Zarządzający firmami powinni unikać zbędnego ryzyka

Korporacyjna kultura podejmowania ryzyka może mieć negatywne skutki dla świata

Podejmowanie pewnych rodzajów ryzyka jest nierozsądne. Większość kredytów bankowych typu subprime (to one doprowadziły do załamania rynku kredytowego i ostatecznie do światowego kryzysu finansowego) oferowano ludziom, których nigdy nie było stać na kredyt. A jednak robiły to prawie wszystkie banki.

W bliższej nam przeszłości nikt nie przewidział lockdownu ani tego, że codzienne czynności, takie jak chodzenie do szkoły i pracy, spotkania z przyjaciółmi czy wyjście na plażę, będą kiedykolwiek stanowić zagrożenie dla naszego życia i otaczających nas osób. Teraz, gdy znamy kontekst, wydaje się to oczywiste.

Zarówno światowy kryzys finansowy w 2008 r., jak i obecna pandemia są wydarzeniami niezwykle destrukcyjnymi, których skutków można było uniknąć (lub przynajmniej je złagodzić), gdybyśmy bardziej docenili ryzyko lub słuchali wcześniej specjalistów ds. ryzyka kredytowego oraz ekspertów w dziedzinie ochrony zdrowia.

Czy kultura korporacyjna nie docenia ryzyka?

Sposób, w jaki uwzględniamy ryzyko, jest również często nielogiczny i nieprzewidywalny. Mamy do czynienia z masowym zjawiskiem pracy zdalnej, co otworzyło nowe możliwości dla cyberprzestępców szukających okazji zarobku. Można by oczekiwać, że organizacje skupią się na zapewnieniu bezpieczeństwa swoich aplikacji w chmurze, jednak zbyt często zakładają one, że zadba o to dostawca tych usług. Tymczasem niewłaściwa konfiguracja instancji w chmurze jest faktycznie jedną z najczęstszych przyczyn naruszania bezpieczeństwa danych.

Choć zapewne nikt nie zostawia swojego laptopa ani aplikacji w chmurze bez zabezpieczenia hasłem lub innej ochrony, firmy często zlecają zakup urządzeń IoT i podstawowego sprzętu (jak nośniki pamięci USB) swoim działom zaopatrzenia. Naturalnie prowadzi to do zakupu najtańszych dostępnych urządzeń i nikt nie pomyśli nawet o tym, by zapłacić nieco więcej za dodatkowe funkcje, jak np. szyfrowanie. Warto zadać sobie pytanie: czy pamięć USB, której obecnie używam, jest szyfrowana i chroniona hasłem? Jeśli odpowiedź brzmi „nie”, w firmie należy przeprowadzić pilny audyt ryzyka cybernetycznego.

Nieuwzględnianie ryzyka ma nie tylko charakter kulturowy (dotyczy zarówno osób robiących sobie selfie, jak i specjalistów ds. zaopatrzenia), ale wynika także ze sposobu działania organizacji.

Należy zawsze brać pod uwagę wszystkie trzy kluczowe elementy

Można mieć nadzieję, że ostatnie doświadczenia uczynią nas dużo bardziej świadomymi istniejącego ryzyka. Zarządzający firmami powinni zmienić sposób, w jaki motywują zespoły i zarządzają nimi, a także uwzględnić w swojej perspektywie wszystkie trzy kluczowe elementy: przychód, zysk ORAZ ryzyko. Dyrektorzy ds. zaopatrzenia powinni być świadomi ryzyka i rozumieć, że decyzje dotyczące zakupu zarówno stosunkowo tanich urządzeń (dyski z funkcją szyfrowania nie są dużo droższe), jak i większych, złożonych systemów, muszą być podejmowane z uwzględnieniem cyberbezpieczeństwa.

W kulturze świadomości ryzyka konieczność zapłacenia nieco wyższej ceny za bezpieczeństwo cybernetyczne w postaci bezpiecznych, zaszyfrowanych urządzeń czy złożonych systemów wielochmurowych jest rozsądną inwestycją, a CISO może być spokojny, że jego ostrzeżenia nie zostaną zignorowane.

Niezbędna jest zmiana kulturowa

Jako społeczeństwo nigdy dotąd nie byliśmy tak wzajemnie powiązani ani tak zależni od technologii – i w efekcie tak podatni na zagrożenia. Zwłaszcza w obliczu ich nieustannej ewolucji i rozwoju.

Aby zmienić sposób postępowania zespołów zarządzających i podlegających im pracowników, niezbędne jest skuteczne przywództwo, a zmiana kulturowa w kierunku większej świadomości ryzyka musi pochodzić z samej góry. Kultura etyki cyfrowej (w tym ochrony prywatności i bezpieczeństwa danych) musi przenikać wszystkie poziomy – z góry na dół. Organizacje, które mają kulturę etyki cyfrowej i świadomość ryzyka, są nie tylko mniej narażone na naruszenie danych, ale potrafią także lepiej reagować w przypadku jego wystąpienia.