Според Световния икономически форум през 2019 киберсигурността се нарежда на

Според Световния стопански конгрес през 2019 киберсигурността се подрежда на 4-то място измежду 10-те топ рискове пред обществото, като преди нея са само рисковете, свързани с естествени произшествия и измененията в климата. Във финансовия бранш киберсигурността се оказва още по-напред в класациите, заемайки 3то място. По данните на Европейската централна банка единствено геополитическата неустойчивост и рискът от необслужвани заеми се възприемат като по-сериозни от киберзаплахите.

Нарастващите рискове в цифровото пространство изискват използването на нови ограничения, които да подсигуряват отбраната на организациите, и защото човешкият фактор продължава да бъде най-слабото звено, точно към него би трябвало да бъдат ориентирани напъните. Според участниците в третото издание на ISACA Day “Cyberculture” отговорът се крие в развиването и ръководството на организационната киберкултура.

Сред основните лектори на събитието тази година беше Кен Спенс от лондонското отделение на организацията. Той показа историята и структурата на ISACA, а също по този начин описа за документите и привилегиите, от които могат да се възползват членовете. Друг почетен посетител на събитието беше Далим Басу, CISA, CRISC, FBCS, CITP, Bsc.(Hons.) и шеф събития в ISACA London Chapter. Той акцентира сериoзното място, което заема киберсигурността в днешния свят и добави, че киберкултурната еволюция в действителност съставлява среща на технологии, публично приемане и регулации.

Културата би трябвало да се ръководи

Културата в една организация съставлява освен това от цялост на правила и процедури, тя дефинира по какъв начин се правят процесите, по какъв начин се взимат решенията и какво е държанието на чиновниците, изясни Светлозар Каранешев, началник вътрешен одит на Българо Американска кредитна банка и съосновател на лабораторията Risk Culture Lab. Киберкултурата от своя страна е неразделна част от общата просвета на компанията.

„ Тя е резултат от взаимоотношението на хората в организацията и тя съществува без значение дали ние си даваме сметка за нея или не. Или културата ръководи нас, или ние управляваме културата. Добрата просвета е резултат от напъните на водачите на организацията и хората, които ги следват “, прецизира Каранешев.

Участниците в събитието обаче акцентираха, че няма една вярна просвета, а всяка организация би трябвало да построи своя неповторима такава. Все отново специалистите предлагат да се следват някои общи правила, които ще насърчат нейното основаване, използване и поддържане. В тази връзка Каранешев цитира проучване на ISACA, извършено измежду членове и нечленове на организацията, по отношение на актуалното положение на киберсигурността в техните компании и методите за нейното възстановяване. Според 5% от интервюираните експерти нужната просвета за киберсигурност в техните екипи участва, а останалите 95% считат, че се нуждаят от усъвършенстване. За да бъде заздравена киберкултурата, те предлагат: създаване на проект за управление; ангажиране на експертите и ръководителите във връзка с киберсигурността; установяване на измерители и стратегии за образование и развиване на персонала; и не на последно място – замесване борда на съответната организация в плана.

Културата за киберсигурност е по-важна от тактиката

По думите на Диляна Дочева, шеф на консултантската компания „ Дочева и сътрудници “, културата се оказва даже по-важна за крайните резултати от тактиката на компанията. Тя отбелязва, че културата е безмълвният обществен ред на една организация и в случай че там не настъпи смяна, то една нова тактика не би могла да бъде осъществена.

Дочева акцентира, че е рисково културата да се възприема единствено като обвързване на експертите по човешки запаси. Напротив тя визира всички, както мениджърите на най-високо равнище, които би трябвало да я задават, по този начин и останалите чиновници, които би трябвало да е упражняват всекидневно. Онези обаче, които не я съблюдават, би трябвало да бъдат освобождавани, безапелационен е специалистът.

„ Културата е имунната система на организацията. Ако тези чиновниците не бъдат освобождавани се основава една подправена просвета, просвета опаковка. Вярвам, че ние към този момент не управляваме хората. Единственото, което можем да създадем, е да управляваме културите. Хората са самостоятелни, същинската стойност на една организация идва от това какво вършат нейните чиновници. Конкуренцията не е към този момент толкоз конкуренция на технологиите и процесите, а на организационни култури “, добави Дочева.

Киберкултурата и технологиите

При актуалните киберзаплахи софтуерните решения за ръководство на осведомителните системи са наложителни и работата с тях също е част от фирмената киберкулура. И въпреки да не съществува универсално решение от ISACA се пробват да улеснят фирмите в оптималната степен. Организацията употребява събитието, с цел да опише повече за измененията в новата версия на COBIT 2019, създадена на интернационално равнище и показана тази година.

“COBIT е рамка за положителни практики и има за цел да ръководи осведомителните технологии в организациите “, означи Жени Бонева, заместник-председател на ISACA. Тя посочи, че решението предлага голям брой оптимизации, в това число на риска и ресурсите. А новата версия вкарва четири нови аспекта в рамката: еластичност и отвореност, новост, предписани приложения и един зрелостен модел. Освен това от тази година ISO стандартите също са част от решението на ISACA.

Във всеки случай обаче COBIT би трябвало да се калибрира по отношение на съответната организация и нейните потребности, уточни Бонева. Именно и по тази причина вярната имплементация е от значително значение за сполучливи крайни резултати. Експертът посочи, че използването на рамката би трябвало да премине през седем стъпки, с цел да се реализира оптималната оптимизация при ръководството на осведомителните технологии. На първо място би трябвало да се инициира стремежи план, да се дефинира неговата дълбочина и кои ще бъдат заинтригуваните страни. На последващо място би трябвало да се посочат настоящите благоприятни условия на организацията и да се направи по този начин наречения gap analysis. След това би трябвало да се слагат задачите, да се сътвори проект за осъществяване и в последна сметка да се приложат съответните ограничения. Последните две стъпки включват оценка на постигнатите резултати, старания за опазване на инерцията и разкриване на нови благоприятни условия за надграждане и развиване.