A szakértelem hiánya bénítja az igazgatótanácsokat
A legtöbb igazgatótanács már felismerte, hogy nincs elég mély kiberbiztonsági tapasztalat a soraiban. Egy friss felmérés szerint a 62 nagyvállalati igazgatótanácsban 239 tag közül mindössze egynek volt formális kiberbiztonsági végzettsége, ötnek valamilyen tanfolyamot végzett, és csak 16-an rendelkeztek érdemi tapasztalattal a területen. Még ha sikerül is szakmailag felkészült új tagokat bevonni, gyorsan kiderül, hogy a technológiai fejlődés ütemével alig lehet lépést tartani: még a Szilícium-völgyből érkező tapasztalt szakértők is úgy érzik, hogy az MI és a kiberbiztonság túl gyorsan változik ahhoz, hogy egy-egy igazgatótanácsi tag valóban átlássa.
Úgy tűnik, nem is feltétlenül a szakértő tagok számának növelése a kulcs. Helyette fontosabb lenne, hogy az igazgatótanácsok a cégek legfelső vezetésének kiberbiztonsággal megbízott tagjait megfelelően kiválasszák, támogassák és számon kérjék, valamint a kritikus helyzetekben (például egy valós vagy szimulált kibertámadás során) helyesen értékeljék a teljesítményüket. A testület tagjainak nem magukból kell műszaki szakértőt faragniuk, hanem képesnek kell lenniük felismerni, hogy a vállalat vezetői a megfelelő stratégiával, kommunikációval és válságmenedzsmenttel kezelik az incidenst. Ehhez elengedhetetlen a külső tanácsadók bevonása is.
Az MI egyszerre lehetőség és veszély
A mesterséges intelligencia a legtöbb igazgatótanácsnál legfőképp stratégiai szempontból kerül szóba, és közben alig esik szó arról, milyen kockázatokat jelenthet a kiberbiztonság szempontjából. Az MI azonban nemcsak új üzleti lehetőségeket, hanem új gondokat is teremt: automatizált kártevők, egyre hihetőbb adathalász próbálkozások, személyre szabott csaló e-mailek, illetve a képi, hang- és videóanyagokkal operáló manipulációk jelentősen kibővítik a fenyegetettség palettáját.
Az igazgatótanácsoknak egyszerre kell az MI-t stratégiai erőforrásnak és potenciális biztonsági, etikai veszélyforrásnak tekinteniük. Fontos kérdéseket szükséges feltenniük: valóban hozzáadott értéket hoz az MI, vagy csak a trend miatt szállunk be a versenybe? Milyen kompromisszumokat vállalunk a gyors MI-integráció érdekében, és ezek vállalhatók-e? A technológia hogyan alakítja át az alapfolyamatokat, és mi történik, ha azok éppen az MI miatt szétesnek? Az etika és a kockázatkezelés beépítése minden új MI-megoldás tervezésébe – már a legelején, nemcsak utólag – szükséges.
Ha a digitalizációval tempót akar tartani az igazgatótanács, nem halogathatja az MI-vel kapcsolatos lépések, a kiberfenyegetettség és a kontrollrendszerek megvitatását.
Megfelelőség ≠ valódi védelem
A gyorsan változó szabályozás miatt sokan összekeverik a jogi megfelelést a tényleges védelemmel, pedig a szabályok önmagukban csak minimális védelmet nyújtanak a komolyabb támadásokkal szemben. Mivel a nagyvállalatok (általában) megengedhetik maguknak a legjobb szakemberek alkalmazását, a lassú, bürokratikus szabályrendszerek sokszor már érvényüket veszítik, mire megszületnek.
Az egyik tapasztalt szakértő szerint a szabályalkotók gyakran hátrányból indulnak, és utólag próbálnak rendet tartani – valójában a piac önszabályozó mechanizmusainak (például az azonnali reputációs, üzleti és pénzügyi károk) ösztönző ereje sokkal nagyobb. Egy szervezetnek úgy kell tekintenie a kiberbiztonságot, mint a hosszú távú versenyképesség és működőképesség feltételét.
Ehhez érdemes a következő szempontokat mérlegelni: mennyire integráljuk a kiberbiztonsági elemeket a termék- és szolgáltatásfejlesztés folyamatába? A tanács proaktív vagy reaktív módon közelíti meg a biztonsági kérdéseket? Milyen módon javíthatja a fejlett kiberbiztonság az ügyfélélményt és a márka hírnevét? Fontos az is, hogy a kockázatok – különösen az ellátási lánc vagy stratégiai partnerek felől – messze túlmutatnak a céghatárokon.
Az igazgatótanácsoknak olyan partnereket kell keresniük, akik nem érik be a rendelkezésre álló minimummal, hanem az ellenállóképesség és a versenyelőny maximalizálása érdekében a megfelelőségi előírásokon túlmutató megközelítést alkalmaznak.
Új felfogás kell a tanácsokban
Üdvözlendő, hogy egyre több igazgatótanács ismeri fel saját felelősségét a vállalat kiberbiztonságának felügyeletében, de a leghatékonyabb eszközük nem az, hogy saját soraikban műszaki szakértőket képeznek, vagy gyorsan elavuló tréningeket tartanak. Az igazi áttörés az, ha a legjobb kiberbiztonsági vezetőket választják ki, motiválják és támogatják. A szabályok betartása csak az alap – az igazi előnyt az adja, ha a tanács stratégiai partnerként, együttműködve a vezetéssel, képes alkalmazkodni az MI miatt gyorsan változó kockázati környezethez, és nem huny szemet a lemaradásai fölött.
