Jesteś tutaj

Strategie CFO w zakresie cyberbezpieczeństwa

Finanse są jednym z obszarów najbardziej podatnych na cyberataki. Dyrektorzy finansowi powinni więc zapoznać się z nowymi zagadnieniami dotyczącymi bezpieczeństwa IT, a także biegle posługiwać się przepisami prawa w zależności od przyjętego przez nich modelu biznesowego, co jest zadaniem niemal niewykonalnym. W jaki sposób wpływa to na podejmowane przez nich decyzje – szczególnie jeśli chodzi o integrowanie technologii i umożliwianie szerokiego dostępu do danych w firmie?

Rozmowy, które przeprowadziliśmy z dyrektorami finansowymi pracującymi w firmach różnej wielkości – od małych i średnich przedsiębiorstw aż po globalnych gigantów – ujawniły cztery główne podejścia do kwestii cyberbezpieczeństwa.

Kliknij na jedno z poniższych haseł – pilot, naukowiec, coach lub inżynier – i dowiedz się, co nasi rozmówcy sądzą o różnych podejściach do tego wyzwania.

Pilot

„Wysłanie e-maila z danymi dotyczącymi wynagrodzeń w naszej firmie jest dziecinnie proste. Mimo to ufam, że ludzie z działu IT trzymają rękę na pulsie”. Eugene Low, CFO, Mercer

Cyberataki zdarzają się ponad milion razy dziennie. Większość z nich nie osiąga zamierzonego celu i niewiele ma tak niszczycielską siłę jak Wannacry – oprogramowanie szantażujące, które w ubiegłym roku zainfekowało miliony komputerów w 150 krajach. Nie wolno jednak zapominać, że ataki na mniejszą skalę również mogą znacząco wpłynąć na infrastrukturę firmy i doprowadzić do strat finansowych.

Dyrektorzy finansowi mają świadomość, jak istotna jest ich rola związana z tym wyzwaniem. „Cyberbezpieczeństwo zajmuje bardzo wysokie miejsce na liście naszych priorytetów” –przypomina CFO jednego z dużych banków inwestycyjnych. „Nie można po prostu zainstalować zabezpieczeń i spać spokojnie przez kolejne 15 lat. Należy być cały czas czujnym i regularnie kontrolować sposób korzystania z systemu oraz stan jego bezpieczeństwa”.

Ciągle jednak otwarte pozostaje pytanie o rolę, jaką w tym procesie powinien odgrywać CFO.

Naukowiec – najlepsza ochrona danych

Większość dyrektorów finansowych, którzy wzięli udział w badaniu, zgadza się z opinią, że dogłębne zrozumienie istoty zarządzania danymi ma kluczowe znaczenie. Jeżeli współczesny CFO chce odpowiednio wypełniać swoje zadania, musi wiedzieć, w jaki sposób odfiltrowywać dane o zasadniczym znaczeniu i dane poufne, a także traktować priorytetowo potrzebę zapewnienia ochrony firmie.

Wraz z rosnącą liczbą przypadków naruszania bezpieczeństwa danych dyrektorzy finansowi muszą działać aktywnie i nieustannie współpracować z ekspertami IT. Ciągłe narażenie na potencjalne niebezpieczeństwo oznacza rosnącą konieczność, by CFO był obeznany z tajnikami nowoczesnych technologii.

Inżynier – przestrzeganie procedur

To jednak tylko część spoczywających na CFO obowiązków związanych z zapewnieniem ochrony danych. Zwykle największe ryzyko nie kryje się w samym systemie IT, lecz w tym, w jaki sposób korzystają z niego pracownicy. „Niezależnie od liczby zastosowanych zapór sieciowych lub haseł dostępu, niewłaściwe zachowanie któregokolwiek z nas może narazić na ryzyko wszystko, co chcemy ochronić przy pomocy tych narzędzi” – zauważa Thiago Oliveira, CFO JHSF, firmy z branży nieruchomości.

Podejście inżyniera, jak podkreśla Oliveira, zakłada przede wszystkim zapewnienie płynnie działających systemów, z których będą korzystać pracownicy. „Podporządkowanie się przez pracowników procedurom pełni niezwykle ważną rolę gwaranta bezpieczeństwa informacji i czynnika ograniczającego ryzyko cyberataków”.

Coach – edukacja i zwiększanie czujności

Bycie coachem, szkolącym pracowników z zakresu ryzyka związanego z cyberatakami i działaniami prewencyjnymi, staje się kluczowym zadaniem każdego CFO.

„Musimy szkolić pracowników, by pozostawali czujni, ponieważ zagrożenia, które mogłyby mieć niekorzystny wpływ na naszą firmę, pojawią się, gdy tylko ktoś przypadkowo prześle wraz z dokumentem wirusa, który spróbuje dostać się do naszego systemu. Edukacja na poziomie indywidualnym to podstawa” – zauważa Bob Braasch, CFO banku inwestycyjnego Marathon Capital.

Pilot – strategie ochrony prywatności

W celu poprawy poziomu cyberbezpieczeństwa coraz więcej organizacji monitoruje sposób, w jaki ich pracownicy korzystają z danych. Wiąże się to jednak z kosztami – niekoniecznie o charakterze finansowym.

„Myślę, że największym wyzwaniem dla większości firm jest to, w jaki sposób należy chronić prywatność pracowników, gdy wszyscy są przez cały czas bacznie obserwowani. Codziennie rano budzę się i zadaję sobie’ to pytanie” – dodaje Oliveira.

Potrzeba więc typowej dla pilota zdolności poszukiwania rozwiązań, by opracować właściwą strategię bez konieczności zagłębiania się w szczegóły operacyjne. Znalezienie równowagi jest trudne, lecz niezbędne. „Wysłanie e-maila z danymi dotyczącymi wynagrodzeń w naszej firmie jest dziecinnie proste” – zauważa Eugene Low, CFO globalnej agencji konsultingowej Mercer. „Mimo wszystko ufam, że ludzie z działu IT i compliance trzymają rękę na pulsie. Z tego, co widzę, sytuacja jest pod kontrolą. Nie mogę zajmować się takimi szczegółami. Jako CFO musisz mieć swoje priorytety”.

Spekuluje się, że cyberbezpieczeństwo ostatecznie stanie się zbyt dużym wyzwaniem dla zespołu kierowanego przez CFO. David List, CFO Conotoxia – spółki pośredniczącej w wymianie walut online – zauważa: „nie zdziwiłbym się, gdyby w przyszłości doszło do stworzenia nowej funkcji w ramach zarządu. W pewnym momencie na posiedzenie zarządu „wkroczy” główny inżynier do spraw cyberbezpieczeństwa”.

O czym warto pamiętać?

Ponieważ finanse są jednym z obszarów, który jest najbardziej narażony na cyberataki, dyrektorzy finansowi muszą zaangażować się w proces zarządzania cyberbezpieczeństwem.
Dyrektorzy finansowi powinni zapoznać się z zagadnieniami dotyczącymi bezpieczeństwa IT – idealnie byłoby połączyć to z wiedzą z zakresu różnych systemów prawnych.
Konieczne jest stałe poszerzanie wiedzy wszystkich zainteresowanych stron, by zapewnić przestrzeganie stosownych przepisów.
Złożoność wyzwań, jakie niesie ze sobą cyberbezpieczeństwo, otwiera możliwość stworzenia zupełnie nowej funkcji w ramach zarządu.