Mar 13
Jak przekonać CEO, że cyberbezpieczeństwo jest ważne
W ramach podcastu “Porozmawiajmy o IT” miałem okazję porozmawiać z Piotrem Zielaskiewiczem o tym jak przekonać CEO firmy, że cyberbezpieczeństwo jest ważne.
Posłuchaj naszej rozmowy w wersji audio 🎧 👇
Moim gościem jest ekspert z zakresu cyberbezpieczeństwa, który odpowiada za rozwój rozwiązań Stormshield na polskim rynku. Prywatnie miłośnik sportów wodnych, zawodowo od dawna związany z DAGMA Bezpieczeństwo IT, entuzjasta zastosowania prawa zamówień publicznych w praktyce. Moim i Waszym gościem po raz drugi jest Piotr Zielaskiewicz.
Cześć, Piotrze, bardzo miło mi gościć Cię w podcaście.
Cześć, Krzysztof! Bardzo mi miło. Cieszę się, że mogę znów dzisiaj tutaj być Twoim gościem.
Rozmawialiśmy całkiem niedawno, w odcinku 178, kiedy to tematem była rola urządzeń UTM w bezpieczeństwie cyfrowym i dzisiaj mam wrażenie, że będziemy trochę kontynuować ten wątek, ponieważ będziemy rozmawiać o tym, jak przekonać osoby zarządzające firmą, w szczególności CEO do tego, że cyberbezpieczeństwo jest ważne, a w niektórych przypadkach pewnie i krytyczne do działania całego przedsiębiorstwa.
Zanim jednak do tego przejdziemy, to chciałbym Cię jeszcze raz zapytać o to, czy słuchasz podcastów. Jeśli tak, to czy lista Twoich ulubionych się jakoś zmieniła od ostatniego razu?
Lista cały czas ewoluuje. Oczywiście słucham podcastów, najbardziej lubię Rozmowy o końcu świata, ponieważ tam mogę w pigułce dostać wiedzę na temat tego, co wydarzyło się w ostatnim tygodniu w zakresie polityki oraz szeroko pojętej gospodarki, więc jest to również ten element, który mnie bardzo interesuje, dlatego często sięgam m.in. po ten podcast.
Super, dzięki za tę rekomendację. Dzisiaj będziemy dużo rozmawiać o perspektywie osób zarządzających firmą m.in. w kontekście bezpieczeństwa infrastruktury IT, więc na początku chciałbym zapytać Cię, jakie zagrożenia z perspektywy osoby, która zarządza firmą, mogą płynąć z potencjalnego ataku na infrastrukturę informatyczną IT. Czego taka osoba może się obawiać po takim ataku?
Chciałby m najpierw jeszcze odnieść się do tego, że faktycznie nasz ostatni odcinek był nagrywany ok. 4 miesiące temu, cieszę się, że jestem tutaj ponownie gościem. I tak, rozmawiamy tutaj o cyberbezpieczeństwie, wcześniej rozmawialiśmy o roli rozwiązań Next Generation Firewall UTM w firmie. Dzisiaj o tym, w jaki sposób przekonać te osoby do tego, żeby chciały zainwestować w swoją firmę i tego typu rozwiązania.
Dlaczego powinny inwestować, dlaczego powinniśmy tutaj rozmawiać przede wszystkim o tym, że jest to inwestycja, a nie koszt — bo to jest dla osób z poziomu C czy dla decydentów pierwszym problemem: zrozumienie, że dział IT w firmie to jest tak naprawdę inwestycja. Dlaczego inwestycja? Ponieważ my jako firma wytwarzamy pewne dobro, posiadamy kontakty naszych partnerów handlowych, naszych klientów i tak naprawdę powinniśmy chronić te kontakty i wszystko to, co znajduje się w naszej infrastrukturze, np. takie informacje, jak dane o naszych pracownikach, o tym, ile oni zarabiają, a może niejednokrotnie firmy, które wytwarzają oprogramowanie powinny właśnie chronić swoje Know How, które wytwarzają.
Myślę, że to jest jeden z elementów, dlaczego inwestycja w szeroko pojęte rozwiązania w cybersecurity jest inwestycją, a nie kosztem.
Kolejnym elementem, który może zmotywować osoby z poziomu C czy menedżerów wysokiego szczebla do zainwestowania, to oczywiście ryzyko kar. Nie lubię tego argumentu, ponieważ to jest trochę jak kijek i marchewka. Jeżeli komuś każemy, to raczej zazwyczaj ktoś nam się blokuje i blokujemy sobie również poziom czy samą tę dyskusję.
Ale co do zasady kary są nieuniknione, choćby samo wdrożenie RODO narzuca na przedsiębiorców m.in. zabezpieczanie infrastruktury, danych osobowych. A kary są wysokie, bo może to być nawet 20 mln euro bądź 4% całkowitego rocznego obrotu takiego przedsiębiorcy, co może być bardzo dużą i dotkliwą karą.
Z pewnością jest to inwestycja, tak jak powiedziałeś, natomiast zastanawiam się, czy tego typu inwestycja powinna zaprzątać głowę osoby na stanowisku CEO, czy wysokiego szczebla menedżerów. Czy to nie jest być może kwestia operacyjna, która powinna np. chodzić gdzieś tam z tyłu głowy CTO jako osoby bliższej takich technicznym aspektom, czy też może jest to kwestia, która powinna na równi interesować osoby na całym poziomie zarządzającym z CEO włącznie?
Myślę, że na pewno jest to tematyka, która powinna interesować dwie osoby. Przede wszystkim zarówno CTO, jak i CEO są menedżerami, którzy dbają o dobro ich firmy, i jedni decydują o wyznaczanym kierunku firmy albo często o kosztach i inwestycjach firmy, drudzy decydują o bezpieczeństwie tej firmy.
Ale w jaki sposób przekonać firmę do tego, że musi czasami setki tysięcy euro zainwestować w rozwiązania, których de facto nie widzimy? Dział IT postrzegany jest często jako koszt konieczny. Często w sytuacji, kiedy wytwarzamy jakieś oprogramowanie, tworzymy je z myślą o tym, że w przyszłości zaczniemy na tym zarabiać.
W przypadku gdy pojawia się na tej wadze również konieczność wydatkowania kosztów np. właśnie na rozwiązania cybersecurity, czyli pojawia się, załóżmy, z perspektywy CEO jakieś małe okienko, które zazwyczaj nie będzie nawet widoczne na ekranie monitora i które jest uznane za podniesienie poziomu bezpieczeństwa danej firmy, to wtedy okazuje się, że wydaliśmy setki tysięcy złotych czy euro, ale tak naprawdę namacalnie w żaden sposób tego nie widzimy.
Uczestniczę w wielu dyskusjach, gdzie klienci podejmują decyzję wyboru rozwiązania dla swojej firmy, i wyobraź sobie, że bardzo często mówią o tym, że wolą wybrać rozwiązanie hardware’owe, a nie wirtualne, ponieważ hardware jest namacalnie do pokazania. Przychodzi szef, decydent i można zawsze pokazać: Tam, zobacz, stoi to, na co wydaliśmy te grube pieniądze, mrugają lampki, to jest to nasze bezpieczeństwo.
A w sytuacji, gdy mamy rozwiązanie wirtualne, nie jesteśmy w stanie się nawet tym pochwalić. Więc do tego stopnia nawet w średnich firmach ci bezpiecznicy muszą się w tej sferze poruszać, żeby lepiej argumentować wydatki.
Dział IT postrzegany jest często jako koszt konieczny. Często w sytuacji, kiedy wytwarzamy jakieś oprogramowanie, tworzymy je z myślą o tym, że w przyszłości zaczniemy na tym zarabiać.
W przypadku gdy pojawia się na tej wadze również konieczność wydatkowania kosztów np. właśnie na rozwiązania cybersecurity, czyli pojawia się, załóżmy, z perspektywy CEO jakieś małe okienko, które zazwyczaj nie będzie nawet widoczne na ekranie monitora i które jest uznane za podniesienie poziomu bezpieczeństwa danej firmy, to wtedy okazuje się, że wydaliśmy setki tysięcy złotych czy euro, ale tak naprawdę namacalnie w żaden sposób tego nie widzimy.
Właśnie, to jest często dosyć ułudne, myślę, że jeszcze sobie o tym porozmawiamy, na ile to musi być coś hardware’owego, a na ile liczy się zupełnie inny aspekt.
Teraz jednak chciałbym Cię zapytać, dlaczego często tak się nie dzieje, że CEO czy menedżer firmy nie zastanawia się, nie myśli, nie zgłębia tematu cyberbezpieczeństwa pomimo tych różnych aspektów, o których mówiłeś, że grożą za to kary, że jest to duże zagrożenie dla danych firmy. To są poważne tematy, bądź co bądź, mimo wszystko bardzo często też tutaj brakuje tej świadomości po stronie osób zarządzających, żeby w ten temat faktycznie zainwestować.
Więc co jest według Ciebie takim najczęstszym blokerem hamulcowym w myśleniu o zabezpieczeniu infrastruktury IT na poziomie CEO?
Myślę, że odpowiedź krótka na to pytanie, które zadałeś, dlaczego tak się dzieje, że o tym nie myślą — bo nie muszą. I teraz jak bym chciał rozszerzyć tę odpowiedź, to prawda jest taka, że aby zmotywować CEO do myślenia m.in. o zabezpieczeniach sieciowych, powinniśmy edukować w tę stronę.
Takie osoby powinny brać udział w konferencjach, gdzie m.in. jest również edukacja, właśnie u menedżerów wysokiego szczebla, dlaczego takie rozwiązania w ich infrastrukturze są konieczne. Jest naprawdę bardzo dużo konferencji i szkoleń na naszym rynku, ale jednak są one skierowane w stronę stricte działów IT. Czyli szkolenia, które są mniej lub bardziej produktowe, mówiące o tym, jak już ewentualnie te rozwiązania wdrożyć zgodnie z procedurami w firmę, zgodnie z dobrymi praktykami.
Natomiast jeśli chodzi o CEO, to tutaj właśnie wymaga się od portali, właśnie od takich programów, jak Twój, również od innych mediów dotarcia do CEO i wyjaśnienia, dlaczego wdrożenie tych rozwiązań jest tak ważne dla firmy. Często CEO myślą: okej, ale po co wydawać 100 czy 200 tys. euro na zabezpieczenia, skoro później nie widzę żadnego efektu? Ten efekt jest widoczny w rocznym bilansie, przez to, że na końcu roku nie pojawia się żadna kara ani żadne nagłe, nieprzewidziane inwestycje związane z atakiem hakerskim, jeśli już do niego dojdzie. Ponieważ atak hakerski może wyrządzić szkody, które będą związane np. z przestojem firmy, z utratą danych, a najgorsze, co nas może czekać — z upadkiem reputacji naszej firmy.
Często wiele firm, które obsługują jakieś międzynarodowe, jeszcze większe korporacje, te kontrakty obwarowane są gigantycznymi karami np. za przestój, za brak odpowiedniego zabezpieczenia. Przestój takiej firmy lub utrata reputacji to może być droga tylko w jedną stronę. Jeżeli już dojdzie do takiego ataku hakerskiego, to może się okazać, że nasz biznes się właśnie skończył, ponieważ ta wielka korporacja, z której żyliśmy, którą mogliśmy zaplanować i fakturować, okazuje się, że straciła do nas zaufanie i będzie szukała innej firmy, która będzie mogła ją w tym procesie wspierać.
Więc tak naprawdę w tym rocznym bilansie to, że na końcu się nie pojawiają wydatki związane z nagłą koniecznością zainwestowania w zabezpieczenia IT, znalezienia specjalisty, który pomoże nam reaktywować firmę po ataku ransomware, przywrócenia wszystkich systemów. To są koszty nagłe, które w sytuacji, kiedy działamy prewencyjnie, jesteśmy w stanie w perspektywie kilku lat rozłożyć, zaplanować.
Możemy uruchomić leasingi, korzystać z usług as a servise, czyli płacić jakąś opłatę miesięczną, a w sytuacji, gdy dochodzi już do ataku hakerskiego, okazuje się, że nie liczymy w ogóle pieniędzy, które ktoś nam proponuje za pomoc w przywróceniu firmy do okresu sprzed ataku i że są to nieprzewidziane wydatki, więc automatycznie tracimy również kontrolę nad naszym budżetem. I to później oczywiście wychodzi w naszym bilansie rocznym.
Mam tutaj jeszcze taką dodatkową teorię, jestem ciekawy, co o tym myślisz. Uważam, że pokutuje jeszcze nadal takie traktowanie działu IT jako zasobu albo jako takiej czarnej skrzynki, działu, który jest w stanie nam ogarnąć całość działu IT. Osoby na stanowiskach CEO bardzo często się wzbraniają przed skorzystaniem z zewnętrznych usług, jest taka trochę ułuda tego bezpieczeństwa, które miałoby być zapewnione przez wewnętrzny dział IT, który oczywiście siłą rzeczy nie może być specjalistą od wszystkiego. Też tak myślisz?
Jestem przekonany, że tak jest. Dział IT często jest w tych firmach mylony z zasobem. Jeżeli np. nie działa myszka, to się okazuje, że ten sam człowiek, który odpowiada za bezpieczeństwo danych, musi iść naprawić myszkę, bo przestała działać. Tak nie może być. Jeżeli położymy sobie na szali odpowiedzialność za nienaprawienie myszki i za utrzymanie ciągłości działania naszej firmy, to nie możemy tutaj postawić znaku równości pomiędzy tymi dwoma czynnościami.
Kolejna kwestia jest taka, że wdrażając systemy cyberbezpieczeństwa do naszej firmy, zwiększamy tak naprawdę konieczność utrzymywania wiedzy w dziale cybersecurity naszej firmy. I ta wiedza też kosztuje, utrzymanie tej wiedzy kosztuje. Dlatego można korzystać z zewnętrznych zasobów, ponieważ wtedy tak naprawdę outsource’ujemy ten problem i tak naprawdę ten problem leży wtedy w firmach, które się w tym specjalizują, utrzymują specjalistów, mają odpowiednie rozwiązania, które wdrażają, ale również biorą odpowiedzialność za jakość wdrożonych rozwiązań. Więc jak najbardziej zgodzę się z tym, że jest możliwość korzystania z tych zasobów zewnętrznych.
W trakcie naszego ostatniego spotkania, w 178 odcinku podcastu rozmawialiśmy o urządzeniach UTM, o ich roli w ogólnie rozumianym cyberbezpieczeństwie. Myślę sobie, że żeby przekonać CEO, że inwestycja w tym kierunku ma sens, trzeba podeprzeć się jakimiś konkretnymi danymi, że to bezpieczeństwo danych będzie stało na wyższym poziomie.
Teraz właśnie w kontekście tych urządzeń UTM, o których rozmawialiśmy, chciałbym Cię zapytać, czy to jest dobre, czy to jest wystarczające rozwiązanie w kierunku zapewnienia czy podniesienia poziomu cyberbezpieczeństwie w firmie? A jeśli tak, to o jakich modułach tutaj możesz powiedzieć czy przypomnieć, o jakich funkcjach tych urządzeń, które z powodzeniem można użyć w podnoszeniu bezpieczeństwa cyfrowego firmy?
Skłamałbym , gdybym powiedział, że wdrożenie rozwiązania UTM jest jedynym dobrym sposobem do ochrony przed zagrożeniami. Jest podstawowym rozwiązaniem, od którego powinniśmy wyjść w sytuacji, gdy budujemy cyberbezpieczeństwo naszej firmy. Podstawowym, czyli jednym z pierwszych. Ale na pewno niejedynym. I samo jedyne na pewno nie uchroni naszej firmy przed zagrożeniami.
Budując cyberbezpieczeństwo naszej firmy, powinniśmy spojrzeć na nią trochę jak na cebulę. Czyli mamy zewnętrzną warstwę, czyli UTM, które chroni tak naprawdę naszą infrastrukturę przed wyjściem na ten świat zewnętrzny. To jest ten pierwszy poziom.
Później mamy endpointy, czyli nasze końcówki. I teraz, mówię oczywiście to obrazowo, to byłaby druga warstwa tej cebuli, drugi poziom. I tych poziomów tak naprawdę jest cała masa. To, ile tych poziomów cyberbezpieczeństwa w naszej firmie będzie, zależy również od wielkości naszej infrastruktury.
Powinniśmy również oczywiście też brać pod uwagę to, jakie dane posiadamy i ile możemy stracić w przypadku takiego cyberataku, bo oczywiste jest, że nie zainwestujemy pół miliona złotych w cyberbezpieczeństwo naszej firmy w sytuacji, gdy mamy komputery i dane na nich warte 15 tys. złotych. Musimy gdzieś to wszystko wyważać.
Natomiast tak, UTM na pewno jest tym podstawowym elementem, od którego to cyberbezpieczeństwo powinniśmy zacząć.
A co jest ważne? W ostatnim czasie dużo słyszy się o różnych podatnościach w różnych systemach bezpieczeństwa. Dlatego nie tylko to UTM wdrożony w firmę jest ważny, powinienem dodać, że UTM z ważnymi licencjami na pobieranie nowych sygnatur. To jest bardzo ważne, ponieważ przy UTM, który posiada nieaktualne licencje, tak naprawdę nie mamy możliwości pobierania aktualnych sygnatur (a one aktualizują się cały czas, producent monitoruje ten rynek cyberzagrożeń i cały czas te aktualizacje się pojawiają).
W sytuacji, gdy menedżerowie, decydenci, osoby, które zarządzają finansami, zdecydują, że nie wznawiamy licencji dla naszych rozwiązań cyberbezpieczeństwa, bo w ostatnich czterech latach nic się nie wydarzyło, w związku z czym działa i wydaje im się, że to nadal będzie działać — może działało właśnie dlatego, bo takie licencje były aktywne.
Dlatego tutaj na pewno warto zwrócić uwagę na to, że taki UTM musi posiadać również aktywne licencje.
Przechodząc do modułów, o które zapytałeś, jest ich oczywiście cała masa. IBS, który ochroni naszą firmę prewencyjnie w sposób inteligentny przed włamaniami do naszej sieci; filtr URL-owy, dizęki któremu jesteśmy w stanie blokować dostępem do niepożądanych stron, które często niosą za sobą ryzyko infekcji naszej firmy; antywirus, który działa na rozwiązaniu brzegowym. Działa on sygnaturowo, ale oczywiście w sposób podstawowy oczyści nam również te załączniki, które do naszej firmy się dostają.
Jeżeli mówimy o jakiejś bardziej rozszerzonej ochronie, to moduł typu sandboxing, który zabezpieczy nas przed zagrożeniami typu zero-day, gdzie właśnie taki załącznik w momencie, gdy trafia do naszej firmy w momencie, jeśli moduł IPS nic nie wykryje, moduł antywirus nic nie wykryje, to wtedy ten sandboxing powoduje, że taki załącznik jest wysyłany do chmury producenta, tam jest detonowany i badany w odseparowanym środowisku — po to, żeby zweryfikować anomalia, które taki załącznik może wykonać w naszej sieci.
Kolejne rozwiązanie, które jest bardzo ciekawe, bo wcale nie jest jakimś nowoczesnym, w sensie jest ono w rozwiązaniach typu UTM od dawien dawna wdrożone, ale myślę, że od inwazji Rosji na Ukrainę, czyli od ok. roku stała się bardzo ważna — geolokalizacja.
Jak wiemy, Rosja atakując Ukrainę w pierwszych kilku dobach przed fizycznym atakiem, wykorzystała właśnie ataki hakerskie do zakłócenia działań służb ukraińskich. I tutaj jest również bardzo ważna dzisiaj geolokalizacja. Czyli dzięki geolokalizacji na rozwiązaniach UTM jesteśmy w stanie zdecydować sobie, jaki ruch, z jakich krajów, z jakich kontynentów jest przez nas oceniany jako niechciany i możemy go tak naprawdę w bardzo prosty sposób wyciąć, aby on do nas nie docierał, ale również, aby nasi pracownicy do tych serwerów się nie dostawali.
Myślę, że warto tutaj wspomnieć również w kontekście pracy zdalnej o podstawowej już dzisiaj funkcjonalności, dzieki której choćby ja jako pracownik korzystam z niej cały czas, nie ma w zasadzie dnia, kiedy bym nie spiął swojego połączenia VPN-owego z zasobami mojej firmy.
I oczywiście à propos rozwiązania, które mam przyjemność reprezentować, rozwiązaniach Stormshield, mam możliwość spinania tuneli VPN-owych czy po IPsecu, czy po SSL-u zupełnie darmowo. A podnosząc jeszcze poziom autoryzacji użytkownika, mamy możliwość spięcia sobie tych klientów VPN-owych z zewnętrznym modułem Two Factor Authentication, który daje możliwość synchronizacji np. z Google Authenticatorem czy Microsoft Authenticatorem, co nam tutaj kompletnie podnosi bezpieczeństwo dostępu do zasobów naszej firmy.
W ostatnim czasie dużo słyszy się o różnych podatnościach w różnych systemach bezpieczeństwa. Dlatego nie tylko to UTM wdrożony w firmę jest ważny, powinienem dodać, że UTM z ważnymi licencjami na pobieranie nowych sygnatur. To jest bardzo ważne, ponieważ przy UTM, który posiada nieaktualne licencje, tak naprawdę nie mamy możliwości pobierania aktualnych sygnatur (a one aktualizują się cały czas, producent monitoruje ten rynek cyberzagrożeń i cały czas te aktualizacje się pojawiają).
Wymieniłeś wiele modułów, które mogą być wykorzystane z powodzeniem w różnych obszarach działalności firmy, bo oczywiście to nie znaczy, że musimy wszystkie moduły wykorzystywać zawsze wszędzie, ale po prostu dobrać te, które są sensowne w naszym przypadku.
Chciałbym jeszcze wrócić do roli CEO jako osoby, która zazwyczaj ma wiele na głowie, musi zajmować się zarządzaniem firmą, planowaniem, ale też unikaniem potencjalnych ryzyk, co jest, myślę, niezwykle istotne w dzisiejszych czasach. I takim rodzajem ryzyka, o którym tutaj też już powiedziałeś, jest właśnie odpowiedzialność prawna związana z danymi, z oprogramowaniem.
Czy tutaj byłbyś w stanie wskazać jakieś rozwiązania, które sprawdziłyby się właśnie w tym obszarze?
Odpowiedź na to pytanie nie będzie prosta, ponieważ tutaj możliwości jest bardzo dużo. Myślę, że warto zacząć od tego, że dzisiaj żyjemy naprawdę w szalonych czasach. W zasadzie nie skłamię, jeśli powiem, że żyjemy w takiej erze ransomware as servise czy może nawet malware as a servise, gdzie w zasadzie cyberprzestępcy zaczynają trochę myśleć jak CEO. Oni są takimi swoimi szefami tego, w jaki sposób zainwestować jak najmniej, a jak najszybciej i jak najwięcej zysków sobie przynieść. Sobie, czyli oczywiście temu hakerowi atakując naszą firmę, bo ci cyberprzestępcy cały czas liczą na to, że albo wykradną jakieś ważne dane, albo po prostu, że zostanie zapłacony okup.
Można przywołać tu taki przykład, gdzie identyfikatory logowania są dostępne w cenach od ok. 100 do 1000 dolarów, a tak naprawdę możemy wyciągnąć zyski liczone w tysiącach dolarów. Więc można powiedzieć, że mamy inwestycję i mamy zwrot z tej inwestycji.
Kolejnym elementem, który na pewno można poprawić np. w naszej firmie, to są szkolenia dla naszych działów IT, ale też szkolenia po prostu dla pracowników. Są one bardzo ważne, prowadzimy je w naszym autoryzowanym centrum szkoleniowym.
Dlaczego szkolenia? Ponieważ wiele ataków odbywa się, ponieważ sprzyjają ku temu okoliczności. Dzieje się to albo z powodu zaniedbań, albo z braku świadomości. Dużo firm posiada np. konta swoich pracowników, którzy już nie pracują w danej firmie, i okazuje się, że ci pracownicy dalej mają dostęp do pewnego rodzaju zasobów naszej firmy. To aż się prosi o to, żeby wykorzystać takie konta i żeby wykraść takie dane.
To, co jest ważne również z perspektywy CEO, na co powinni zwrócić uwagę, to że tak naprawdę często nie firma, a ten menedżer wysokiego szczebla jest celem ataku. Dlaczego? Ponieważ to on, jako menedżer wysokiego szczebla ma nieograniczone dostępy do zasobów firmy.
Nieograniczone dostępy do bazy, do różnego rodzaju systemów, a może nawet jest właścicielem karty, która wpuszcza nas fizycznie do odpowiednich pomieszczeń naszej firmy. Więc warto również tutaj dla CEO wyjaśnić, że to on może być celem ataku. Samo przejęcie dostępu do poczty ważnej osoby w firmie może spowodować, że np. księgowość wyśle pieniądze na inne konto, niż powinna. Znamy takie ataki z sektora publicznego w Polsce.
Jak na to można zaradzić? Oczywiście, budując świadomość naszych pracowników, budując stale świadomość naszej firmy poprzez szkolenia. Te szkolenia i rozwiązania IT wdrożone w cybersecurity powinny iść ze sobą w parze, ponieważ same rozwiązania trzeba później jeszcze nadzorować. A żeby robić to w sposób dobry, powinniśmy mieć wykwalifikowaną kadrę i świadomych pracowników — począwszy od każdego pracownika, który jest w naszej firmie, aby wiedział, w co klikać, a w co nie klikać, ewentualnie wysłać takiego maila do sprawdzenia do naszego działu cyberbezpieczeństwa.
👉 Czytaj dalej na: https://porozmawiajmyoit.pl/poit-190-jak-przekonac-ceo-ze-cyberbezpieczenstwo-jest-wazne/
