Skutočná zmena firemnej kultúry nastáva až vtedy, keď je bezpečnosť vnímaná ako firemná priorita, začnúc vedením, postupne k zamestnancom.
Ako teda zapojiť lídrov a manažérov do budovania bezpečnostnej kultúry?
1. Preložte bezpečnosť do reči biznisu
Top manažment zaujímajú:
- právne a finančné riziká
- straty pri výpadku prevádzky
- dopad na reputáciu
👉 Nehovorte o „zero-day“ a „vulnerability scan“, ale o tom, čo môže spôsobiť nefunkčná komunikácia s obchodnými partnermi, únik dôležitých údajov zákazníkov, GDPR pokuty alebo zníženie dôvery partnerov.
2. Manažér musí ísť príkladom
Ak manažér má výnimku, obchádza viacfaktorové prihlasovanie, posiela heslá cez e-mail alebo ignoruje bezpečnostné odporúčania, tak vám nič nepomôže, nech máte akékoľvek školenia.
👉 Kultúru neurčuje to, čo sa hovorí, ale to, čo sa (ne)toleruje.
3. Zapojiť manažérov do komunikácie
Bezpečnostné posolstvá by nemali chodiť len „od IT“.
Manažéri by mali hovoriť o bezpečnosti na poradách, pripomínať zásady pri práci na diaľku či posúvať spätnú väzbu od tímov smerom hore.
👉 Bezpečnosť musí byť súčasťou každodennej (vertikálnej) komunikácie, nie jednorazová kampaň informatikov.
4. Bezpečnosť zakomponovať do KPI a procesoch
Ak má bezpečnosť naozaj prioritu, musí byť súčasťou KPI (napr. absolvovanie školení, účasť na cvičeniach či prospech na predom neohlásených testoch.).
Dodržiavanie firemných pravidiel bezpečnosti by mohla byť zahrnutá do hodnotení tímov.
Bezpečnosť by mala byť premietnutá do rozhodovania (napríklad pri výbere dodávateľov, alebo hodnotenie rizík projektov).
👉 Manažéri tak vidia, že bezpečnosť nie je doplnok, ale integrálna súčasť riadenia.
5. Zapojiť manažérov do DR plánov
Líder tímu je často ten, kto ako prvý vie o probléme a musí reagovať.
Preto musí vedieť koho kontaktovať, v akom poradí, ako komunikovať s klientmi a musí poznať plán obnovy, vedieť kde ho v prípade potreby nájde a hlavne vyznať sa v ňom.
👉 Manažéri musia poznať nielen procesy, ale aj svoju úlohu v nich.
6. Pravidelne informujte vedenie o stave bezpečnosti
Manažment potrebuje mať prehľad o:
- bezpečnostných rizikách (technických aj ľudských)
- trendoch (zavedenie nových postupov a technológii, objavenie nových hrozieb)
- vývoji povedomia o bezpečnosti a realizovaných školeniach
- prípadných incidentoch a ponaučeniach
Forma informovania manažmentu zo strany IT oddelenia, respektíve povereného bezpečnostného analytika môžu byť stručné kvartálne reporty, jednoduché metriky, vývoj trendov.
👉 Transparentnosť zvyšuje dôveru a ochotu investovať do bezpečnosti!
Zhrnutie
Zapojenie manažérov a vedenia nie je „bonus“, je to kľúčový predpoklad úspechu každej bezpečnostnej iniciatívy. Bez nich nevznikne kultúra, ale iba pravidlá. A bez kultúry sa bezpečnosť stáva papierovou formalitou.
