3 godzin temu
Statystyka bywa bezlitosna, a w przypadku cyberbezpieczeństwa rzuca ona nowe światło na kondycję współczesnego biznesu. Szacuje się, iż zaledwie 0,009 procent z miliona firm na świecie posiada na etacie dyrektora ds. bezpieczeństwa informacji, czyli CISO. Przez lata ten organizacyjny luksus zarezerwowany był wyłącznie dla korporacyjnych gigantów dysponujących ogromnymi budżetami. Jednak w obliczu nowych regulacji, takich jak NIS2 czy DORA, oraz rosnącej agresywności cybergangów, model „informatyka od wszystkiego” w sektorze MŚP definitywnie przechodzi do historii. Wymogi prawne i realia rynkowe wymuszają na przedsiębiorcach radykalną zmianę paradygmatu i przejście od posiadania narzędzi do kupowania kompetencji.
Sektor IT walczy z problemem strukturalnym, który w najbliższych latach będzie się jedynie pogłębiał, a stowarzyszenie Bitkom prognozuje niedobór ponad 650 000 ekspertów do 2040 roku. Nie jest to chwilowa dziura kadrowa, ale nowa rzeczywistość ekonomiczna, w której średnie przedsiębiorstwa stoją na straconej pozycji w walce o talenty. MŚP rzadko dysponują budżetami płacowymi czy pakietami benefitów mogącymi konkurować z ofertami globalnych korporacji, a choćby jeżeli uda się zatrudnić specjalistę, jego utrzymanie w firmie graniczy z cudem. Badacze rynku przewidują, iż do 2025 roku niemal połowa obecnych CISO zmieni pracodawcę, co sprawia, iż procesy rekrutacyjne ciągną się miesiącami i pochłaniają zasoby, których mniejsze podmioty po prostu nie mają.
Konsekwencje tego stanu rzeczy są już wyraźnie mierzalne, gdyż firmy zatrudniające poniżej 500 pracowników wskazują brak specjalistów jako drugie największe zagrożenie dla swojego bezpieczeństwa. Dochodzi więc do paradoksalnej sytuacji, w której zarządy firm świadomie akceptują ryzyko cybernetyczne. Nie wynika to z ignorancji czy lekceważenia zagrożeń, ale z prostej bezradności oraz braku dostępu do zasobów ludzkich mogących wdrożyć skuteczną ochronę. W Niemczech spory odsetek organizacji łączy udane ataki ransomware bezpośrednio z brakiem wewnętrznej wiedzy i umiejętności wykrywania zagrożeń na czas.
W odpowiedzi na te braki kadrowe rynek zwrócił się ku automatyzacji, a zarządzane usługi bezpieczeństwa zyskują na popularności jako pragmatyczna alternatywa dla budowania własnych struktur. Kluczową rolę odgrywają tu usługi MDR, czyli Managed Detection and Response, które łączą technologie EDR i XDR z pracą zewnętrznych zespołów analityków dostępnych przez całą dobę. Dzięki wykorzystaniu zaawansowanego uczenia maszynowego i sztucznej inteligencji, zespoły te potrafią wykrywać anomalie i powstrzymywać ataki w czasie rzeczywistym, działając często szybciej i skuteczniej niż jakikolwiek wewnętrzny administrator.
Istnieje jednak niebezpieczna pułapka myślenia, iż sama technologia rozwiąże wszystkie problemy organizacji. Usługi MDR są doskonałe w warstwie operacyjnej, gdyż świetnie radzą sobie z gaszeniem pożarów, wykrywaniem intruzów czy izolowaniem zainfekowanych stacji roboczych, ale nie są zaprojektowane do myślenia strategicznego. Żaden algorytm nie stworzy polityki bezpieczeństwa zgodnej z RODO, nie przygotuje firmy do skomplikowanego audytu NIS2 i nie wytłumaczy zarządowi, dlaczego inwestycja w systemy backupu jest w danym momencie ważniejsza niż wdrożenie nowego systemu ERP. Należy wyraźnie rozróżnić bezpieczeństwo operacyjne, działające tu i teraz, od bezpieczeństwa strategicznego, które polega na zarządzaniu ryzykiem, planowaniu rozwoju i budowaniu długofalowej kultury bezpieczeństwa.
Właśnie w tym miejscu na scenę wkracza koncepcja wirtualnego CISO jako odpowiedź na potrzeby firm muszących spełnić rygorystyczne wymogi prawne, ale niepotrzebujących pełnoetatowego dyrektora. Zarówno unijna dyrektywa NIS2, jak i rozporządzenie DORA dla sektora finansowego wymagają od organizacji jasnego przydziału obowiązków i udowodnienia, iż strategie bezpieczeństwa są nie tylko wdrożone, ale i monitorowane przez wykwalifikowany organ, co sprawia, iż papierowe bezpieczeństwo przestaje wystarczać. Włączenie roli vCISO w ramach usług zarządzanych pozwala firmom MŚP na dostęp do wiedzy klasy Enterprise, gdyż zyskują eksperta pracującego na co dzień z wieloma organizacjami i znającego najnowsze wektory zagrożeń.
Model ten niesie ze sobą również wymierne korzyści finansowe i organizacyjne. Rozliczenie abonamentowe stanowi zaledwie ułamek kosztu zatrudnienia eksperta na etat, eliminując jednocześnie wysokie koszty rekrutacji i szkoleń. Co więcej, rozwiązanie to zapewnia ciągłość strategiczną, ponieważ podczas gdy usługi MDR chronią infrastrukturę w nocy, wirtualny dyrektor w dzień planuje rozwój odporności cyfrowej, tworzy procedury i nadzoruje audyty. Dzięki takiemu podejściu rola CISO przestaje być opcjonalnym dodatkiem, a staje się dostępną usługą wypełniającą lukę między skomplikowaną technologią a celami biznesowymi.
Niedobór wykwalifikowanych pracowników to wyzwanie strukturalne, które nie zniknie w najbliższej przyszłości, dlatego zamiast walczyć z wiatrakami na trudnym rynku rekrutacyjnym, firmy średniej wielkości powinny redefiniować swoje podejście do ochrony danych. Przyszłość należy do modelu hybrydowego, który spójnie łączy nowoczesną technologię opartą na sztucznej inteligencji, zarządzane usługi operacyjne działające w trybie ciągłym oraz zewnętrzny nadzór strategiczny. Taki układ pozwala osiągnąć poziom cyberodporności, który wcześniej był poza zasięgiem mniejszych graczy rynkowych. Cyberbezpieczeństwo nie może być przywilejem największych korporacji, ale musi stać się standardem dostępnym dla wszystkich podmiotu gospodarczego, a usługi zarządzane z wirtualnym CISO to w tej chwili najbardziej pragmatyczna i ekonomicznie uzasadniona droga do tego celu.
Dla decydentów IT oraz integratorów najważniejsze jest przeanalizowanie obecnej strategii pod kątem nadchodzących regulacji. Warto zadać sobie pytanie, czy w organizacji istnieje wyraźnie zdefiniowana rola odpowiedzialna za strategię bezpieczeństwa, czy też polega ona wyłącznie na narzędziach i oprogramowaniu. Szczera odpowiedź na to pytanie może zdefiniować odporność firmy na najbliższe lata i uchronić ją przed poważnymi konsekwencjami prawnymi oraz finansowymi.
