https://www.ictbusiness.info

Link: https://www.ictbusiness.info / kolumne / jesmo-li-postavili-pogresan-cilj

Jesmo li postavili pogrešan cilj?

Posljednjih nekoliko godina regulatorni zahtjevi rastu brže nego ikad.

NIS2, DORA, CER, AI Act, GDPR, ISO 27001, TISAX, PCI DSS…

Svaki od njih donosi nove obveze, nove kontrole, nove procese i novu dokumentaciju.

Većina organizacija danas ulaže ogromne napore kako bi ostala usklađena. Zapošljavaju stručnjake za compliance, uvode GRC platforme, angažiraju konzultante, pripremaju se za audite i izrađuju sve više politika i procedura.

I to je potpuno razumljivo.

Neusklađenost može značiti regulatorne kazne, negativne nalaze audita, narušenu reputaciju ili čak prekid poslovanja.

Ali posljednjih godina sve češće se pitam jesmo li izgubili iz vida pravi cilj.

Compliance nije svrha

Regulatori nikada nisu pisali propise zato da bi organizacije imale više dokumenata.

Niti zato da bi provodile više audita.

Niti zato da bi kupovale nove GRC platforme.

Svrha gotovo svih regulatornih zahtjeva iz područja kibernetičke sigurnosti uvijek je ista.

Smanjiti rizik.

Povećati otpornost organizacije.

Compliance nikada nije bio cilj.

Compliance je način da organizacija postane otpornija.

Problem koji postaje sve veći

Danas više nije problem razumjeti jedan zakon ili jedan standard.

Problem je što ih organizacije moraju pratiti desetke ili stotine.

Istovremeno.

I svi se neprestano mijenjaju.

Dodajmo tome interne politike, zahtjeve kupaca, industrijske standarde i ugovorne obveze.

Rezultat je da velik dio vremena stručnjaka odlazi na praćenje regulatornih promjena, mapiranje zahtjeva, prikupljanje dokaza i pripremu za sljedeći audit.

Pitanje je koliko nam tada ostaje vremena za ono zbog čega sve to radimo.

Upravljanje stvarnim cyber rizicima.

Što zapravo želimo postići?

Kada član Uprave odobri ulaganje u kibernetičku sigurnost, on zapravo ne kupuje compliance.

On želi biti sigurniji da će organizacija nastaviti poslovati kada se dogodi ozbiljan incident.

Želi znati:

  • Gdje su naši najveći rizici?
  • Što se promijenilo od prošlog mjeseca?
  • Na što se trebamo fokusirati?
  • Što će najviše povećati našu otpornost?

To su pitanja na koja bi sigurnosni program trebao odgovarati svaki dan.

Ne samo tijekom audita.

Vrijeme je za promjenu fokusa

Mislim da ćemo u sljedećih nekoliko godina morati promijeniti način na koji upravljamo kibernetičkom sigurnošću.

Ne zato što compliance više nije važan.

Naprotiv.

Compliance će postajati sve važniji.

Ali broj regulatornih zahtjeva raste toliko brzo da ih više neće biti moguće učinkovito pratiti kao zasebne obveze.

Umjesto da pokušavamo upravljati svakim novim zahtjevom, trebali bismo upravljati onime što svi oni pokušavaju postići.

Otpornošću organizacije.

Ako organizacija razumije vlastite poslovne procese, podatke, sustave, odgovornosti, kontrole i rizike, tada može kontinuirano procjenjivati gdje se nalazi i što treba napraviti.

U takvom modelu compliance ne nestaje.

On postaje posljedica.

Posljedica organizacije koja dobro upravlja svojim rizicima i kontinuirano gradi otpornost.

Budućnost neće mjeriti broj politika

Vjerujem da ćemo za nekoliko godina mnogo rjeđe postavljati pitanje:

“Jesmo li usklađeni?”

A mnogo češće:

“Jesmo li danas otporniji nego jučer?”

To nije samo drugačije pitanje.

To je potpuno drugačiji način razmišljanja o kibernetičkoj sigurnosti.

I vjerujem da će upravo ta promjena odrediti kako će izgledati upravljanje cyber rizicima u desetljeću koje dolazi.