Webinar: Jak rozmawiać z zarządem o cyberbezpieczeństwie? - Trecom

Spis treści

Eksperci Trecom – Aleksander Bronowski i Cyprian Gókowski – dzielą się sprawdzonymi strategiami przekonywania zarządu do inwestycji w cyberbezpieczeństwo.
Nagranie koncentruje się na praktycznych technikach komunikacji biznesowej i obalaniu mitów blokujących decyzje o finansowaniu.

Bezpieczeństwo łańcucha dostaw jako argument biznesowy (NIS 2)

Dlaczego bezpieczeństwo łańcucha dostaw powinno interesować zarząd?

Wymogi NIS 2 dotyczące łańcucha dostaw to nie tylko compliance – to czynnik bezpośrednio wpływający na zdolność prowadzenia biznesu:

Utrata dostępu do przetargów – firmy niespełniające standardów bezpieczeństwa będą wykluczane z dużych projektów
Brak możliwości bycia podwykonawcą – podmioty kluczowe wymagają określonych standardów od partnerów
Spadek zaufania rynkowego – weryfikacja przez formularze bezpieczeństwa staje się standardem
Przykład z USA – standard SOC 2 jako przepustka do korporacyjnego biznesu B2B

Kluczowy przekaz: Inwestycja w bezpieczeństwo dzisiaj = zabezpieczenie możliwości biznesowych jutro. Opóźnienie może skutkować wykluczeniem z rynku.

Sześć mitów blokujących inwestycje w cyberbezpieczeństwo

Mit 1: „Bezpieczeństwo to koszt”

W rzeczywistości: inwestycja zapobiegająca większym stratom (kary, incydenty, obsługa ataków)
Bezpieczeństwo jako przewaga konkurencyjna – możliwość zajęcia miejsca konkurencji niespełniającej wymogów

Mit 2: „Wdrożyliśmy już standardy”

Bezpieczeństwo wymaga ciągłej aktualizacji (zagrożenia i techniki stale się zmieniają)
ISO 27001 czy NIST to proces, nie jednorazowy projekt

Mit 3: „Mam rozwiązanie X – jestem bezpieczny”

Nie istnieje jedno „magiczne pudełko”
Skuteczne bezpieczeństwo = ludzie + procesy + technologie w synergii

Mit 4: „Robimy pentesty – jesteśmy zabezpieczeni”

Pentest to fotografia momentu, bezpieczeństwo zmienia się w czasie
Bez działań następczych (załatania luk) to zmarnowany budżet
Nie zastępuje monitoringu 24/7

Mit 5: „Nas nie zaatakują – jesteśmy za mali”

Małe firmy to łatwiejszy cel (mniej zabezpieczeń)
Ataki są zautomatyzowane i masowe
Małe organizacje = wektor ataku na większe (łańcuch dostaw)

Mit 6: „Zainwestowaliśmy już w bezpieczeństwo”

Oprogramowanie się starzeje, pojawiają się nowe podatności
Najdroższe rozwiązania nie działają bez ludzi i procedur
Kluczowa jest zdolność do szybkiego reagowania

Wpływ działań biznesowych na bezpieczeństwo – konkretne przykłady

Eksperci pokazują sześć realnych scenariuszy, gdzie decyzje biznesowe generują ryzyko:

Aplikacja mobilna e-commerce bez szyfrowania i MFA → ryzyko kar RODO, utrata zaufania
Migracja do chmury bez audytu dostawcy → niejasny podział odpowiedzialności, nierealistyczne SLA
Wewnętrzna aplikacja do zarządzania bez logów i kontroli → wektor ataku, możliwość eskalacji uprawnień
Automatyzacja procesów bez monitoringu → błędy deweloperskie, brak Security by Design
IoT na produkcji z hasłami domyślnymi → łatwy cel dla ataków, nawet w sieci OT
Aplikacje SaaS bez polityki dostępu → dane strategiczne w niepowołanych rękach

Przekształcanie języka technicznego na biznesowy – praktyczny przewodnik

Zamiast mówić o CVE, mów o stratach finansowych

ŹLE:

„Mamy lukę CVE-2024-XXXX, rating 8.0, wykryto XSS, brak MFA”

DOBRZE:

„Wyciek danych przez niezabezpieczoną aplikację oznacza:

Karę finansową: ok. 50 000 zł
Koszt naprawienia: 2 dni (wartość: X zł)
Ryzyko utraty zaufania klientów

Kluczowe techniki komunikacji z zarządem

Wizualizacja zamiast żargonu

Dashboardy, mapy ryzyk, wykresy dojrzałości
Unikać: CVE, DLP, IPS, XDR, SOAR
Stosować: konkretne kwoty strat, scenariusze „co się stanie”

Język korzyści, nie kosztów

„Chronimy przychody” zamiast „generujemy koszty”
„Możliwość ekspansji” – zajmiemy miejsce konkurencji niespełniającej wymogów
„Zgodność = przepustka do nowych klientów”

Argumenty szczególnie skuteczne

Sankcje osobiste w NIS 2: zakaz zajmowania stanowiska kierowniczego (często działa mocniej niż kary finansowe)
Utrata możliwości biznesowych (przetargi, podwykonawstwo)
Przewaga konkurencyjna (wczesne dostosowanie)