Voi începe cu ce scrie în Proiectul de Ordin al DNSC:

Funcția Guvernare (GV) stabilește strategia, politicile și modul în care organizația prioritizează riscurile de securitate în contextul misiunii sale și conține categoriile: Contextul organizațional (GV.OC), Strategia de gestionare a riscurilor (GV.RM), Roluri, responsabilități și autorități (GV.RR), Politică (GV.PO), Supraveghere (GV.OV), Gestionarea riscurilor în lanțul de aprovizionare în domeniul securității cibernetice (GV.SC); 

De ce spun că este cea mai dificilă? Pentru că de această funcție depind toate celelalte!

Să ne întoarcem la un comunicat al DNSC de anul trecut: Atac cu ransomware împotriva companiei AAylex (Cocorico). Apoi să trecem la o știre de astăzi care anunță că AAylex (Cocorico) a intrat în procedura de concordat preventiv. Nu speculez aici dacă există vreo legătură cu ce s-a întîmplat anul trecut.

Dacă nu din conștientizarea obligațiilor legale atunci măcar din amploarea și frecvența evenimentelor de securitate cibernetică raportate public care continuă să crească, riscul cibernetic ar trebui să devină un subiect important pentru părțile interesate de nivel înalt al oricărei organizații.

Acum cerința Cyfun (NIS2) este ca organizațiile să dezvolte un apetit pentru riscul cibernetic eficient, măsurabil și acționabil și să îl integreze în procesele decizionale și în guvernanța companiei (de exemplu, cheltuielile IT). Un apetit pentru riscul cibernetic bine articulat – definit ca un set de declarații calitative și indicatori cantitativi asociați (Declarația de Apetit pentru Risc)– este deci acum o obligație:

GV.RM-02 : Declarațiile privind apetitul la risc și toleranța la risc sunt stabilite, comunicate și menținute.

GV.RM-04.1 : Se stabilește în mod oficial un plan sau o viziune la nivel înalt și se comunică în mod clar tuturorpersoanelor implicate modul de gestionare a riscurilor, inclusiv diferitele strategii pe care organizația le poate utiliza pentru a face față riscurilor identificate, în funcție de apetitul a risc sau de nivelul de toleranță la risc.

Dar ce face de fapt apetitul?

Rolul său principal este a de oferi părților interesate de nivel înalt (CA de exemplu sau DNSC) o articulare clară a nivelului și tipului de riscuri cibernetice acceptabile pentru companie, punînd riscul cibernetic la egalitate cu alte riscuri . Prin urmare, apetitul pentru riscul cibernetic al unei companii poate fi valorificat ca punct de start pentru a prioritiza investițiile în securitate cibernetică, pentru a alinia postura cibernetică a firmei la apetitul său pentru risc.
Atunci când este distribuit de sus în jos în cadrul firmei, apetitul pentru riscul cibernetic devine și un instrument puternic de comunicare care permite ca riscul cibernetic să fie mai tangibil în cadrul funcțiilor/compartimentelor economice și de suport (IT): crește gradul de conștientizare cu privire la riscul cibernetic și necesitatea de a-l gestiona la fiecare nivel organizațional.

Cine trebuie să facă asta? Conform tot unui document al DNSC, Managerul Executiv în Guvernanța Securității Cibernetice

Stabilirea unui apetit eficient pentru riscul cibernetic nu este o sarcină banală, iar realizarea corectă a acestuia este
dificilă (în ciuda credinței comune că nu este prea greu il să „scrii câteva rînduri care caracterizează capacitatea instituției de a-și asuma riscuri”. Doar avem Gemini, GPT….). Însă consecințele unui apetit pentru riscul cibernetic greșit articulat pot fi semnificative….
De exemplu autoritățile de supraveghere (ghici cine) pot continuă să pună presiune asupra conducerii superioare pentru a defini sau îmbunătăți apetitul pentru riscul cibernetic al companiei lor. De ce? Pentru că ”nerespectarea de către membrii organelor de conducere ale entităților esențiale și importante a obligației de alocare a resurselor” este ….contravenție. Iar alocarea resurselor se face …..în funcție de apetitul al risc.

Dacă în cazul instituțiilor financiare aceste lucruri se întîmplă de ceva timp (mai ales ca rezultat al DORA), există multe altele care nici măcar nu au auzit de acest subiect.

Apetit la risc = 0 este o liluzie….Va fi dificil…..