nieregularnie.

Chętnie odpowiadam na pytania, dzielę się wiedza lub doświadczeniem, dyskutuję.

Zapraszam do kontaktu!

AG: Dziękuję za interesującą rozmowę. Do usłyszenia i zobaczenia!

Witaj w Project Makers!

Cześć, jestem Artur.

Uruchomiłem bloga Project Makers po to, żeby pokazywać jak przy pomocy podstawowych narzędzi i zdrowego rozsądku, każdy może w krótkim czasie osiągnąć mistrzostwo w zwinnym zarządzaniu projektami.

A wszystko zaczęło się od niezaliczonych egzaminów z programowania
(czytaj dalej…)

Potrzebujesz konsultacji?
Umów darmowe spotkanie!

Partnerzy Project Makers

Szukasz praktycznych treści?

Najnowsze wpisy

  • All Post
  • Definiowanie wymagań
  • Narzędzia
  • Planowanie
  • Praca z celami
  • Rekomendacje
  • Rozmowy z ekspertami
  • Zarządzanie budżetem
  • Zarządzanie jakością
  • Zarządzanie zespołem

Znajdź na blogu

Szukasz ciekawych treści o Narzędziach, Automatyzacji i Wskaźnikach w Zarządzaniu Projektami?

Zapisz się do Newslettera Project Makers!
Najnowsze trendy, ciekawostki, narzędzia.
Tylko sprawdzone treści. 

Współpracuję z:

Copyright © 2024 Project Makers