Pokud vám není firma, ve které pracujete ukradená a chtěli byste přesvědčit šéfa, aby investoval do IT bezpečnosti, je tento článek přesně pro vás. Pomůžeme vám pochopit, proč váš nadřízený nechce o takové investici ani slyšet a nabídneme argumenty, které by jej mohly přimět změnit názor.

Proč je kyberbezpečnost ve vaší firmě na špatné úrovni?

Vedoucí pracovníci ve firmách jsou jen velmi zřídka zároveň odborníky, nebo alespoň nadšenci do IT. Zároveň bývají často časově vytížení, takže nemají čas ani náladu v tomto oboru se vzdělávat. To je samozřejmě špatně, protože na tak klíčovou věc, jako je IT bezpečnost ve firmě, do které on i vy jistě dáváte nemalé úsilí, by si šéf rozhodně čas najít měl.

Důvodem, proč se tak často neděje může být dojem, že se kyberhrozby vaší firmě vyhnou, protože jich není zas tak moc, firem je hodně, tak proč by si někdo měl vybrat zrovna tu vaši. Co by si od vás asi tak vzali? Pár e-mailů, ve kterých si domlouváte dovolenou? Všechny tyto úvahy jsou samozřejmě naprosto zcestné, kyberhrozby číhají dnes již úplně všude a úplně na každého, jejich počet roste obrovskou rychlostí a čím dál více firem se stává oběťmi kybernetických útoků, které některé firmy už dokonce vůbec nerozchodí!

Bohužel je velmi snadné tohoto neviditelného nepřítele podcenit. Spousta lidí, a bohužel i těch na vedoucích pozicích, si ještě nezvykla na to, že zloděj dnes už nemusí přijít s páčidlem až ke dveřím, aby nás mohl okrást a že dopady takového neviditelného útoku mohou být ve skutečnosti mnohem fatálnější než v případě vloupání s páčidlem.

Posledním typickým důvodem, proč vedení podceňuje nutnost investice do oblasti kybersecurity, je pocit, že cena neodpovídá službě. Buďme k sobě upřímní, nejedná se mnohdy o úplně malou investici. Je tedy pochopitelné, že se do ní leckomu příliš nechce. Jestliže ale cílem investice je vyplatit se, pak neexistuje nic, co by tuto podmínku splňovalo lépe.

Jak dát věci do pohybu?

Pokud vám šéf naslouchá a dá na vaše rady, přesvědčit jej, že investice do kyberbezpečnosti má smysl, by nemusel být velký problém. Pokud má váš šéf trochu “tvrdší hlavu” a nechce o kyberbezpečnosti ani slyšet, budete se muset snažit trochu více. Tak či tak, nabízíme několik tipů, jak na to.

Připravte si fakta

Víte, že mezi lety 2020 a 2021 vzrostl počet kybernetických útoků v Česku o 20 %? A ví to váš šéf? Nejedná se o data vycucaná z prstu, ale o analýzu společnosti ESET, která patří na špičku v oboru kyberbezpečnosti. Celosvětová čísla jsou ještě děsivější a to 31 %. Společnost T-Mobile detekovala během jediného dne až 50 milionů útoků po celém světě. Nejvíce kybernetických útoků na světě míří na průmyslové společnosti – je to konkrétně 16 %.

Pozor na ekonomickou stránku věci

Právě tady totiž často ztroskotají všechny diskuze. Kyberbezpečnost stojí peníze a jejich návratnost nemusí být vždy na první pohled úplně vidět. Je proto klíčové, abyste nezapomněli zmínit, že z dlouhodobého hlediska je investice do IT bezpečnosti vždy výhodná, protože je jen otázkou času, než i vaši firmu potká situace, kdy se ukáže, jak jste na hrozby přicházející po internetu připraveni. A to, co dnes investujete do prevence, je jen zlomek toho, co bude potřeba investovat později, pokud nebudete připraveni čelit útoku hackerů.

Nebavíme se přitom jen o výlohách na hašení pomyslného již vzniklého požáru, ale také o nákladech na dodatečnou prevenci těch budoucích, do které nyní šéf investovat váhá, ale později ještě rád tuto investici podstoupí. Neušetřil tedy nic, akorát zaplatil navíc výdaje spojené s řešením následků zanedbané kyberbezpečnosti a firma místo vytváření nových hodnot musela zachraňovat aspoň ty stávající.

Spočítejte šéfovi, na kolik jej vyjde několikadenní odstávka výrobních procesů, kolik peněz bude muset zaplatit za někoho, kdo se pokusí zachránit aspoň zbytek z vašich dat, kolik peněz může útočník odcizit z firemních účtů atd.

Ujistěte se, že šéf chápe následky zanedbané kyberbezpečnosti

Zeptejte se, jak je firma připravená vyrovnat se s odcizením nebo smazáním výrobních plánů a jiných důležitých dat. Útočník může tato data nepozorovaně změnit, což může způsobit naprostou pohromu při výrobě. Může si firma dovolit přijít o všechny peníze na účtu? Co když útočník odcizí patenty nebo léta budované firemní know-how?

Přijít během kybernetického útoku může firma také o osobní údaje zákazníků nebo tajné údaje obchodních partnerů. Tyto citlivé informace byly vaší firmě svěřeny s důvěrou, že se postaráte o to, aby byly v bezpečí. Pokud však vinou nedostatečného zabezpečení dojde k jejich odcizení a zneužití, pracně vybudovaná reputace firmy může být v ohrožení.

Jedním z opomíjených následků zanedbané bezpečnosti je ztracená příležitost. Místo toho, abyste kontaktovali nové nebo stávající zákazníky za účelem další nabídky, pouze se omlouváte těm stávajícím za způsobené nepříjemnosti. Trpí tím byznys i reputace.

To všechno, a ještě mnohé další jsou naprosto reálné následky kybernetických útoků na firmy. Následky, ze kterých se poškozené firmy vzpamatovávají týdny i měsíce, nebo se dokonce nevzpamatují vůbec.

Uveďte konkrétní nedostatky a jejich řešení

Víte o konkrétních nedostatcích v zabezpečení firmy? Skvěle! Kyberbezpečnost je široký pojem a pro šéfa může být problém si představit, do čeho by vlastně investoval a zda to má vůbec smysl. Pokud ale uvedete jasné příklady toho, co je špatně a proč, získáte při vyjednávání mnohem výhodnější pozici. Zaměstnancům chybí povědomí o IT bezpečnosti? Viděli jste je, jak nezodpovědně klikají na všechno možné, papírky s hesly k účtům si lepí na klávesnice apod.? Víte, že firma nezálohuje dostatečně svá data? Upozorněte šéfa na to, jak snadno by se mohlo stát neštěstí. Dlouho neaktualizované aplikace a operační systémy nebo i zastaralá fyzická zařízení (jako třeba routery) mohou představovat vážnou hrozbu, protože nemusí podporovat nové bezpečnější technologie.

Šéf si stále myslí, že je investice do kyberbezpečnosti zbytečná?

Pokud jste šéfovi vyjmenovali konkrétní problémy v zabezpečení vaší firmy, a přesto vám nevěří, že je potřeba do něj zainvestovat, nebo možná nevidíte dostatečně do zabezpečení vaší firmy, takže nejste schopni dát nějaké konkrétní příklady, nabídněte šéfovi naši nezávislou konzultaci a analýzu zranitelností. Někteří manažeři potřebují mít všechno změřené. Pokud něco nejde změřit, nechtějí se o tom příliš bavit. My jsme schopni vypracovat podrobné analýzy, které ukážou na všechny nedostatky a změří rozsah následků v případě jejich zneužití útočníkem. Tato čísla následně dáme do poměru s naší cenovou nabídkou a šéf tak získá lepší představu o tom, kolik peněz (o času a energii ani nemluvíme) mu tato investice reálně ušetří.

Šéf si může také otestovat své zaměstnance pomocí naší phishingové kampaně, kdy rozesíláme zaměstnancům podvodné e-mailové zprávy s cílem získat přístupy do interních systémů a k důležitým datům firmy. Vše samozřejmě naprosto bezpečně, v rámci prevence, aby až přijde skutečný útočník, byli vaši zaměstnanci připraveni.