Je právě rolí šéfů financí, aby na základě těchto informací spolupracovali na přípravě krizových scénářů obsahujících i odhady nákladů na vyřešení případného bezpečnostního incidentu. Podle míry rizika by následně měla být vypracována odpovídající opatření – pokud nejsou přímo stanovena zákony o kybernetické bezpečnosti nebo ochraně osobních dat.
Finanční ředitelé musejí rovněž akceptovat fakt, že zabezpečení IT nepředstavuje jednorázovou investici, ale průběžný a nikdy nekončící proces. Firemní IT je neustále se vyvíjející, složitý systém. S jeho rozvojem vznikají stále nové bezpečnostní slabiny, které je třeba zacelit. S novými metodami přicházejí i útočníci, jejichž stále sofistikovanější pokusy o napadení je třeba odrážet. Proto je nutné, aby firma investovala do nových bezpečnostních technologií, penetračního testování a průběžného vzdělávání IT personálu i ostatních zaměstnanců, kteří by třeba i sami, nevědomě mohli představovat bezpečnostní riziko.
Pochopení rizika
Bezpečnost IT se z okrajové záležitosti stala významnou součástí strategie celé firmy, na které musejí spolupracovat všichni členové top managementu. Hlavní tíha zabezpečení firemních systémů před útoky zvenčí i zevnitř sice stále spočívá na IT oddělení, ale finanční oddělení na něj musí vyčlenit odpovídající rozpočet. Na druhou stranu by ale měl finanční ředitel od IT získat jasnou odpověď na několik základních otázek. Především jde o to, jaká bezpečnostní řešení již firma používá, zdali jsou efektivní a navzájem spolupracují. Dále by měl být informován, proti jakým hrozbám je třeba zabezpečení vylepšit a jakým způsobem jsou v současné době monitorovány pokusy o narušení zabezpečení firemní sítě. IT oddělení by mělo být před další investicí schopné jasně doložit, s jakými hrozbami se firma potýká a jakým způsobem (jak rychle) na ně současný systém zabezpečení reaguje. Jen tak lze položit do souvislostí celkovou bezpečnostní strategii a rozpočet, který je na její realizaci požadován. Jasný přehled o nákladech je také jedním z prostředků, jak odhalit, že například dochází k pořizování bezpečnostních řešení, která se vzájemně nedoplňují, nebo naopak výrazně překrývají.
Radek Kubeš
